ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Az adatvédelmi és adatkezelési szabályzat alkalmazása

A szervezet megnevezése:	NELSON FLOTTALÍZING Eszközbérbeadó és Autóparkkezelő Korlátolt Felelősségű Társaság (továbbiakban: Társaság)
A szervezet székhelye:	1061 Budapest, Király utca 38. 1. em. 8.
A szabályzat tartalmáért felelős személy:	Zsidó László Zsolt ügyvezető
A szabályzat hatályba lépésének dátuma:	2018. május 25.
A szabályzat felülvizsgálatának utolsó időpontja:	2022. május 27.

Ez a szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.

A Társaság autópark kezelési tevékenységet, autóbérbeadást végez, az autó, és a finanszírozás kiválasztásától a mindennapi és a rendszeres karbantartások szakszerű és költséghatékony elvégzésén át az autó értékesítéséig.

Tevékenysége és a Társaságnál végzett adatkezelési tevékenység alapján adatvédelmi tisztviselő kijelölése a GDPR 37. cikk (1) bekezdése szerint a társaságnál nem kötelező.

A szabályzat hatálya

E szabályzat visszavonásig érvényes.

A Szabályzat személyi hatálya kiterjed

a) a Társaság valamennyi munkavállalójára, valamint az eseti jelleggel munkavégzésre

igénybe vett dolgozóra,

b) a társaság vezető tisztségviselőire,

c) a Társaság által igénybevett adatfeldolgozókra, valamint

d) a fentieken kívül mindazon természetes személyekre, akik a Társasággal bármilyen jogviszonyban állnak, vagy akiket a Társaság adatkezelése bármilyen módon érint.

A Szabályzat tárgyi hatálya kiterjed a Társaság által kezelt (gyűjtött, tárolt, a Társaságnál keletkezett magánszemélyre vonatkozó, rögzített, rendszerezett, stb) bármilyen személyes adatra.

A szabályzat célja

E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében a szervezet egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését.

A szervezet tevékenysége során teljes mértékben meg kíván felelni a személyes adatok kezelésére vonatkozó jogszabályi előírásoknak, különösen a személyes adatok védelme tekintetében az Európai Parlament és a Tanács (EU) 2016/679 rendeletében (GDPR) foglaltaknak.

A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával a szervezet alkalmazottai képesek legyenek a természetes személyek adatai kezelését jogszerűen végezni.

Lényeges fogalmak, meghatározások

a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete

adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

különleges adat: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adat

harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatkezelés irányelvei

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet.

A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet.

A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell.

A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.

A szervezet adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

A társaság mindenkori képviselője (ügyvezetője), a társaság vezetőivel együttműködésben határozza meg a dolgozók adatkezeléssel kapcsolatos feladatait.

Személyes adatok kezelése, az adatkezelés jogszerűsége

Az adatkezelésre kizárólag az alábbi esetekben kerülhet sor:

Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Az érintett hozzájárulásának minősül az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Hozzájárulásnak minősül az is, ha valamely felhasználó az elektronikus szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, vagy olyan nyilatkozatot, illetve cselekedet tesz, amely az adott összefüggésben az érintett személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi.

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

Az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Azon esetekben, amikor a Társaság a személyes adatok különleges kategóriáit kezeli (pl. dolgozók egészségügyi alkalmasságára vonatkozó adatok) a fenti jogalapok egyikének a teljesülése esetén az alábbi feltételek valamelyikének teljesülése szükséges:

Az érintett kifejezett hozzájárulását adta különleges személyes adatai egy vagy több konkrét célból történő kezeléséhez.
Az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges.
Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
Az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik a GDPR-ban meghatározott feltételekkel.
Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
Az adatkezelés uniós jog vagy tagállami jog alapján jelentős közérdek miatt szükséges.
Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges.
Az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges.
Az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges.

Az érintett személy hozzájárulása, feltételek

Amennyiben az adatkezelés hozzájáruláson alapul, a Társaságnak képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

Az érintett hozzájárulását önkéntesen adja, azaz szabad választási lehetőséggel kell rendelkezzen a hozzájárulás megadásakor. Ezért alá- és fölérendeltségi viszonyban (pl. munkaviszony) és az ahhoz kapcsolódó adatkezelésekor, vagy ha az adatkezelés szerződés teljesítéséhez szükséges az adatkezelés jogalapja nem lehet az érintett hozzájárulása.

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.

A hozzájárulásnak kellően konkrétnak kell lennie, ezért a hozzájárulás megadásához a Társaság adatkezelői az ezen szabályzat mellékletét képező formát használják.

A hozzájárulásnak megfelelő tájékoztatáson kell alapulni, ezért az érintettet a Társaság adatkezelője köteles megfelelő információkkal ellátni, amely tájékoztatót a Társaság honlapján közzé kell tenni. Az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon.

Abban az esetben, ha az adott jogviszonyra a tájékoztató szövege nem alkalmazható, a Társaság adatkezelője az érintettet az alábbiakról tájékoztatja:

a Társaságnak és képviselőjének a kiléte és elérhetőségei;
a személyes adatok tervezett kezelésének célja, valamint az, hogy az adatkezelés az érintett hozzájárulásán alapul
azon természetes vagy jogi személyek kilétéről, akivel vagy amellyel a személyes adatot közölni fogják.
azon jogokat, amelyek az érintettet megilletik, különösen az adatkezeléshez adott hozzájárulásának visszavonására vonatkozó jogait.

Ha az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell közölni.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos, kivéve, (többek között) ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez.

Az érdekmérlegelés

Ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, a Társaságnak kell bizonyítania, hogy a Társaság érdekei elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben.

A Társaságnak az általa meghatározott jogos érdekhez képest kell megfelelően kiválasztania azt, hogy milyen célból, mennyi ideig, milyen személyes adatokat kezel, és milyen garanciális intézkedéssel biztosítja azt, hogy az adatkezelés csak szükséges mértékben és arányosan korlátozza az érintettek jogait.

Az érdekmérlegelés jogalapjának az alkalmazását a Társaságnak minden esetben írásban kell dokumentálnia. (érdekmérlegelési teszt)

Az érdekmérlegelési teszt annak bemutatására irányul, hogy a Társaság megfelelően azonosította a jogos érdeket, és erre alapozva olyan alapon végzi az adatkezelést, amely nem jelent aránytalan korlátozást az érintett érdekeire, jogaira és szabadságaira nézve.

A Társaság által alkalmazott érdekmérlegelési teszt vizsgálandó pontjai:

Az adatkezelés leírása
A Társaság jogszerű érdekeinek értékelése
Az adatkezelés érintettre gyakorolt hatásának leírása (személyes adatok jellege, az érintett ésszerű elvárásai, az érintett státusza)
Az érintett jogainak védelme érdekében tett intézkedések (biztosítékok) meghatározása
Elszámoltathatóság és átláthatóság biztosításának módja

Az érintett jogai

Átlátható tájékoztatás

Az érintettnek joga, hogy az őt érintő adatkezelésekről tömör, átlátható, érthető és könnyen hozzáférhető formában világosan és közérthetően megfogalmazva tájékoztatást kapjon. Ezért a Társaság minden adatkezeléssel is foglalkozó dolgozójának kellő információval kell rendelkeznie, hogy – amennyiben írásbeli tájékoztatás nem elérhető, vagy az nem ad az adott kérdésre választ, vagy az érintettnek további kérdései lennének – az adatkezelésről kielégítő információt nyújtson. Amennyiben a kérdés azonnal nem válaszolható meg vagy a kérdés elektronikus úton vagy írásban érkezett, úgy a Társaság 1 hónapon belül tájékoztatja az érintettet olyan formában, ahogy az érintett a kérdést feltette, kivéve, ha ezt az érintett más módon kéri.

