PREAMBULUM
Jelen adatvédelmi nyilatkozat a www.korosi.org weboldalra történő látogatás esetére határozza meg az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, a személyes adatok kategóriáit; továbbá az adatkezelő kötelezettségeit és jogait; az adattovábbítás feltételeit; szabályozza az Adatkezelő és az Érintett közti kapcsolatot, a kapcsolattartás, valamint a jogérvényesítés módját; illetve jogsértés esetén a jogorvoslati lehetőségeket.
Az adatvédelmi nyilatkozat közzétételétől hatályos, annak módosítására az Adatkezelő egyoldalúan jogosult (az utolsó módosítás dátumát feltüntetve). Kérjük az alábbi Adatvédelmi Nyilatkozatot figyelmesen olvassa el! Kérdés, illetve probléma esetén előzetesen vegye fel a kapcsolatot az Adatkezelővel.
Az Adatvédelmi Nyilatkozat elfogadásával az abban foglalt valamennyi rendelkezést elfogadja.
ADATVÉDELMI NYILATKOZAT
1) A Kőrösi Nonprofit Kft., mint a személyes adat kezelője és feldolgozója is egyben, az adatok feldolgozására és nyilvántartását maga végzi, harmadik felet a feladattal nem bíz meg (a továbbiakban: Adatkezelő).
2) Az Adatkezelő a birtokába jutott információkat profilalkotásra nem használja fel, ilyen tevékenységet nem végez, továbbá harmadik fél részére profilalkotás céljából adatot nem ad át. A személyes adatok a nyilvántartási rendszerben kizárólag a személyes adatok kezelése céljainak eléréséhez szükséges ideig kerülnek tárolásra.
3) Fogalmak ‐ adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; ‐ érintett: bármely meghatározott, személyes adat alapján azonosított vagy ‐ közvetlenül vagy közvetve ‐ azonosítható természetes személy; ‐ személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; ‐ harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
4) Adatkezelő adatai Adatkezelő neve: Kőrösi Csoma Sándor Kőbányai Kulturális Nonprofit Korlátolt Felelősségű Társaság Székhelye: 1116 Budapest, Szent László tér 7-14.
5) Adatkezelés jogalapja: Az adatkezelés jogalapja az Érintett megfelelő tájékoztatáson alapuló, határozott és önkéntes hozzájárulása (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, a továbbiakban: Infotv. [5. § (1) a)]).
6) Az Érintett a korábbi beleegyezését időkorlát nélkül, bármikor visszavonhatja. A beleegyezés visszavonása kiterjed az Érintett együtt kezelt valamennyi adatára, azonban ez a folyamatban lévő teljesítést nem érinti.
7) A kezelt adatok köre ‐ az érintett számítógépének IP‐címe, és a megtekintett oldalak címe; ‐ a böngészésre használt eszköz típusa; ‐ sütik; ‐ külön hozzájárulás alapján: tartózkodási hely; ‐ külön hozzájárulás alapján: e‐mail cím (hírlevél küldése céljából) Az Adatkezelő semmilyen esetben nem gyűjt szenzitív személyes adatot.
8) Rendelkezés a személyes adatról Az Érintett – a kezelt személyes adataival kapcsolatban – jogairól bármikor tájékoztatást kérhet, jogainak gyakorlása érdekében kérelmet terjeszthet elő a korosi@korosi.org címen. Adatkezelő az Érintett kérelmére teljes tájékoztatást ad az általa kezelt és az adatfeldolgozó által feldolgozott adatok köréről, jogalapjáról, az adatkezelés céljáról, időtartamáról, és a hozzájárulás körülményeiről. Adatkezelő a tájékoztatást kivételesen tagadhatja meg, melyről az Érintettet a pontos ok és jogszabály megjelölésével tájékoztatja.
9) Az Érintett jogai személyes adatainak kezelésével kapcsolatban Az Érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‐e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz hozzáférést kapjon (hozzáférés joga). Az Érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat (helyesbítéshez való jog). Az Érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje meghatározott feltételek esetén (törléshez való jog). Az Érintett jogosult arra, hogy kérésére, meghatározott feltételek esetén az adatkezelő korlátozza az adatkezelést (az adatkezelés korlátozásához való jog), továbbá arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen (tiltakozáshoz való jog). Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta (adathordozhatósághoz való jog).
10) Az adatkezelés ideje Adatkezelő az Érintett önkéntes hozzájárulása alapján birtokába került személyes adatokat határozatlan ideig tárolja. Az adatok törlésre kerülnek: ‐ az Érintett törlésre irányuló kérelmét követően azonnal (kivéve, ha a vállalt kötelezettség teljesítéséhez vagy jogok érvényesítéséhez azokra továbbra is szükség van, a kötelezettség teljesítéséig vagy jog érvényesítéséig) ‐ a honlap megszűnésével ‐ az adatkezelés jogalapjának vagy céljának megszűnésével.
