1. Bevezetés

A Kisznyér és Társa Kereskedelmi és Szolgáltató Kft. (a továbbiakban: Társaság) mint adatkezelő az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”) 20. § (1) és (2) bekezdése, illetve a GDPR 12. és 13. cikke alapján a jelen adatvédelmi szabályzatban (továbbiakban: „Szabályzat”) foglaltak szerint tájékoztatja az érintetteket (elsősorban munkavállalóit) az adatkezeléssel kapcsolatos elvekről, valamint az érintettek adatkezeléssel kapcsolatos jogairól és az adatkezelő magatartásával szembeni jogorvoslati lehetőségekről.

Jelen tájékoztató az Európai Parlament és Tanács 2016/679 rendeletében (továbbiakban: „GDPR”) foglaltak, a számvitelről szóló 2000. évi C. törvény (továbbiakban: „Sztv.”), a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”) és a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (továbbiakban: „Szja tv.”) figyelembe vételével készült.

A Szabályzat megalkotása során figyelembe vett további jogszabályok:

– a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvtv.),
– a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”),

2. A Szabályzat célja és hatálya

Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről, valamint arról, hogy harmadik országba történik-e adattovábbítás. A jelen Szabályzat az érintett jogairól is tájékoztat.

A Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, közlését, valamint megsemmisítését, elvesztését illetve nyilvánosságra hozatalát.

A Szabályzat személyi hatálya alá tartozik a Társaság valamennyi szervezeti egysége és alkalmazottja. A Szabályzat tárgyi hatálya kiterjed a Társaság valamennyi szervezeti egységénél folytatott valamennyi folyamatra, amely során személyes adat kezelése valósul meg, az adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

Jelen Szabályzat a Társaság további belső szabályzataihoz kapcsolódik, azokkal együtt értelmezendő.

3. A Szabályzatban használt fogalmak:

Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Ezen felül személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy
Különleges adat: a faji vagy etnikai származásra, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, illetve a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, valamint a bűnügyi személyes adat
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, tagolása, megváltoztatása, átalakítása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, betekintés, közlése továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése.
Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik.
Adatfeldolgozó: az a természetes vagy jogi személy, illetve közhatalmi szerv, ügynökség vagy bármely egyéb szerv, jogi személyiséggel nem rendelkező szervezet, amely az adatkezelő nevében személyes adatokat kezel.
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Az érintett hozzáférési joga: az érintett jogosult az adatkezelőtől arra vonatkozó visszajelzést kapni, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adatokhoz és meghatározott információkhoz (pl. az adatkezelés célja, az érintett személyes adatok kategóriái, személyes adatok tárolásának időtartama)
Tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri.
Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából.
Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.
Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.
Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.
Adatvédelmi incidens: a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, közlés, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.
Harmadik ország: minden olyan állam, amely nem EGT-állam.

4. A Társaság, mint adatkezelő adatai

Neve: Kisznyér és Társa Kereskedelmi és Szolgáltató Kft. (továbbiakban: „Társaság” vagy „Adatkezelő”)
Székhelye: 1042 Budapest, Árpád út 90-92.
Nyilvántartó bírósága és cégjegyzékszáma: Fővárosi Törvényszék Cégbírósága, Cg. 01-09-361089
Adatkezeléssel kapcsolatos elektronikus elérhetősége: info@digelstorebudapest.hu
Képviselője: Kisznyér Anikó ügyvezető
Adatvédelemért felelős munkatárs: Kisznyér Ádám
Elérhetőségei:+36 20 212 8498

5. Az adatkezelés általános szabályai

5.1
A Társaságnál személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos.
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlenül szükséges, a cél elérésére alkalmas, és csak a cél megvalósulásához szükséges mértékben és ideig. Amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek.

A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni.

5.2
Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének, amelynek értelmében a Társaság személyes adatot csak meghatározott, egyértelmű és jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a céllal összeegyeztethető módon.

5.3
Az adattakarékosság elvéből következően a kezelt adatoknak az adatkezelés céljának szempontjából megfelelőeknek és relevánsaknak kell lenniük és a szükségesre kell korlátozódniuk.