A tájékoztatás díjmentes, ezért díj nem számítható fel.

Ha a Társaság az érintettre vonatkozó személyes adatokat az érintettől gyűjti, akkor az adatok megszerzésének időpontjában tájékoztatja az ügyfelet főszabályként a jelen szabályzat mellékletét képező adatkezelési tájékoztató megismerhetővé tételével.

Ha a Társaság az érintettre vonatkozó személyes adatokat nem az érintettől gyűjti, akkor az adatok megszerzését követő 1 hónapon belül tájékoztatja az ügyfelet a fenti módon.

Hozzáférés joga

Az érintett jogosult arra, hogy a Társaságtól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése a Társaságnál folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon. A Társaság köteles kérelem esetén az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, amely magában foglalja a másolás díját, valamint a postaköltséget. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikus úton (e-mail) kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

Helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Pl. névváltozás, lakcímváltozás bejelentése esetén.

Törléshez való jog

Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a személyes adatokra már nincs szükség abból a célból, amelyből azokat a Társaság kezelte
az érintett visszavonja az adatok kezelésére vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
igazolható, hogy a Társaság a személyes adatokat jogellenesen kezeli
a személyes adatok törlését jogszabály előírja

Ha a Társaság bármilyen módon – pl. internetes honlapján - nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, a Társaság a lehetőségeihez képest megteszi az észszerűen elvárható lépéseket - ideértve technikai intézkedéseket annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság adatkezelést igazoló jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy fontos közérdekéből lehet kezelni.

Amennyiben a Társaság a korlátozást feloldja, mivel annak okai már nem állnak fenn, az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat közismert módon tagolt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

Tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Társaság által közérdekű célból végzett, vagy a Társaság jogos érdekén alapuló adatkezelés ellen. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1363 Budapest, Pf.: 9.

Cím: 1055 Budapest, Falk Miksa utca 9-11.

Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu
URL https://naih.hu
Koordináták: É 47°30'36.8''; K 19°02'54.2''

Az érintett a jogainak megsértése esetén a Társaság, mint adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

Az érintetti jogok gyakorlásának egyes feltételeit és pontosabb szabályait a GDPR részletesen tartalmazza.

A személyes adatok felülvizsgálata

Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

A szervezet vezetője által megállapított rendszeres felülvizsgálati határidő: 1 év.

Az adatkezelő feladatai

A Társaság megfelelő és hatékony intézkedéseket hajt végre a személyes adatok biztonságos és szabályszerű kezelése érdekében, valamint azért, hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek a hatályos jogszabályoknak megfelelnek.

Az adatkezelés során alkalmazandó szabályokat a Társaság az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével, a GDPR szabályai szerint alakította ki.

Jogszerűség, tisztességes eljárás és átláthatóság biztosítása

A Társaság minden dolgozójának kötelessége az adatvédelem szabályainak, különösen jelen szabályzatnak a megismerése. Ezért a Társaság dolgozói rendszeresen oktatáson vesznek részt, melynek szervezése az ügyvezető feladata. Az adatkezelést végző dolgozó munkahelyi vezetője az oktatáson való rendszeres részvételt figyelemmel kíséri.

A Társaság a személyes adatok kezeléséről készített tájékoztatót minden érintett részére elérhetővé teszi abból a célból, hogy megismertesse az érintetteket személyes adataik kezelésének céljáról, módjáról, körülményeiről, az adatkezelés következményeiről és garanciáiról.

A tájékoztatást minden esetben világosan és közérthetően kell az érintett felé megfogalmazni.

Az adatkezelés folyamán az emberi méltóság tiszteletben tartásával kell eljárni.

Minden adatkezelést és adatkezeléshez fűződő cselekményt úgy kell dokumentálni – függetlenül, hogy az papíralapon, vagy elektronikusan történik -, hogy ezen cselekmények utólag is rekonstruálhatók legyenek az adatok megőrzésének határidején belül.

Célhoz kötöttség megvalósítása

Minden, a Társaság tevékenységébe kerülő új folyamatot, mely személyes adatok kezelésével is jár, a tevékenység megkezdését megelőzően adatvédelmi szempontból is gondosan meg kell vizsgálni, az adatkezelés folyamatát meg kell tervezni.

Az adatkezelés céljának meghatározása, soha nem lehet általános jellegű vagy valótlan.

Adattakarékosság hatékony megvalósítása

Az adatkezelés megkezdése előtt a Társaságnak meg kell vizsgálnia, hogy szükséges-e egyáltalán személyes adatokat kezelni az üzleti vagy társadalmi cél megvalósításához.

Kizárólag annyi és olyan személyes adat kezelhető, ami szükséges és egyben elégséges az adatkezelés céljának eléréséhez.

Amint az adatkezelés célja megvalósult, főszabályként a személyes adatokat azonnal törölni kell, illetve anonimizálni., feltéve, ha jogszabály nem írja elő a további adattárolást, vagy nem merül fel további adatkezelési cél, amely megfelel a célok közötti összeegyeztethetőségnek. Ennek megállapításához a feladat elvégzéséért felelős vezető megvizsgálja a személyes adatok gyűjtésének korábbi és jövőbeli céljait, körülményeit, az adatok jellegét (az adatok különleges kategóriáiról beszélünk vagy sem), az adatkezelés következményeit és garanciáit.

Pontosság megvalósítása

A Társaság által kezelt adatoknak mindig időszerűnek és naprakésznek kell lennie. Az adatok folyamatos frissítése a feladatot végző adatkezelő – mint a Társaság dolgozójának – feladata és felelőssége.

A polgárok személyes adatainak felvételénél és rögzítésénél kiemelt figyelmet kell fordítani a precíz munkára. Az adatbázisok karbantartását és naprakészségét folyamatosan biztosítani kell.

A személyes adatok pontosítására irányuló kérelem esetén az adatokat haladéktalanul, legkésőbb 1 hónapon belül módosítani kell a valós adatoknak megfelelően. Amennyiben a személyes adatok pontosítására irányuló kérelem nem a valós adatok nyilvántartását célozza, úgy az erre irányuló kérelmet ezen határidőn belül el kell utasítani az elutasítás indokának feltüntetésével. A kérelem elbírálásáig az adatkezelést a helyesbítendő adatok vonatkozásában a Társaság korlátozza, azaz a tárolt személyes adatokat megjelöli és ezen adatokon az adathelyesbítés végrehajtásáig vagy elutasításáig adatkezelési műveleteket nem végez.

Korlátozott tárolhatóság megvalósítása

A Társaság minden megtesz annak érdekében, hogy az érintett személyes adatait csak az adatkezelés céljának eléréséig szükséges ideig tárolja. Azaz, ha megszűnt az adatkezelés célja vagy már nincs szükség arra, hogy a Társaság az érintettet azonosítsa, akkor az adatait törli, kivéve, ha jogszabály máshogy rendelkezik vagy a korábbi adatkezelés céljával összefüggő okból az adatkezelés más cél elérése érdekében szükséges.

Ebben az esetben a Társaság nem köteles a hozzá forduló érdekeltet azonosítani és a joggyakorlását sem kell tevékenyen segítenie. Ugyanakkor nem utasíthatja vissza, ha az érintett az azonosítása érdekében további adatokat nyújt számára.

Amennyiben egy adat kapcsolata már nem helyreállítható az érintettel (pl. anonimizálták), akkor arra már az adatvédelmi szabályok nem vonatkoznak.

Azon esetekben, amikor jogszabály az adatok tárolhatóságáról nem rendelkezik, az adatok tárolhatóságának az idejét a Társaság ügyvezetője határozza meg.