11) Az adatokat megismerő személyek köre Az adatokat elsődlegesen Adatkezelő, illetve Adatkezelő belső munkatársai, az adatfeldolgozással megbízott személyek jogosultak megismerni, azokat nem teszik közzé, harmadik személyek részére nem adják át és csak az Adatkezelési nyilatkozatban meghatározott célokra használják, illetve használhatják fel. Adatkezelő a személyes adatokat harmadik fél részére nem továbbítja.
12) Jegyvásárlás A www.korosi.org weboldalon szereplő események látogatásához szükséges jegyek értékesítését a jegy.hu végzi. Jegy vagy bérlet vásárlásának szándéka esetén az Érintettet honlapunk a www.jegy.hu weboldalra irányítja. A www.korosi.org weboldalon a vásárlással összefüggésben személyes adat megadására nem kerül sor. A Kőrösi Nonprofit Kft. az átirányítás során adatokat továbbíthat. Az átirányítást követően, az Érintettnek a vásárlással (vagy regisztrációval) összefüggésben megadott és/vagy keletkezett személyes adatai tekintetében a jegy.hu önálló adatkezelőnek minősül. A jegy.hu által kezelt adatokért a Kőrösi Nonprofit Kft. nem vállal felelősséget. A jegy.hu Adatkezelési Tájékoztatója a https://www.jegy.hu/adatkezelesi‐szabalyzat linken érhető el.
13) Adatbiztonság Adatfeldolgozó a kezelt személyes adatok biztonságáról a szükséges technikai és szervezési intézkedések, berendezések és eljárások biztosításával védi a személyes adatokat a jogosulatlan vagy jogellenes kezeléssel, elvesztéssel, megsemmisítéssel, károsodással szemben.
14) Hírlevél A célzott reklámcélú küldemények küldése érdekében Érintett személyes adatai kizárólag az Érintett egyéb felhasználási céloktól eltérő, külön hozzájárulása alapján kerülnek felhasználásra. Az Érintett ezen hozzájárulását erre való tekintettel, önkéntesen és kifejezetten, tevőleges magatartásával adja meg. Érintett hírlevélről történő leiratkozása esetén Adatkezelő az Érintett személyes adatait az erre elkülönített nyilvántartásából észszerű határidőn belül törli.
15) Sütik A webhely böngészése folyamán technikai információk kerülnek rögzítésre statisztikai célokból. (IP cím, látogatás időtartama). Ezen adatokat az Üzemeltető kizárólag jogilag hitelesen indokolt, és alátámasztott esetben adja át a hatóságok részére. A szolgáltatás igénybevételéhez ‘cookie’‐k engedélyezése szükséges. Amennyiben nem szeretné engedélyezi a ‘cookie’‐k használatát, letilthatja a böngészője beállításaiban. ‘Cookie’‐k tiltása esetén a szolgáltatás bizonyos elemei csak részben, vagy egyáltalán nem használhatók. A ‘cookie’ egy olyan fájl, amelyet a szerver küld a felhasználó böngészőjének, és amelyet a felhasználó számítógépe tárol.
16) Automatizált döntéshozatali Adatkezelő az adatkezelés során nem alkalmaz automatizált döntéshozatalt.
17) Személyes adat harmadik fél részére történő továbbítása értékesítés céljából Adatkezelő a birtokolt adatot nem értékesíti.
18) Jogorvoslat Érintett személyes adatainak megsértése esetén anaszával a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, illetve jogsértés esetén az illetékes Törvényszékhez fordulhat.
Adatkezelési Szabályzat
1. Preambulum
A Kőrösi Csoma Sándor Kőbányai Kulturális Nonprofit Korlátolt Felelősségű Társaság (a továbbiakban: Kőrösi Nonprofit Kft. vagy Társaság) kinyilvánítja, hogy adatkezelési tevékenységét – a megfelelő belső szabályok, technikai és szervezési intézkedések meghozatalával – úgy végzi, hogy az minden körülmények között megfeleljen AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet vagy GDPR) – továbbá a mindenkor hatályos vonatkozó törvények és egyéb jogszabályok [különösen, de nem kizárólagosan: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.)] rendelkezéseinek.
2. A Szabályzat célja, hatálya
2.1. A Szabályzat célja
A Kőrösi Nonprofit Kft. jelen szabályzatban (a továbbiakban: Szabályzat) határozza meg a természetes személyek személyes adatainak védelmével és kezelésével kapcsolatos irányelveket és kötelezettségeket.
A Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a Társaság adatkezelő tevékenysége megfeleljen a Rendelet, valamint az Infotv. rendelkezéseinek. A Szabályzat célja továbbá, hogy a Rendeletnek, és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való megfelelés Társaság általi igazolására szolgáljon.
A Szabályzat további célja, hogy meghatározza a Kőrösi Nonprofit Kft. szervezeti egységeinél, megbízottjainál vezetett, személyes adatokat tartalmazó nyilvántartások működésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését.
A Szabályzat alapján különösen a Kőrösi Nonprofit Kft.-vel munkaviszonyban, vagy munkavégzésre irányuló egyéb jogviszonyban álló, vagy a személyes adatokhoz egyéb, igazolt jogviszony alapján hozzáféréssel rendelkező személyek kötelesek a tevékenységük során tudomásukra jutott személyes adatokat a fent hivatkozott és mindenkor hatályos jogszabályi rendelkezéseknek megfelelően kezelni.
A Szabályzat meghatározza azokat a szervezési és technikai intézkedéseket, amelyek kialakításával a Kőrösi Nonprofit Kft. gondoskodik a személyes adatok kezelése, feldolgozása során a személyes adatok biztonságáról. Erre tekintettel a Szabályzat a Kőrösi Nonprofit Kft. által folytatott adatkezelési tevékenységek során figyelembe veendő és követendő elveket, rendelkezéseket tartalmaz. Ezeket az előírásokat minden egyes adatkezelési folyamat, tevékenység során, annak teljes tartama alatt figyelembe kell venni.
2.2. A szabályzat személyi hatálya
Jelen Szabályzat hatálya kiterjed a Kőrösi Nonprofit Kft. munkavállalóira, vagy egyéb munkavégzést eredményedző jogviszony alapján foglalkoztatottakra, továbbá azon természetes személyekre (a továbbiakban: személyek), akik személyes adatait a jelen Szabályzat hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.
2.3. A szabályzat tárgyi hatálya
Jelen szabályzat tárgyi hatálya a Kőrösi Nonprofit Kft. mindazon adatkezeléseire kiterjed, amely:
- a társaságnál keletkezett, vagy adatkezelés eredményeként jött létre;
- informatikai rendszerben feldolgozott vagy kezelt;
- jogszabályi felhatalmazáson alapuló kötelező adatkezelés vagy hozzájáruláson alapuló adatkezelés keretei között a Kőrösi Nonprofit Kft.-vel kapcsolatban álló személyek adatait tartalmazza;
- azon személyek adatait tartalmazza, akik a Kőrösi Nonprofit Kft.-vel kapcsolatban állnak, álltak, vagy kapcsolatba kívánnak lépni; függetlenül attól, hogy az adatkezelés elektronikusan, vagy papíralapon történik.
2.4. Jogszabályok
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
- 2012. évi I. törvény a Munka Törvénykönyvéről,
- Az Európai Parlament és a Tanács 2016. április 27-I (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.
- 2000. évi C. törvény a számvitelről
- 2013. évi V. törvény a Polgári Törvénykönyvről
2.5. Adatvédelmi és adatkezelési rendelkezéseket tartalmazó belső szabályzatok
A Kőrösi Nonprofit Kft.-ben a jelen szabályzaton kívül különösen az alábbi szabályzatok tartalmaznak adatvédelmi, adatkezelési rendelkezéseket:
Az iratok kezelésével összefüggő iratvédelmi, iratkezelési szabályokról szóló Iratkezelési Szabályzat (7.2. pont).
A Kőrösi Nonprofit Kft. papíralapon, valamint számítógépes hálózaton végzi a személyes adatok tárolását. A papíralapú adattárolás kizárólag megfelelően zárható helyiségben történhet oly módon, hogy az illetéktelen személy által ne legyen hozzáférhető vagy megismerhető. Számítógép alapú adattárolás esetében az elvárható fizikai és szoftveres védelem garanciáját biztosító előírásokat és szabványokat kell alkalmazni a személyes adatok védelmére.
3. Fogalom-meghatározások
E szabályzat alkalmazása során:
Adatvédelmi felügyeleti hatóság: a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság)
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
Adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége; az adatkezelés azon állapota, amelyben az adatok sérülésének, illetéktelen felhasználásának, megsemmisülésének kockázati tényezőit – és ezáltal a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a minimálisra csökkentik.
Dolgozói személyes adat: a Kőrösi Nonprofit Kft.-vel munkaviszonyban álló személyek adata.
Nyilvánosságra hozatal: az adatok bárki számára történő hozzáférhetővé tétele.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Nyilvántartási rendszer: a személyes adatok bármely módon tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
Harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
A jelen részben nem szabályozott fogalmak tekintetében a GDPR és az Infotv. értelmező rendelkezései irányadóak.
4. Az adatkezelés alapvető szabályai
4.1. Adatkezelési elvek
A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
g) Az adatkezelő felelős a jogszabályoknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
4.2. Az adatok keletkezése, beszerzése
4.2.1. Személyes adat a Kőrösi Nonprofit Kft.-nél, illetve adatfeldolgozóinál kizárólag törvény felhatalmazása, vagy az érintett hozzájárulása alapján kezelhető (Infotv. 5. § (1) bek.).
a) Kötelező adatkezelés esetén a kezelendő anyagok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét a törvény, illetve önkormányzati rendelet határozza meg. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna és a személyes adat kezelése a Társaságra vonatkozó jogi kötelezettség teljesítése céljából szükséges vagy a Társaság, ill. harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jogkorlátozásával arányban áll.
b) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul, vagy kötelező. Az érintettet egyértelműen, közérthetően és részletesen tájékoztatni kell a kezelésre kerülő személyes adatokról, valamint az adatainak kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. Ha a személyes adat felvételére az érintett hozzájárulása alapján kerül sor, a Társaság a felvett adatokattörvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy a saját, illetve harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül is kezelheti.