Integritás és bizalmas jelleg megvalósítása

A Társaság mindent megtesz annak érdekében, hogy az általa kezelt személyes adatokat megóvja minden külső és nem várt hatástól, amely az adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezheti.

Az Adatkezelő a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a nyilvántartásaiban szereplő adatokat csak azok a munkavállalók, és egyéb a Társaság érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van. A jogosultságok listáját jelen szabályzat melléklete tartalmazza.

Ennek érdekében minden dolgozónak kötelessége az informatikai biztonsági szabályzat előírásainak betartása és betartatása. (jelszavak rendszeres cseréje, meghatározott weblapok kerülése, ismeretlen forrású e-mailek megnyitásának tilalma, stb) Az informatikai biztonsági szabályzat felhasználókra vonatkozó felelősségvállalási nyilatkozatát a jelen szabályzat melléklete tartalmazza.

Minden dolgozónak kötelessége továbbá a személyes adatokat tartalmazó papír alapú iratok fokozott védelme, zárt szekrényben történő tárolása. Az ügyfélfogadást végző adatkezelők kötelesek gondoskodni arról, hogy az ügyfélfogadás alkalmával arra jogosulatlan személyek személyes adatokat illetéktelenül ne tekinthessenek meg, azokhoz semmilyen módon ne férjenek hozzá.

A Társaság informatikai feladatokért felelős munkatársa folyamatosan figyelemmel kíséri az egyes feladatokat ellátó munkatársak számítógépes hálózathoz való hozzáférésének jogosultságait, arról naprakész nyilvántartást vezet.

Személyes adatok elektronikus tárolása kizárólag a megfelelő védelemmel ellátott szervereken lehetséges. Azok mobil adattárolókra (CD, DVD, pendrive, külső adattároló, stb.) történő kiírása, mentése szigorúan tilos!

Minden dolgozó kötelessége, hogy a bármilyen módon tudomására jutó valószínűsíthető adatvédelmi incidenst - annak súlyosságától vagy bizonyosságától függetlenül – a Társaság ügyvezetőjének haladéktalanul, de legkésőbb a tudomásra jutástól számított 2 órán belül jelezze. Az incidens kivizsgálása és szükség esetén határidőben történő bejelentése, valamint az egyéb szükséges intézkedések megtétele az ügyvezető felelőssége.

E szabályzat alapján a Társaság az egyéb belső szabályzatait felülvizsgálja és szükség esetén naprakésszé teszi.

A Társaság megfelelő nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. Köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

Hatásvizsgálat

Ha a tervezett adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

természetes személyekre vonatkozó egyes személyes jellemzők módszeres és kiterjedt értékelése – különösen automatizált adatkezelés - esetében
a személyes adatok különleges kategóriáira vonatkozó adatok nagy számban történő kezelése esetében
nyilvános helyek nagymértékű, módszeres megfigyelése esetében.

A felügyeleti hatóság által meghatározott esetekben kötelező az adatvédelmi hatásvizsgálatot elvégezni. A kötelező hatásvizsgálatok listája a https://naih.hu/files/GDPR_35_4_lista_HU_mod.pdf lapon elérhető.

A hatásvizsgálat kiterjed legalább az alábbiakra:

a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket
az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára
az érintett jogait és szabadságait érintő kockázatok vizsgálatára
a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodni kell a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra el kell végezni. A kockázatok felülvizsgálatát legalább 3 évente végre kell hajtani.

Továbbá a személyes adatok kezelésével kapcsolatosan a Társaság kötelezettsége a kockázatelemzés, amelynek lépései az alábbiak:

a személyes adatok kezelésével kapcsolatos kockázatok azonosítása,
kockázati lista felállítása,
az egyes kockázatok valószínűsíthető fő okainak és várható negatív hatásainak meghatározása, majd
ezek alapján a preventív és a korrektív kockázatkezelési folyamatok kidolgozása.

Szükséges a kockázatforrások feltárása, melyen belül meg kell határozni a kockázati preventív és korrektív célkezelés elemeit, az erőforrás-kezelés rendszerét, továbbá el kell különíteni az objektív és szubjektív kockázati elemeket.

Az elemzés során el kell jutni a teljes kockázatértkelési rendszer kialakításáig. Meg kell állapítani a kockázatforrásokat, értékelni kell a lehetséges kockázatokat valószínűség és értékelés szempontjából is. Az elemzés menetét és eredményeit írásba kell foglalni.

Kockázatforrások:

műszaki hiba
természeti katasztrófa
emberi tevékenység : gondatlan, vagy szándékos károkozás

Valószínűség szempontja szerint:

nagyon kicsi (szinte soha nem fordul elő)
kicsi (nagyon ritkán fordul elő)
közepes (többször előfordul)
nagy (naponta – vagy még gyakrabban) többször előfordul

Érékelés szempontjából:

elhanyagolható (nem jár anyagi, erkölcsi veszteséggel)
kicsi (minimális anyagi, erkölcsi vesztességgel jár)
közepes (elviselhető vesztességgel jár)
nagy (nagy anyagi veszteséggel jár, szolgálati, hivatali titok)

Előzetes konzultáció

Abban az esetben, ha az elvégzett adatvédelmi hatásvizsgálat megállapítja, hogy az adott adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor a Társaság az adatkezelési folyamata megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció során a Társaság tájékoztatja a Hatóságot az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, a tervezett adatkezelés céljairól és módjairól, az érintettek jogainak és szabadságainak védelmében hozott intézkedésekről, az adatvédelmi hatásvizsgálat eredményéről.

Adatkezelési incidens

A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkozatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a közvetlen felettesének.

Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, erről a rendszergazdát is haladéktalanul tájékoztatni kell.

A bejelentést követően az ügyvezető által megbízott személy azonnal megkezdi az adatvédelmi incidens kivizsgálást és értékelését.

Az ügyvezető által megbízott személy – informatikai rendszert érintő incidens esetén a rendszergazdával együttműködve – megvizsgálja az adatvédelmi incidens körülményeit, így az adatvédelmi incidens bekövetkezésének időpontját és helyét, az érintett adatok körét, mennyiségét, érintett személyek körét és számát, várható hatásait, megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.

Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel, az ügyvezető által megbízott személy a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot. A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire és szabadságaira, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmaznia kell ennek indokait is.

A vizsgálat eredményeként az ügyvezető által megbízott személy és az általa az incidens kivizsgálásába bevont munkatársak javaslatot tesznek az ügyvezetőnek az incidens kezeléséhez szükséges intézkedések megtételére.

A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szervezeti egység vezetője dönt.

A vizsgálatot legkésőbb a bejelentésnek a munkahelyi vezetőhöz érkezésétől számított három munkanapon belül be kell fejezni, melynek eredményéről tájékoztatják a Társaság ügyvezető igazgatóját.

Az adatvédelmi incidensről az ügyvezető nyilvántartást vezet és gondoskodik annak pontos vezetéséről, aktualizálásáról.

Az ügyvezető az adatvédelmi incidenst bekövetkezését követően haladéktalanul, de legkésőbb 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira nézve. Ha a bejelentés nem történik meg határidőben, az ügyvezető köteles ennek okát igazolni a Hatóság részére.

Amennyiben a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az érintettek tájékoztatása szükséges.

Nem kell az érintettet tájékoztatni:

ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét,

ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg,
ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

Adatállományok kezelése

Az Adatkezelő biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. A jogszabályon alapuló adatkezelések kötelezőek, azokról az érintettek tájékoztatást kérhetnek. Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény.