4.2.2. Különleges adat akkor kezelhető, ha:
a) ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése aa) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy ab) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
b) az adatkezeléshez az érintett írásban hozzájárul,
c) a 3. § 3. pont a) alpontjában foglalt adatok esetében a törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli, vagy
d) ha az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat esetében törvény közérdeken alapuló célból elrendeli.
4.2.3. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
a.) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
b.) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. (Infotv. 6. § (1) bek.)
4.2.4. Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
4.2.5. Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – e törvény alapján – az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
4.2.6. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, a Kőrösi Nonprofit Kft. a felvett adatokat törvény eltérő rendelkezésének hiányában
a.) a Kőrösi Nonprofit Kft.-re vonatkozó jogi kötelezettség teljesítése céljából, vagy b.) a Kőrösi Nonprofit Kft. vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
4.2.7. Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, vagy az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett adatainak Kőrösi Nonprofit Kft. általi kezelésére az érintett az eljárás megindításával adja meg a hozzájárulását, az adatok Kőrösi Nonprofit Kft. általi kezelése a bírósági vagy hatósági eljárás szabályszerű lefolytatása, a felek jogainak és kötelezettségeinek gyakorlása céljából szükséges.
5. Adatkezelés jogalapja, az adatkezelés célja és az adatkezelés fajtája
A jogszabályban kötelezően előírt, illetve jogként biztosított adatkezelés alapján a Kőrösi Nonprofit Kft. az érintettről közvetlenül, vagy az érintett egyértelmű előzetes hozzájárulásával gyűjthet, kezelhet és tárolhat személyes adatot. Az érintett hozzájárulását a kezdeményezésére indult ügyben az általa megadott személyes adatok tekintetében megadottnak kell tekinteni.
5.1. Az adatkezelések fajtái
A Kőrösi Nonprofit Kft. ügyviteli és nyilvántartási célú adatkezeléseket végez. A nyilvántartási célú adatkezelés az Infotv. 65. §-ában, továbbá más jogszabályokban előre meghatározott adatkörök alapján gyűjtött adatfajtákból álló adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét.
5.1.1. A dolgozói személyes adatok kezelése
5.1.1.1.Bér- és munkaügyi nyilvántartás
a.) A Társaság a munkavállalóiról bér- és munkaügyi nyilvántartást vezet, mely a munkavállaló munkaviszonnyal kapcsolatos adatait bérszámfejtésre, társadalombiztosítási és statisztikai adatszolgáltatásra használja fel. A Társaság munkáltatói jogos érdekeinek érvényesítése [Rendelet 6. cikk (1) bekezdése f)] jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
b.) Az adatkezelés időtartama: kizárólag a munkavállaló foglalkoztatásáig, illetve, ha az adatkezelést törvény, ill. önkormányzati rendelet rendeli el, a vonatkozó jogszabályok előírásainak figyelembevételével.
c.) A Társaság által a munkaviszony létesítésével kapcsolatosan kezelt személyes adatokat köre: munkavállaló neve (születési neve); születési helye, ideje; állampolgársága; édesanyja neve; lakhelye; adóazonosító jele; TAJ száma; bankszámla száma, számlavezető intézet neve; magán nyugdíjpénztári tagság; nyugdíjas törzsszám; folyószámla szám; iskolai végzettsége (ezt igazoló bizonyítvány másolata); munka alkalmassági igazolás; önéletrajz; baleset esetén értesítendő személyek telefonszáma; jogosítvány(ok) megléte (ezek másolata); kapcsolattartási adatai (telefonszáma, elektronikus levelezési címe); a Társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve a helymeghatározó rendszerek által rögzített adatokat; továbbá amennyiben a munkáltatói jogos érdek érvényesítése ezentúl megköveteli: belső szabályzatban előírt időpontnál nem régebbi fénykép; erkölcsi bizonyítvány; munkavállalási jogosultságot igazoló dokumentum másolata; korábbi munkaviszonyára vonatkozó adatok.
d.) A személyes adatok címzettje: a munkáltató vezetője, munkáltatói jogkör gyakorlója, a Társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.
e.) A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 3 év.
f.) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul, továbbá biztosítani kell számára jelen Szabályzat megismerésének lehetőségét.
g.) A Kőrösi Nonprofit Kft. a Társaságnál a jelen Szabályzat hatálybalépése előtt munkaviszonnyal rendelkező személyek részére Tájékoztató átadásával tájékoztatta a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogokról. A munkavállaló a Szabályzat megismeréséről nyilatkozatot ír alá, mely munkaszerződése elválaszthatatlan mellékletét képezi.
5.1.1.2.Elektronikus levelezés; internethasználat ellenőrzése
a.) Ha a Társaság e-mail fiókot bocsát a munkavállaló rendelkezésére, a rendelkezésére bocsátott e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel. A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
b.) A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta – ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8.§, 52. §) ellenőrzése.
c.) Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, – milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, – milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban. Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során.
d.) Az ellenőrzésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
e.) Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
f.) Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat.
g.) A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet. A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
h.) A munkaköri feladatként a Társaság nevében elvégzett internetes regisztrációk jogosultja a Társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni a Társaság.
5.1.1.3. Számítógép és/vagy laptop és/vagy tablet és/vagy mobiltelefon ellenőrzésével kapcsolatos adatkezelés
a.) A Társaság által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet, mobiltelefont a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. A Társaság továbbá nem engedélyezi a céges mobiltelefon magáncélú használatát, a mobiltelefon csak munkavégzéssel összefüggő célokra használható, és a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
b.) A munkavállaló köteles bejelenteni a munkáltatónak, ha a céges mobiltelefont magáncélra használta. Ezesetben az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
5.1.1.4. Munkahelyi be- és kiléptetéssel kapcsolatos adatkezelés
a.) Beléptető rendszer (nem elektronikus) működtetése esetén tájékoztatást kell elhelyezni az adatkezelő személyéről és az adatok kezelésének módjáról.
b.) A kezelhető személyes adatok köre: a természetes személy neve, lakcíme, gépkocsi rendszáma, belépés, kilépés ideje.
c.) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
d.) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése.
e.) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai.
f.) A személyes adatok kezelésének időtartama: 6 hónap.
5.1.1.5. Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés
g.) A Társaság a székhelyén, telephelyén, az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít. Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
h.) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése, valamint az érintett hozzájárulása.
i.) A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
j.) A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni. Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
k.) Ha a munkahely területén jogszerűen senki sem tartózkodhat – így különösen munkaidőn kívül vagy a munkaszüneti napokon – akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
l.) Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
5.1.2. A Kőrösi Nonprofit Kft.-hez pályázók személyes adatainak kezelése
a.) A Kőrösi Nonprofit Kft. által konkrét álláslehetőségre kiírt pályázatokra beküldött jelentkezések esetén a pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak az állás betöltését követő egy éven belül vissza kell küldeni, vagy meg kell semmisíteni, kivéve, ha a pályázó a személyes adatainak további pályázatok során történő felhasználására vonatkozó hozzájárulását megadta. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni. A Kőrösi Nonprofit Kft.-hez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. A pályázó alkalmazása hiányában az alkalmazás tárgyában hozott döntés meghozatalát követően – a pályázót megillető lehetséges jogorvoslati határidők elteltét követően – a személyes adatokat törölni kell. A Kőrösi Nonprofit Kft. a munkavállalóira vonatkozó adatok közül – a munkavállaló hozzájárulása nélkül – közérdekből adhat tájékoztatást a munkavállaló nevéről, beosztásáról, munkaköréről, valamint – ha azt törvény nem zárja ki – egyéb, kizárólag a közfeladata ellátásával összefüggő adatairól. A nyújtott tájékoztatásról az érintettet értesíteni kell.
b.) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
c.) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra. d.) Az adatkezelés jogalapja: az érintett hozzájárulása. e.) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók. f.) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig (a várólistára kiválasztott pályázatok esetén a pozíció betöltéséig). A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta. g.) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől. 5.1.3. Oktatási, ill. tájékoztatási célzattal készített fotó ill. videofelvételek készítése A Társaság a munkavégzés, rendezvényszervezés vagy tanfolyam során alkalmazott módszerekről, folyamatok bemutatásáról, a Társaság keretein belül szervezett eseményekről tájékoztató, ill. reklámfilmet, valamint fotókat készíthet, melyen a Társaság dolgozói szerepelnek. A dolgozókat a Társaság nem kötelezi a felvételeken történő szereplésre, ez kizárólag a munkavállaló egyéni döntése. A munkáltató kijelenti, hogy a felvételek készítésének célja nem a munkavállaló munkavégzés közbeni tevékenységének megfigyelése, és a dolgozót nem ábrázolja negatív formában. A Társaság kijelenti, hogy a felvétel nem sérti a dolgozó személyhez fűződő, a jó hírnév, a becsület, illetve az emberi méltóság védelméhez fűződő jogait. A Társaság a készített fotót vagy videofelvételt minden esetben az érintett munkavállaló külön hozzájárulása alapján használja fel. Valamely eseményen, rendezvényen vagy tanfolyamon az azon részt vevő Érintettről kizárólag külön hozzájárulás alapján készülhet felvétel.
5.2. Szerződéses kötelezettség teljesítéséhez kapcsolódó adatkezelések
5.2.1.Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása
a.) A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlapcímét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák). Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
b.) A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
c.) A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
d.) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési kikötés szövegét jelen Szabályzat 6. számú melléklete tartalmazza.