Az Adatkezelő az elektronikus és a papíralapú nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembe vételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus és a papíralapú nyilvántartások esetében egyaránt érvényesülnek.

Az ügyfél adatokat tartalmazó, valamint az Adatkezelő által nyújtott szolgáltatásokkal összefüggő nyilvántartás tagolt, annak érdekében, hogy a jogalap, cél alapján elkülöníthető adatkezelések egymástól elkülönüljenek.

Az Adatkezelő lehetőség szerint törekszik az adattakarékosság elvének érvényesülésére, annak érdekében, hogy az egyes munkavállalók, és egyéb, az Adatkezelő érdekkörében eljáró személyek csak a szükséges személyes adatokhoz férjenek hozzá.

Az Adatkezelő a nyilvántartás papíralapú dokumentumait az adatbiztonság követelményeire tekintettel tárolja, és gondoskodik azok biztonságos őrzéséről.

Az Adatkezelő az elektronikus nyilvántartást – amennyiben ennek lehetőségei fennállnak - külön erre a célra fejlesztett informatikai program útján üzemelteti, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.

Adatbiztonság

Az Adatkezelő gondoskodik az adatok biztonságáról. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében.

Az Adatkezelő gondoskodik arról, hogy a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesüljenek. Az Adatkezelő gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az irányadó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az Adatkezelő az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.

Az Adatkezelő az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére. Az Adatkezelő több lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

Informatikai nyilvántartások védelme

Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:

a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés);
az adatállományok vírusok elleni védelméről (vírusvédelem);
az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).

Papíralapú nyilvántartások védelme

Az Adatkezelő a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.

A munkavállalók, és egyéb, az Adatkezelő érdekében eljáró személyek az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni, és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.

Az informatikai biztonság szabályozása

A számítógépen, illetve hálózaton tárolt személyes adatok védelmében megtett intézkedések leírását (informatikai védelem, szerverek biztonsága, jogosultság kezelés, jogosultságkezelési folyamat) a Társaság Informatikai Biztonsági szabályzata rögzíti. (Jelen szabályzat melléklete.)

Ügyviteli és nyilvántartás célú adatkezelés

A szervezet a tevékenységéhez tartozó esetekben illetve ügyviteli és nyilvántartási célból személyes adatokat kezel.

Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja:

a Társaság tagjainak és munkavállalóinak adatkezelése,
a Társasággal megbízási jogviszonyban álló személyek adatkezelése kapcsolattartási, elszámolási és nyilvántartási célból,
a Társasággal üzleti kapcsolatban álló más szervezetek, intézmények és vállalkozások kapcsolattartói adatai, amelyek természetes személyek elérhetőségi és azonosítási adatai is lehetnek;

A Társasághoz írásos formában eljuttatott – személyes adatokat is tartalmazó – dokumentumok (például önéletrajz, álláskeresési jelentkezés, egyéb beadvány, stb.) esetében az adatkezelés a GDPR 6. cikk (1) bekezdés a), pontján, azaz az érintett személy hozzájárulásán alapul. Az ügy lezárulta után – további felhasználásra vonatkozó hozzájárulás hiányában – az iratokat meg kell semmisíteni. A megsemmisítés tényét jegyzőkönyvben kell rögzíteni.

Az ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az adott ügy irataiban és a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés alapjául szolgáló irat selejtezéséig tart.

Az ügyviteli és nyilvántartási célból történő adatkezelést - annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, - évente felül kell vizsgálni, a pontatlan személyes adatokat haladéktalanul törölni kell.

Az ügyviteli és nyilvántartási célból történő adatkezelés esetében is biztosítani kell a jogszabályoknak való megfelelést.

A Társaság által kezelt adatok köre

1. Munkaviszonnyal kapcsolatos adatkezelések

1.1. Munkaügyi, személyzeti nyilvántartás

A munkavállalóktól csak olyan adatok kérhetők és tarthatók nyilván, illetve olyan munkaköri alkalmassági vizsgálatok (ideértve a munka alkalmassági orvosi vizsgálatot is) elvégzését lehet kérni, amelyet munkaviszonyra vonatkozó szabály ír elő, és amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez szükségesek és a munkavállaló személyiségi jogait nem sértik.

A Társaság jogszabályi kötelezettség, (Rendelet 6. cikk (1) bekezdése c) pont) jogcímén munkaviszony létesítése, fenntartása vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:

1. név,

2. születési név,

3. születési helye, ideje,

4. anyja neve,

5. lakcíme,

6. állampolgársága,

7. adóazonosító jele,

8. TAJ száma,

9. nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),

10. telefonszám,

11. e-mail cím,

12. személyazonosító igazolvány száma,

13. lakcímkártya száma,

14. bankszámlaszáma (ha a fizetés bankszámlára való átutalással történik),

16. munkába lépésének kezdő és befejező időpontja, valamint napi munkakezdésének és munkavégzésének időpontja,

17. munkaköre,

18. iskolai végzettségét, szakképzettségét igazoló okmány másolata,

19. önéletrajz,

20. a munkabérrel, a bérfizetéssel, és egyéb juttatásokkal kapcsolatos adatok,

21. a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozás, illetve ennek jogosultságát igazoló okirat,

22. az előző munkaviszony megszűnésének módja, az erre vonatkozó iratok,

23. erkölcsi bizonyítvány (ha a munkakörhöz szükséges),

24. a munkaköri alkalmassági vizsgálatokra vonatkozó iratok,

25. önkéntes nyugdíj - és egészségpénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,

26. külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezése és száma,

27. munkavállalót ért baleset jegyzőkönyvében rögzített adatok

28. saját személygépkocsi hivatali célra történő használata esetén a gépjármű törzskönyv másolata

29. ha a munkakör ellátásához jogosítvány szükséges, a jogosítvány száma és másolata.

Betegségre és szakszervezeti tagságára vonatkozó adatokat a Társaság csak a Munka Törvénykönyvében meghatározott jog, vagy kötelezettség teljesítése céljából kezel.

A személyes adatok tárolásának időtartama a munkaviszony megszűnését követő 50 év.

Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka Törvénykönyvén, a társadalombiztosítási-, adó- és nyugdíjjogszabályokon alapul.

A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen Szabályzat mellékletét képező Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és a személyhez fűződő jogairól.

1.2. Alkalmassági vizsgálatokkal - ideértve a munkaköri alkalmassági orvosi vizsgálatot is - kapcsolatos adatkezelés

A munkavállalóval csak olyan alkalmassági vizsgálat végeztethető el, amelyet jogszabály, vagy munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt a munkavállalókat részletesen tájékoztatni kell többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik, és miért kell. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és számáról, valamint a pontos jogszabályhelyről is.

A kezelhető személyes adatok köre: a munkaköri, valamint az egészségügyi alkalmasság ténye, és az ehhez szükséges alkalmassági feltételek teljesítése.

Az adatkezelés jogalapja: jogi (a Munka törvénykönyve, a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendeletben előírt) kötelezettség teljesítése (Rendelet 6. cikk (1) bek. c) pont), valamint a személyes adatok különleges kategóriáira vonatkozóan a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettség teljesítése (Rendelet 9. cikk (2) bek. b) pont.

A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.

A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 3 év.

1.3. Felvételre jelentkező személyek adatainak kezelése

A kezelhető személyes adatok köre: a természetes személy neve, születési helye, ideje, anyja neve, lakcíme, képesítési adatok, az erre vonatkozó bizonyítvány-másolatok, fénykép, telefonszám, e-mail cím, önéletrajz, a benyújtott pályázat, a jelentkezőről készített munkáltatói értékelés (feljegyzés).

A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztott személlyel munkaszerződés megkötése.