5.2.2.Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
a.) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
b.) A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja: az érintett hozzájárulása.
c.) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.
d.) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.
e.) Az adatfelvételi lap mintáját jelen Szabályzat 7. számú melléklete tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni.
5.3. A jogi kötelezettségen alapuló adatkezelések
5.3.1. Adatkezelés közzétételi kötelezettség alapján (2009. CXXII. tv.)
a.) a Társaság (mint köztulajdonban álló gazdasági társaság) jogi kötelezettség teljesítése jogcímén a közzététel időpontjában fennálló adatok alapján köteles közzétenni a vezető tisztségviselők, a felügyelőbizottsági tagok, a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 208. §-a szerint vezető állású munkavállalók, valamint az önállóan cégjegyzésre vagy a bankszámla feletti rendelkezésre jogosult munkavállalók adatait.
b.) a kezelt adatok köre: a vezető tisztségviselők, a felügyelőbizottsági tagok, a vezető állású munkavállalók, az önállóan cégjegyzésre vagy a bankszámla feletti rendelkezésre jogosult munkavállalók:
ba) nevét,
bb) tisztségét vagy munkakörét,
bc) munkaviszonyban álló személy esetében:
– a munkavállaló részére a munkaviszonya alapján közvetlenül vagy közvetve nyújtott pénzbeli juttatásokat, ezen belül külön feltüntetve alapbérét, egyéb időbérét, teljesítménybérét, valamint az időbért megalapozó időtartamot, illetve a teljesítménybért megalapozó teljesítménykövetelményeket,
– az Mt., kollektív szerződés, illetve a munkaszerződés alapján járó mértéket megjelölve a munkavállalóra irányadó végkielégítés, illetve felmondási idő időtartamát,
– az Mt. 228. § alapján kikötött időtartamot és a kötelezettség vállalásának ellenértékét, bd) a felügyelőbizottsági tagok esetén – a megbízási díjat, – a megbízási díjon felüli egyéb járandóságokat,
– a jogviszony megszűnése esetén járó pénzbeli juttatásokat. c.) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
5.3.2. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
a.) A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
b.) A kezelt adatok köre:
ba) az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján: adószám, név, cím, adózási státusz;
bb) a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása;
bc) a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
c.) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
d.) A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
5.3.3.Kifizetői adatkezelés
a.) A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel az adózás rendjéről szóló 2017. CL. törvény (Art.) 7.§ 31.) pontja szerinti kifizetői kapcsolatban áll.
b.) A kezelt adatok köre (az Art. 50.§-a alapján): a természetes személy természetes személyazonosító adatai (ideértve az előző nevet és a titulust is), neme, állampolgársága, a természetes személy adóazonosító jele, társadalombiztosítási azonosító jele (TAJ száma). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
c.) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
d.) A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
5.4. Az adatok továbbítása (a továbbiakban: Adattovábbítás)
a.) A Társaság weboldalán, a www.korosi.org oldalon szereplő események látogatásához szükséges jegyek értékesítését a jegy.hu végzi. Jegy vagy bérlet vásárlásának szándéka esetén az Érintett a www.jegy.hu weboldalra kerül átirányításra. A www.korosi.org weboldalon a vásárlással összefüggésben személyes adat megadására nem kerül sor. A Kőrösi Nonprofit Kft. az átirányítás során adatokat továbbíthat. Az átirányítást követően, az Érintettnek a vásárlással (vagy regisztrációval) összefüggésben megadott és/vagy keletkezett személyes adatai tekintetében a jegy.hu önálló adatkezelőnek minősül. A jegy.hu által kezelt adatokért a Kőrösi Nonprofit Kft. nem vállal felelősséget.
b.) Az adattovábbítás célja: Az eseményen vagy rendezvényen való részvételhez szükséges jegy megvásárlásának megkönnyítése.
6. Az érintett jogai
Az érintett jogosult:
a) Tájékoztatást kérni személyes adatainak kezeléséről: az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
b) Személyes adataihoz hozzáférni: az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon.
c) Személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését kérni: az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Az érintett jogosult továbbá arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben meghatározott indokok valamelyike fennáll.
d) Adathordozhatósághoz való jogának érvényesítésére: a Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
e) Tiltakozást előterjeszteni: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség.
f) Bírósági jogorvoslatra, hatósági jogérvényesítésre: az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
g) Az adatai kezelésének korlátozását kérni, amennyiben ezt jogszabály nem zárja ki.
A Kőrösi Nonprofit Kft. adatkezeléssel kapcsolatos köteles:
a.) az érintett kérésére:
aa) tájékoztatást ad személyes adatai kezeléséről,
ab) elvégzi személyes adatainak helyesbítését,
ac) törli vagy zárolja személyes adatait a jogszabályban előírt kötelező adatkezelés kivételével.
b.) hivatalból a személyes adatot törli, ha:
ba) kezelése jogellenes;
bb) azt az érintett kéri, feltéve, hogy a törlést törvény nem zárja ki;
bc) az adat hiányos vagy téves és ez az állapot jogszerűen nem korrigálható;
bd) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
be) azt a bíróság, vagy a Hatóság jogerős, a Kőrösi Nonprofit Kft. által jogorvoslati útra nem terelt határozata elrendelte.
6.1. Tájékoztatás kérése
A Kőrösi Nonprofit Kft. a tájékoztatási kérelem benyújtásától számított legrövidebb időn belül, legfeljebb azonban 25 napon belül, írásban, közérthető formában megadja a tájékoztatást az érintett részére. A Társaság a tájékoztatás megadását kizárólag az alábbiakban meghatározott esetekben és a vonatkozó törvényi rendelkezések meghivatkozásával tagadhatja meg:
a.) törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján adatkezelési korlátozással átvett adatok,
b.) az érintett tájékoztatási jogát törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – ideértve minden esetben az ellenőrzést és a felügyeletet is –, továbbá az érintett vagy mások jogainak védelme érdekében).
6.1.1.Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
a.) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
aa.) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
ab.) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
ac.) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
ad.) a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei; ae.) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
af.) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk
ag.) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
b.) Az a.) pontban említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
ba.) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
bb.) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
bc.) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
bd.) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
be.) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
bf.) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
bg.) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
bh.) Az 1-3. pontok nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
6.1.2.Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
a.) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
aa) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
ab) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
ac) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
ad) az érintett személyes adatok kategóriái;
ae) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
af) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.
b.) Az a.) pontban említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
ba) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
bb) ha az adatkezelés a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
bc) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
bd) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
be) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; bf) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
bg) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
c.) Az adatkezelő az a.) és b.) pont szerinti tájékoztatást az alábbiak szerint adja meg:
ca) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
cb) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
cc) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
d.) Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a b.) pontban említett minden releváns kiegészítő információról. Az a.)-c.) pontot nem kell alkalmazni, ha és amilyen mértékben:
da) az érintett már rendelkezik az információkkal;
db) szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
dc) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
dd) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
6.2. Hozzáférési jog
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
i) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
j) Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
6.3. Tiltakozáshoz való jog
a.) Az érintett a Kőrösi Nonprofit Kft.-nél tiltakozhat személyes adatának kezelése ellen, ha aa) az kizárólag a Kőrösi Nonprofit Kft.-re vonatkozó jogi kötelezettség teljesítéséhez vagy a Kőrösi Nonprofit Kft. vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el; ab) az adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; ac) törvényben meghatározott egyéb esetben.
b.) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
c.) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
d.) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
e.) Az a.) és b.) pontokban említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
f.) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
g.) Ha a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség. A Kőrösi Nonprofit Kft. a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás indokolt, a Kőrösi Nonprofit Kft. az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti és az adatokat zárolja, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
6.4. Helyesbítés kérése
Amennyiben az érintett a Kőrösi Nonprofit Kft. által nyilvántartott személyes adatai elírást, hibát tartalmaznak, vagy azokban, azok felvételét követően változás következett be úgy az érintett – az adatkezelés időtartama alatt – bármikor kérheti adatainak helyesbítését.
6.5. Bírósági jogorvoslat, hatósági jogérvényesítés
Az érintett jogainak megsértése esetén, valamint abban az esetben, ha a Kőrösi Nonprofit Kft.-nek a tiltakozására adott válaszával nem ért egyet, a Kőrösi Nonprofit Kft. válaszának közlésétől számított 30 napon belül a bírósághoz (a területileg illetékes Törvényszékhez) fordulhat. Személyes adatok kezelésével kapcsolatos jogsérelem vagy ennek közvetlen veszélye esetén az érintett kezdeményezheti a Hatóság (http://www.naih.hu) adatvédelmi eljárását.
6.6. Kártérítés, sérelemdíj
A Kőrösi Nonprofit Kft. az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni, míg az érintett személyiségi jogai megsértése esetén sérelemdíj megfizetésére kötelezhető. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott károkért, illetve személyiségi jogsértés esetén a sérelemdíjért is.
6.7. Bejelentési kötelezettség
Amennyiben felmerül a gyanú, hogy az érintett számítógépes biztonsági incidens áldozatává vált, vagy éppen ennek folyamata alatt van, akkor a jogszabályokban meghatározott esemény bejelentési kötelezettség mellett a Kőrösi Nonprofit Kft. bejelenti ezen incidens tényét és kapcsolatot tart az érintett szervekkel is. Amint a Kőrösi Nonprofit Kft. informatikai szakterületének tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomásukra jutott, bejelenteni kötelesek az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudják, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. Az adatvédelmi incidensről szóló bejelentést a Hatóság mindenkori kapcsolati pontjára (http://naih.hu/uegyfelszolgalat,–kapcsolat.html) kell eljuttatni. A bejelentés összeállításának és beadásának felelőse az adatvédelmi tisztviselő. Az adatvédelmi incidensről szóló bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell a Kőrösi Nonprofit Kft. által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Ha nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
A Kőrösi Nonprofit Kft. nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. Nyilvántartandó adatok:
1) az incidensben érintett személyes adatok körét és számát,
2) az adatvédelmi incidenssel érintettek körét és számát,
3) az adatvédelmi incidens időpontját,
4) az adatvédelmi incidens körülményeit, hatásait,
5) az adatvédelmi incidens elhárítására megtett intézkedéseket,
6) az adatvédelmi incidenssel kapcsolatban adott tájékoztatások adatait.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens súlyos incidens, a Kőrösi Nonprofit Kft. indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az előző pont b), c) és d) pontjában említett információkat és intézkedéseket.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) a Kőrösi Nonprofit Kft. megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) a Kőrösi Nonprofit Kft. az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
7. Adatbiztonsági intézkedések
a.) A Társaság valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a Rendelet és az Infotv., érvényre juttatásához szükségesek.