Az érintettet az elutasító döntés meghozatalát követő 15 napon belül tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.

Az adatkezelés jogalapja: az érintett hozzájárulása (Rendelet 6. cikk (1) bek a) pont).

A személyes adatok tárolásának időtartama: az érintett hozzájárulása hiányában a jelentkezés, pályázat elbírálását követő 15 nap. A ki nem választott jelentkezők személyes adatait a 16. napon törölni kell. Törölni kell annak a jelentkezőnek az adatait is, aki jelentkezését, pályázatát visszavonta.

A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a fenti határidőn túl a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően – a 15 napos határidő leteltéig - kell kérni a jelentkezőktől. Ebben az esetben személyes adatok tárolásának időtartama: 5 év.

1.4. Munkára alkalmas állapot vizsgálata

Az adatkezelés célja: A Társaság a munkavállalója munkavégzésének helyén a munkavállaló csak biztonságos munkavégzésre alkalmas állapotban, a munkavédelemmel kapcsolatos utasítások és előírások betartásával tartózkodhat és végezhet munkát. A munkavállaló köteles a munkatársaival együttműködni, és munkáját úgy végezni, hogy az mások, vagy saját testi épségét ne veszélyeztesse.

A Társaság által kezelt intézmények teljes területén tilos a munkavállalóknak alkoholos befolyásoltság, vagy egyéb tudatmódosító szer hatása alatt tartózkodniuk. Mivel ezen tudatmódosító szerek hatása alatt a munkaképesség nem biztosítható, a Munka törvénykönyvéről szóló 2012.évi I. tv, valamint a munkavédelemről szóló 1993.évi XCIII. tv. alapján a munkáltató köteles meggyőződni róla, hogy a munkavállalók betartják-e az alkoholfogyasztás tilalmával kapcsolatos szabályokat. A munkáltató ellenőrzési gyakorlata nem járhat az emberi méltóság megsértésével, így a vizsgálat csak a Társaság munkavédelmi utasításával összhangban megvalósítható. A munkavállaló alkoholszondás ellenőrzésével kapcsolatosan jegyzőkönyvet kell felvenni.

A kezelt adatok köre: Munkavállaló neve, anyja neve, születési helye, ideje, beosztása, ellenőrzés eredménye

Az adatkezelés jogalapja: A munkavédelemről szóló 1993.évi XCIII. tv 60. § valamint a munka törvénykönyvéről szóló 2012.évi I. tv 52. §-a, tehát jogi kötelezettség teljesítése (Rendelet 6. cikk (1) bek. c) pont), valamint a személyes adatok különleges kategóriáira vonatkozóan a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettség teljesítése (Rendelet 9. cikk (2) bek. b) pont.

Az adatkezelés időtartama: Az ellenőrzés tényéből származtatott jogok és kötelességek által

megalapozott igények érvényesítési lehetőségeiből fakadó határidő.

1.4.1. Megváltozott munkaképességű munkavállalók

A megváltozott munkaképességű munkavállalókra adatkezelési szempontból azonos szabályok vonatkoznak, mint a Társaság saját alkalmazottjaira, rájuk vonatkozóan azonban bővebb a kezelt adatok köre. A Társaság törvényi előírás alapján kezeli a megváltozott munkaképességű munkavállalók egészségi állapotára vonatkozó adatokat.

Kezelt adatok köre: a munkaviszony létesítésére vonatkozó adatokon kívül a munkavállaló fogyatékosságát igazoló, szükséges orvosi dokumentumok.

Az adatkezelés jogalapja: jogi kötelezettség teljesítése (Rendelet 6. cikk (1) bek. c) pont), valamint a személyes adatok különleges kategóriáira vonatkozóan a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettség teljesítése (Rendelet 9. cikk (2) bek. b) pont.

1.5. E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés

Ha a Társaság e-mail fiókot bocsát a munkavállaló rendelkezésére – ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.

A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.

A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.

Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.

Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.

Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.

Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az email címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.

Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat.

A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.

A kezelt adatok köre: Munkavállaló neve, e-mail címe, ellenőrzés eredménye

Az adatkezelés jogalapja: A munka törvénykönyvéről szóló 2012. évi I. tv 8. §., 52. §, tehát jogi kötelezettség teljesítése (Rendelet 6. cikk (1) bek. c) pont)

Az adatkezelés időtartama: Az ellenőrzés tényéből származtatott jogok és kötelességek által megalapozott igények érvényesítési lehetőségeiből fakadó határidő.

1.6. Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés

A Társaság által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi 1.5. pont rendelkezései irányadók.

1.7. A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés

A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.

A munkaköri feladatként a Társaság nevében elvégzett internetes regisztrációk jogosultja a Társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni a Társaság.

A munkavállaló munkahelyi internethasználatát a munkáltató ellenőrízheti, amelyre és jogkövetkezményire az 1.5. pont rendelkezései irányadók.

1.8. Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés

A munkáltató engedélyezi a céges mobiltelefon magáncélú használatát meghatározott költségtérítés megfizetése ellenében, így a mobiltelefon a továbbiakban nem csak munkavégzéssel összefüggő célokra használható. A munkáltató a kimenő – üzleti célú - hívások hívószámát és adatait, továbbá a mobiltelefonon üzleti célból tárolt adatokat ellenőrizheti.

A munkavállaló nem köteles külön bejelenteni a munkáltatónak, ha a céges mobiltelefont magáncélra is használta, de az ellenőrzéskor az üzleti és magáncélú hasznűlatot el kell különíteni. Az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné.

Egyebekben az ellenőrzésre és jogkövetkezményire az 1.5. pont rendelkezései irányadóak.

2. A tagok személyes adatainak nyilvántartása

A Társaság tagjainak cégjegyzékben szereplő adatai nyilvánosak, azokhoz adatvédelmi intézkedések nem köthetők. Azok az adatok azonban, amelyek a cégjegyzéknek nem részei, ugyanolyan védelmet kell, hogy élvezzenek, mint bármely más természetes személy adatai.

Ezek az adatok a következők:

születési név,
születési hely,
adóazonosító jele,
TAJ száma,
telefonszám,
e-mail cím,
személyi igazolvány száma,
lakcímkártya száma,
bankszámlaszáma (ha bármely pénzbeli juttatás bankszámlára való átutalással történik),
törzsbetét mértéke.

Az adatkezelés jogalapja: a tagnak a Társasággal kötött szerződésének teljesítéséhez szükséges az adatkezelés: azaz a Rendelet 6. cikk (1) bekezdés b) pontja.

Adatok tárolásának időtartama: A személyes adatok tárolásának időtartama a tagsági viszony megszűnését követő 5 év.

A Társaság jelen Szabályzat melléklete szerinti Tájékoztató átadásával tájékoztatja a Kft. tagját személyes adatainak kezeléséről és a személyhez fűződő jogairól.

3. Jogi kötelezettségen alapuló adatkezelés

3.1. Adatkezelés az adó- és számviteli kötelezettségek, adatszolgáltatás teljesítése céljából

A Társaság kezeli a vevőként, szállítóként, bérbeadóként, szolgáltatás igénybe vevőjeként, illetve vele egyéb üzleti kapcsolatban álló vagy üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.

A kezelhető személyes adatok köre: a természetes személy természetes személyazonosító adatai: név (előző név) születési hely, idő, anyja neve, lakcíme, adószáma és adóazonosító száma.