b.) Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
c.) A Társaság a személyes adatokat bizalmas adatként minősíti és kezeli. A munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő. A személyes adatokhoz való hozzáférést a Társaság jogosultsági szintek megadásával korlátozza.
7.1. Az adatok informatikai védelme
Az informatikai védelemmel kapcsolatos feladatokat a Kőrösi Nonprofit Kft. maga végzi. A Társaság a személyes adatok védelme érdekében az Adatkezelési Szabályzat és a jogszabályi előírás szerint jár el, amely érdekében biztonságkezelési elveket és követelményeket ír elő a Kőrösi Nonprofit Kft. adatait kezelő informatikai rendszereket felhasználó személyek számára.
a.) A Társaság az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján (tipikusan, de nem kizárólagosan: tűzfal, vírusvédelem) végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
b.) A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:
ba) a jogosulatlan adatbevitel megakadályozását;
bb) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
bc) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
bd) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
be) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
bf) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön;
bg) jogosulatlan hozzáférés elleni védelmet biztosító intézkedések, ezen belül a szoftver és hardver eszközök védelme, illetve a fizikai védeleme (hozzáférés védelem, hálózati védelem);
bh) az adatállományok helyreállításának lehetőségét biztosító intézkedések, ezen belül a rendszeres biztonsági mentés és a másolatok elkülönített, biztonságos kezelésée (tükrözés, biztonsági mentés);
bi) az adatállományok vírusok elleni védelme (vírusvédelem);
bj) az adatállományok, illetve az azokat hordozó eszközök fizikai védelme, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelem, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatósága (archiválás, tűzvédelem).
c.) A Társaság a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.
d.) A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi ás egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.
e.) Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
7.2. A papíralapú iratok védelme
A papíralapú iratok kezelésére és védelmére a Kőrösi Nonprofit Kft. mindenkor hatályos Iratkezelési Szabályzata tartalmaz részletes szabályokat. Az adatvédelmi elvek a papíron keletkezett iratok kezelése kapcsán is irányadók.
8. Adatkezelési nyilvántartás
9.1. A Kőrösi Nonprofit Kft. maga vezeti az adatkezelési nyilvántartást. Az adatkezelési nyilvántartás valamennyi, a Társaság általi adatkezelés esetén tartalmazza:
a) az adatkezelés célját,
b) az adatkezelés jogalapját,
c) az érintettek körét,
d) az érintettekre vonatkozó adatok leírását,
e) az adatok forrását,
f) az adatok kezelésének időtartamát,
g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
h) az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
i) az alkalmazott adatfeldolgozási technológia jellegét;
j) az adatkezelő szervezeti egység megnevezését,
k) az adatkezelésért felelős szervezeti egység vezetője, az adatokhoz hozzáférésre jogosul személyek köre (munkakör),
l) az adatfeldolgozás módszere (manuális, számítógépes, vegyes),
m) adatbiztonsági intézkedések, archiválás módja, gyakorisága, adattörlés ideje.
9.2. Az adatkezelési nyilvántartás célja annak megállapíthatósága, hogy az érintett mely adatkezelések alanya lehet, és ezen adatkezelésnek melyek a jellemző elemei. Az adatkezelési nyilvántartás azonosítja az adatkezeléseket, azonban nem helyettesíti az érintett részletes tájékoztatását.
9.3. A Kőrösi Nonprofit Kft. adatkezelési nyilvántartásért felelős szakterülete az adatkezelési nyilvántartásba való betekintést az azzal érintett személy részére biztosítja.
9.4. A nyilvántartási célú adatállományt kezelő szervezeti egység vezetője az új adatállomány kialakítását a tevékenység megkezdése előtt 15 nappal bejelenti az adatkezelési nyilvántartás vezetéséért felelősnek, aki azt adatkezelési nyilvántartásba bejegyzi.
9.5. Az adatkezelés adatvédelmi nyilvántartási azonosító számát az adatoknak harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni.
10. Záró rendelkezések
10.1. Jelen Szabályzat a kihirdetésének napjával, azaz 2018. augusztus 1. napjával hatályba lép. 10.2. A Szabályzat módosítására a Társaság ügyvezetője jogosult.