Az adatkezelés jogalapja az adójogszabályokban (pl. az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény, az adózás rendjéről szóló 2017. évi CL. törvény, foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése esetén a jogszabályoknak való megfelelés (Rendelet 6. cikk (1) bek. c) pont), míg, a szerződéskötést megelőzően megteendő intézkedések (szerződés megkötése), szerződés-módosítás esetén: szerződés teljesítése) esetén – ha a szerződéskötés az érintett magánszeméllyel történik – a szerződésből fakadó kötelezettség teljesítése (Rendelet 6. cikk (1) bek. b) pont).

A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 7 év. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.

3.2. Kifizetői adatkezelés

A Társaság jogi kötelezettség teljesítése jogcímén, törvényben (jogszabályban) előírt adó- és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – munkavállalók, tagok, foglalkoztatottak, egyéb juttatásban részesülők és szerződéses kapcsolatban állók – adótörvényekben előírt személyes adatait, akikkel kifizetői (az adózás rendjéről szóló 2017. évi CL. törvény (Art. 7.§ 31.) kapcsolatban áll.

A kezelt adatok köre: a természetes személy természetes személyazonosító adatai: név (előző név) születési hely, idő, anyja neve, lakcíme, adószáma és adóazonosító száma, társadalombiztosítási azonosító jele (TAJ szám), ha az érintett nyugdíjas, a nyugdíjas törzsszáma. Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§ (2) b./) tagságra vonatkozó adatait az adó- és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.

Az adatkezelés jogcíme: az adójogszabályokban (pl. az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény, az adózás rendjéről szóló 2017. évi CL. törvény), a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvényben foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése. (Rendelet 6. cikk (1) bek. c) pont),

A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 7 év.

4. A Társaság gazdasági tevékenységével kapcsolatos adatkezelések

4.1. Gépjárművek bérbeadásához/szerződéskötéshez kapcsolódó adatkezelések

A Társaság fő tevékenysége szerint személygépjárműveket ad bérbe jogi személyeknek, illetve magánszemélyeknek. Ennek keretében szerződéseket köt ezen ügyfelekkel.

Bérbeadás magánszemélyeknek/szerződéskötés magánszeméllyel

Szerződéses kapcsolatban álló magánszemély partnerek adatainak kezelése – bérbeadók, bérbevevők, vevők, szállítók, stb. személyes adatainak nyilvántartása – az általános adatvédelmi Rendelet (GDPR) szabályai szerint történik.

Az adatkezelés jogcíme: szerződéskötést megelőzően megteendő intézkedések, szerződés megkötése, teljesítése, megszűnése

Az érintettek köre: a vevőként, szállítóként, integrációban résztvevőként, szolgáltatás igénybe vevőjeként, illetve a Társasággal egyéb üzleti kapcsolatban álló vagy üzleti kapcsolatba lépő természetes személyek.

A kezelt adatok köre: az érintett neve, születési neve, születési helye, ideje, anyja neve, lakcíme, adóazonosító jele, adószáma, vállalkozói igazolvány száma, személyi igazolvány száma, lakcíme, székhelye, telefonszáma, e-mail címe, honlap-címe, bankszámlaszáma, vevőszáma (ügyfélszáma, rendelésszáma)

A személyes adatok kezelésének jogalapja: az érintettel kötött szerződés teljesítése, azaz a Rendelet 6. cikk (1) bekezdés b) pontja.

A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 8 év, a Ptk.-ban és az adójogszabályokban foglalt kötelezettségeknek való megfelelés alapján.

Az érintett személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződéskötési szándék, illetve szerződés teljesítése jogcímen alapul. A tájékoztatás megtörténhet magában a szerződésben, illetve az annak mellékletét képező tájékoztatóban vagy a honlapon közzétett adatkezelési tájékoztatóban is.

Az érintettet személyes adatai adatfeldolgozó (amennyiben a Társaság igénybe vesz adatfeldolgozót) részére történő átadásáról is tájékoztatni kell.

Bérbeadás jogi személyeknek/szerződéskötés jogi személlyel

Jogi személy partnerek cégjegyzékben nem szereplő természetes személy képviselőinek személyes adatai kezelése során a kezelhető személyes adatok köre az alábbi: a természetes személy neve, címe, telefonszáma, e-mail címe.

Amennyiben a gazdálkodó szervezet szerződő fél az Adatkezelővel kötött szerződésben a vezető tisztségviselő vagy cégvezető, illetve a cégjegyzékben szereplő törvényes képviselő adatait adja meg, úgy a cégjegyzékből ismert, nyilvános adatok kezeléséhes egyéb jogcím nem szükséges.

A cégjegyzékben nem szereplő kezelt adatok: a magánszemély telefonszáma, e-mail címe.

A személyes adatok kezelésének célja: a Társaság jogi személy partnerével szerződés megkötése, teljesítése, üzleti kapcsolattartás.

Az adatkezelés jogalapja: a Társaság jogos érdeke, a partnerrel fennálló üzleti kapcsolat fenntartása, a kapcsolattartás megkönnyítése. Rendelet 6. cikk (1) bekezdés f) pont.

A Társaság a jogos érdeket érdekmérlegelési teszt alapján vizsgálta és igazolta. Az érdekmérlegelési teszt igazolta, hogy ezen adatkezelés az adatkezelő érdekei vérvényesítése érdekében szükséges, az érintettek szabadságait és érdekeit az adatkezelés ilyen módja hátrányosan nem érinti.

A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 év. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.

Ha az érintettre vonatkozó személyes adatokat az Adatkezelő az érintettől gyűjti, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a) az adatkezelőnek és az ügyvezetőnek a kiléte és elérhetőségei;

b a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

c) az adatkezelő vagy harmadik fél jogos érdekei;

A Társaság által ilyen célból gyűjtött adatok más adatkezelő vagy adatfeldolgozó részére átadásra nem kerülnek, harmadik országba Adatkezelő nem továbbítja őket.

4.2. Online és személyes ügyfélszolgálat

A Társaság tevékenységéhez kapcsolódó ügyfélkapcsolati tevékenységét is ellát. Az ügyfelek összes kérdésükkel, ajánlatkérésükkel, bejelentéseikkel, észrevételükkel, reklamációikkal, panaszukkal személyesen, telefonon, levélben, e-mailben, valamint interneten tudnak a Társasághoz fordulni.

A Társaság online levelezési lehetőséget a www.nelson.hu, www.cegautoberlet.hu, www.autosaman.hu, www.nelsonflotta.hu oldal címen kínál az ügyfelek részére.

Az adatkezelés célja: a beérkező ajánlatkérések, panaszok, kérelmek megválaszolásához szükséges elérhetőségek rögzítése, a panaszok, hibabejelentések felvétele.

Az ügyfélszolgálati tevékenység kapcsán a Társaság ugyanazon személyes adatokat kezeli, mint szerződéskötés esetében. Ezen felül rögzíti:

az ajánlat, panasz, kérelem előterjesztésének helye, ideje, módja,
panasz esetében annak részletes leírását, a bemutatott iratokat, dokumentumok és egyéb bizonyítékok jegyzékét,
a személyesen tett kérelem, panasz esetén a jegyzőkönyvet felvevő személy és - telefonon vagy egyéb elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panasz kivételével – az ügyfél aláírását,

Az adatkezelés jogalapja: a Társaság jogos érdeke, a partnerrel fennálló üzleti kapcsolat fenntartása, a panaszok ügyintézésének megkönnyítése. Rendelet 6. cikk (1) bekezdés f) pont.

A Társaság a jogos érdeket érdekmérlegelési teszt alapján vizsgálta és igazolta. Az érdekmérlegelési teszt igazolta, hogy ezen adatkezelés az adatkezelő érdekei érvényesítése érdekében szükséges, az érintettek szabadságait és érdekeit az adatkezelés ilyen módja hátrányosan nem érinti.

Az adattárolás határideje: panasz esetében a panasz megválaszolásától számított 5 év., ajánlat, kérelem esetén a válaszadást követő 1 év.

4.3. Igényérvényesítés, jogviták, hatósági eljárások

A Társaság tevékenységével kapcsolatosan az érintettek a Társasággal szemben jogvitát kezdeményezhetnek, vagy az Érintettekkel szemben a Társaság jogvitát kezdeményezhet.

Érintettek köre: Azon személyek, akikkel szemben a Társaság igényt érvényesít, vagy akik a Társasággal szemben igényt érvényesítenek.

Az adatkezelés célja: A Társaság igényérvényesítése eredményességének biztosítása. A Társasággal szembeni igényérvényesítés esetén a Társaság álláspontjának bizonyítása, hatósági megkeresések, felhívások teljesítése

Kezelt adatok köre Név, lakcím, telefonszám, igényérvényesítéssel kapcsolatos egyéb információk

Az adatkezelés jogalapja: A Társaság jogos érdeke: követelésbehajtás, igényérvényesítés, jogvédelem, jogi kötelezettség teljesítése (Rendelet 6. cikk (1) bek. f) pont)

Az adatkezelés időtartama: Az igényérvényesítés vagy eljárás jogerős lezárultát követő 5 év

5. A Társaság WEB lapja

A Társaság weblapjainak elérhetősége:

www.nelson.hu,

www.cegautoberlet.hu,

www.autosaman.hu,

www.nelsonflotta.hu

A Társaság WEB lapjain a Társaság szolgáltatásit ismerhetik meg az Internet használó érdeklődők, valamint ajánlatot kérhetnek a Társaság szolgáltatásaival kapcsolatosan.

Az adatkezelés célja: A Honlapon elérhető szolgáltatások működtetése, az érdeklődő ügyfelek (érintettek) tájékoztatása

Az adatkezelés jogalapja: a Társaság jogos érdeke (Rendelet 6. cikk (1) bek. f) pont),

A kezelt adatok köre:

ajánlatkérő neve
általa képviselt cég neve
e-mail cím
telefonszám
adószám
visszahívás kérése
autómárkák iránti érdeklődés
ügyfél által megadott egyéb kérések

Az Érintett a kért adatok (legalább az ajánlatkérő neve, az általa képviselt cég neve, e-mail címe és telefonszáma) megadását követően csak akkor tudja elküldeni az ajánlatkérést, ha

az adatokat követő jelölőnégyzetekre történő kattintással elfogadja az Adatkezelési tájékoztatóban foglaltakat és hozzájárul adatai tájékoztató szerinti kezeléséhez, valamint jelöli a „Nem vagyok robot” négyzetet is. Ez utóbbi azért szükséges, hogy Adatkezelő biztosítani tudja, hogy az ajánlatkérők személye kizárólag a humán felhasználók köréből kerülhet ki. Ezen jelölések nélkül az „Ajánlatot kérek” gomb nem kezelhető.

A hírlevélszolgáltatásra történő jelentkezés nem kötelező eleme az ajánlatkérésnek, ennek jelölése nélkül az ajánlat elküldhető.

A hírlevélszolgáltatás jogalapja: az ügyfélnek a Rendelet 6. cikk (1) bekezdés a) pontja szerinti önkéntes hozzájárulása

Az adatkezelés időtartama: marketing célú adatkezelés esetén a hozzájárulás visszavonásáig, de legfeljebb a szolgáltatás megszűnését követő 1 évig.

A Társaság Interneten nem kereskedik.

5.1. A honlapon lévő sütik

A honlapon a sütik használatának célja, hogy a későbbiekben jobban testre szabhatóak legyenek a weboldalak, az Ügyfél érdeklődésének és igényeinek megfelelően, ezáltal könnyebbé válik az oldalak használata. A sütik célja továbbá a jövőbeni felhasználói tevékenységek gyorsítása és a felhasználói élmény javítása az oldalak használata közben. A sütik anonim, összesített statisztika készítésére is alkalmasak, így jobban megérthető, hogy az emberek hogyan használják az oldalakat és így javítani lehet azok struktúráján és tartalmán. Ebből az információból nem lehet a természetes személyt azonosítani.

A használt sütik fajtái:

- Anonim látogatóazonosító (süti) elhelyezése

Az anonim látogatóazonosítók (sütik) olyan fájlok vagy információdarabok, amelyek a felhasználó számítógépén (vagy más internetképes készülékén, mint okostelefon vagy táblagép) tárolódnak, amikor meglátogat egy oldalt. Egy süti általában tartalmazza a webhely nevét, ahonnan az jött, a saját „élettartamát” (vagyis, hogy milyen hosszan marad a készüléken) és az értékét, ami általában egy véletlenszerűen generált egyedi szám

- Szükséges sütik

Ahhoz szükségesek, hogy az oldalak jól működjenek, lehetővé teszik a felhasználóknak, hogy mozogjon webhelyeken és használja a különböző funkciókat. Például a korábbi lépésekre, beírt szövegre való emlékezés megkönnyíti a használatot, amikor visszanavigál egy oldalra ugyanabban a munkamenetben.

Ezek a sütik nem azonosítják egyénileg a felhasználót. Ha a felhasználó nem fogadja el ezen sütik használatát, annak hatása lehet a webhelyre és annak teljesítményére.

- Teljesítmény sütik

Segítik megérteni, hogy a látogatók hogyan lépnek kapcsolatba webhelyekkel azáltal, hogy információt szolgáltatnak a meglátogatott helyekről, arról, hogy mennyi időt töltenek az oldalon, és bármely problémáról, amivel találkoztak, mint például a hibaüzenetek. Ez segít a Szolgáltató webhelyeinek teljesítményének javításában.

Ezek a sütik nem azonosítanak egyénileg felhasználót. Az adatokat összesítve és névtelenül gyűjtik.

- Funkcionalitás sütik

Lehetővé teszik a webhelyeknek, hogy emlékezzenek arra, mik kerültek kiválasztásra (mint például a felhasználónév, nyelv, vagy a régió, ahol tartózkodik az oldal látogatója), hogy egy személyesebb online tapasztalatot nyújtsanak. Azt is lehetővé teszik, hogy videókat nézzen, játékokat játsszon és társasági eszközöket használjon, mint például a blogok, chatszobák és fórumok.

Az ilyen sütik által gyűjtött információkban lehetnek személyes azonosító adatok, amelyeket a felhasználó megosztott, mint a felhasználóneve vagy profilképe. Mindig nyilvánvalóan tájékoztatni kell az Ügyfelet arról, hogy milyen információt gyűjt a Társaság, mit csinál vele és kivel osztja meg azt. Ha nem fogadja el az oldalt használó ezeket a sütiket, annak hatása lehet a webhely teljesítményére és funkcionalitására és korlátozhatja hozzáférését a webhely tartalmához.

- Célzás vagy Reklám sütik

Ezeket a sütiket olyan tartalmak szállítására használja a Társaság, amelyek relevánsabbak a felhasználó számára és érdeklődési köre számára. Ezeket arra lehet használni, hogy célzott hirdetést juttassanak el, és hogy korlátozzák, hogy hányszor néz meg valaki egy hirdetést.

Abban is segítenek, hogy mérni lehessen a reklám kampányok hatékonyságát az oldalakon. Ezeket a sütiket arra lehet használni, hogy emlékezzenek a webhelyekre, amelyeket meglátogatott a felhasználó és megoszthatja a Társaság ezt az információt más felekkel, ideértve hirdetőit és az ügynökségeket.

Az ilyen sütik legtöbb fajtája követi az érintetteket IP címükön keresztül ez által gyűjthetnek személyesen azonosítható információkat.

6. GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés

A Társaság a tulajdonát, illetve bérleményét képező egyes gépjárművek esetén a gépjárművek tartózkodási helyének ellenőrzését lehetővé tevő GPS berendezést alkalmaz. A GPS berendezés alkalmazásának célja a munkavállalói bizonylatolási kötelezettség (a menetlevél vezetése) helyességének ellenőrzése. A munkavállaló és bérbevevő közúti közlekedés szabályai megsértésének utólagos ellenőrzése, a Társaság vagyoni védelme, valamint a Társaság által használt gépjárművek kihasználtságának optimalizálása.

A GPS rendszer alkalmazásának jogalapja a Társaság jogos érdeke, a Rendelet 6. cikk (1) be. f) pontja.

Az adatkezelés célja: munkaszervezés, logisztika, munkavállalói kötelezettségek teljesítésének ellenőrzése, valamint a bérbeadott járművek ellenőrzése, a bérlők részére annak a lehetőségnek a biztosítása, hogy a gépjármű-használók munkajogi kötelezettségeinek betartását közvetlenül ellenőrizhessék.

A kezelt adatok köre: munkavállaló, illetve bérlő neve, általa használt gépjármű rendszáma, a munkavállalók/bérlők tartózkodási helye a megtett útvonal, távolság, gépjárműhasználat időtartama.

Az ellenőrzés csak a Társaság tulajdonát, illetve bérleményét képező gépjárműveinek ellenőrzésére terjedhet ki.

A GPS berendezés által rögzített adatokat kizárólag az ügyvezető, valamint a Társaság azon munkavállalója, vagy megbízottja jogosult megismerni, akinek ez feladatköréből adódóan, kötelezettségei teljesítése érdekében szükséges.

Az adatkezelés jogalapja a Társaság jogos érdeke, a Rendelet 6. cikk (1) bekezdés f) pontja.

A GPS berendezés által rögzített adatok felhasználás hiányában legfeljebb a rögzítéstől számított 180 (száznyolcvan) nap elteltével megsemmisítésre, illetve törlésre kerülnek.

Az, akinek jogát vagy jogos érdekét a GPS adatának rögzítése érinti, rögzítésétől számított 180 munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője, ne semmisítse meg, illetve ne törölje (adatkezelés korlátozása).

7. Tájékoztatási célzattal készített fotó ill. videofelvételek készítése

Az adatkezelés célja: A Társaság a tevékenységének bemutatásáról, a vállalat keretein belül szervezett eseményekről tájékoztató, ill. reklámfilmet, valamint fotókat készíthet, melyen a Társaság dolgozói szerepelhetnek. A dolgozókat a Társaság nem kötelezi a felvételeken történő szereplésre, ez kizárólag a munkavállaló egyéni döntése. A munkáltató kijelenti, hogy a felvételek készítésének célja nem a munkavállaló munkavégzés közbeni tevékenységének megfigyelése, és a dolgozót nem ábrázolja negatív formában. A Társaság kijelenti, hogy a felvétel nem sérti a dolgozó személyhez fűződő, a jó hírnév, a becsület, illetve az emberi méltóság védelméhez fűződő jogait.

A kezelt adatok köre: Fotó, videó, ill. hangfelvétel

Az adatkezelés jogalapja: a Társaság jogos érdeke (Rendelet 6. cikk (1) bek. f) pont),

Az adatkezelés időtartama: A felvétel készítés okául szolgáló rendezvény, vagy marketing tevékenység céljának eléréséig.

A Társaság köteles a felvételek elkészítése és nyilvánosságra hozatala során körültekintően eljárni, hogy az elkészített felvétel senkinek az emberi méltóságát ne sértse.

8. Külföldre történő adattovábbítás

Személyes adatot a Társaság harmadik országban működő adatkezelő részére nem továbbít. Az EGT országokba történő adattovábbítást úgy kell tekinteni, mintha Magyarországon belüli adattovábbításra kerülne sor.

Egyéb célból történő adatkezelés

Amennyiben a szervezet olyan adatkezelést kíván végezni, amely ebben a szabályzatban nem szerepel, előzetesen ezen szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész-szabályokat hozzákapcsolni.

Adatfeldolgozói tevékenység

Adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Adatfeldolgozónak minősül – többek között – a Társaság részére könyvvizsgálói szolgáltatást végző vállalkozó vagy a Társaság honlapjának tárhelyszolgáltatója, a Társaság szervereinek üzemeltetője, egyedi szoftvereinek karbantartója, stb.

A Társaság a tevékenysége végzése során igénybe vett Adatfeldolgozókat külön nyilvántartásban vezeti.

Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

Az adatfeldolgozási szerződés legalább az alábbi rendelkezéseket tartalmazza:

(a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

(b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

(d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó rendelkezésekben említett feltételeket;

(e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

(f) segíti az adatkezelőt az adatkezelés biztonságára, adatvédelmi incidens bejelentésére, az adatvédelmi hatásvizsgálat és előzetes konzultáció lefolytatására vonatkozó kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

(g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;

(h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatfeldolgozás tekintetében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:

- az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének a neve és elérhetőségei;
- az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
- adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;
- ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési intézkedések általános leírása.

A Társaság a tevékenysége során adatfeldolgozóként nem jár el.

Az adatfeldolgozókkal kötendő megállapodás mintapéldányát jelen szabályzat melléklete tartalmazza.

Adatvédelmi incidensek kezelése, orvoslása

Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a Társaság vezetőjének feladata.

A Társaság adatvédelmi incidensnek tekint minden olyan kezelt adatok biztonságában okozott sérelmet, amely a természetes személyek

a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,
a hátrányos megkülönböztetést,
a személyazonosság-lopást vagy a személyazonossággal való visszaélést,
a pénzügyi veszteséget,
az álnevesítés engedély nélküli feloldását,
a jó hírnév sérelmét,
a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve
a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt

okozhat.

Az adatvédelmi incidensek elkerülése érdekében szükséges az alábbi intézkedések betartása:

Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.
Az Informatikai biztonsági szabályzat előírásait minden munkavállalónak be kell tartania.
Minden munkavállaló a munkája során kezelt adatok biztonságáért felelőséggel tartozik.
Amennyiben a társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a Társaság vezetőjét.
A Társaság munkavállalói kötelesek jelenteni a Társaság vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

Adatvédelmi incidensről való tudomásszerzés esetén a Társaság vezetője – az adatok biztonságáért felelő dolgozó bevonásával – haladéktalanul megkezdi annak kivizsgálását, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.

Meg kell vizsgálni és meg kell állapítani:

az incidens bekövetkezésének időpontját és helyét,
az incidens leírását, körülményeit, hatásait,
az incidens során jogosulatlanul megismert adatok körét, számát,
az incidenssel érintett személyek körét,
az incidens elhárítása érdekében tett intézkedések leírását,
a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

Ha adatvédelmi incidens következett be, a Társaság indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti azt a felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az incidens bejelentése a felügyeleti hatóság honlapján található Incidens bejelentő rendszer használatával történik.

Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

az érintett személyes adatok körét,
az adatvédelmi incidenssel érintettek körét és számát,
az adatvédelmi incidens időpontját,
az adatvédelmi incidens körülményeit, hatásait,
az adatvédelmi incidens orvoslására megtett intézkedéseket,
az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

ZÁRÓ RENDELKEZÉSEK

A Szabályzat megállapítására és módosítására a Társaság ügyvezetője jogosult.

E Szabályzat rendelkezéseit meg kell ismertetni a Társaság valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) munkaköri kötelezettsége.

Budapest, 2022. május 27.

Elérhetőségeink

Irodáink