5.4
A kezelt személyes adatoknak pontosnak, teljesnek és naprakésznek kell lenniük, az adatkezelés célja szempontjából pontatlan személyes adatokat haladéktalanul törölni vagy helyesbíteni kell.
A Társaság biztosítja a rendszerek helyreállíthatóságát, valamint annak ellenőrizhetőségét, hogy a személyes adatokat mely harmadik személyeknek továbbítják.

5.5
A személyes adatok tárolásának olyan formában kell történnie, amely az érintett azonosítását csak az adatkezelés céljának eléréséhez szükséges ideig teszi lehetővé (korlátozott tárolhatóság).

5.6
A Társaság megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja személyes adatok megfelelő biztonságát, ideértve azok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is (integritás és bizalmas jelleg).

5.7
A Társaság a munkavállalói személyes adatait a következő jogalapok valamelyike alapján kezeli:
– az adatkezelés a munkaszerződés létrejöttéhez/teljesítéséhez szükséges,
– az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges, illetve azt törvény elrendeli,
– az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,
– álláshirdetések, fénykép-, és egyéb felvételek esetén az érintett hozzájárulása.

Jogos érdeken alapuló adatkezelés esetén a Társaság miden esetben – adatkezelésenként külön dokumentáltan – elvégzi az érdekmérlegelési tesztet. Különösen a Társaság, mint munkáltató általi ellenőrzés vonatkozásában ez azt jelenti, hogy a munkáltató jogos érdeke arányosan korlátozza-e a munkavállalók személyes adatokhoz való jogát, magánszféráját.
A Társaság az érdekmérlegelési teszt eredményéről minden esetben tájékoztatja az érintetteket.

5.8
A Társaság szervezeti egységeinél adatkezelést végző munkavállalók és eseti jelleggel a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek titoktartási nyilatkozatot tenni.

5.9
Az adattovábbítás az adatkezelés célját szolgáló adatkezelési, adatfeldolgozási tevékenység részét képező művelet, amely során a Társaság, mint adatkezelő a megfelelő jogalap szerint külső magán- vagy jogi személynek, felügyeleti szervezetnek előre meghatározott adatokat, meghatározott módon, előírt időpontban és/vagy rendszerességgel átadja.
Adattovábbításra minden esetben csak az érintett kifejezett, egyértelmű hozzájárulása vagy jogszabály felhatalmazása alapján kerül sor.
Az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást kell vezetni.
Az Adatkezelő a rendelkezésére bocsátott személyes adatokat ez irányú felhatalmazás hiányában semmilyen körülmények között nem adja harmadik fél számára tovább. Amennyiben az arra feljogosított hatóságok a jogszabályokban előírt módon (bűncselekmény gyanújával, hivatalos adat-lefoglalási határozatban) kérik fel személyes adatok átadására az Adatkezelőt, az Adatkezelő – törvényi kötelezettségének eleget téve – átadja a kért és rendelkezésre álló információkat.

5.10
Az adatkezelés ideje alatt az érintett személyes adatait az adatkezelő azon munkavállalói, vezetői ismerhetik meg, akiknek erre munkavégzésükhöz vagy jogi/gazdasági érdekük alapján szükségük van, magas szintű hozzáférési kontrollok alkalmazása mellett. Ezen túl ezeket a személyes adatokat csak olyan személyek ismerhetik meg, akik olyan szolgáltatóknak, megbízottaknak dolgoznak, akik az adatkezelő részére szolgáltatást nyújtanak, ha az adathoz való hozzáférés munkaköri feladataik ellátáshoz szükséges. A Társaság az ilyen szolgáltatókkal, megbízottakkal kötött szerződésekben biztosítja az adatvédelmi előírásoknak megfelelő adatkezelést, illetve a megfelelő titoktartást.

5.1
A személyes adatok biztonságát a Társaság, mint adatkezelő a technika szintjének megfelelő fizikai és technikai védelemmel biztosítja, amely megakadályozza az adatokhoz történő illetéktelen/jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést, megsemmisülést, törlést, hozzáférhetetlenné válást, valamint a jogosulatlan adatbevitelt.

A Társaság a fentieket mind a hálózati kommunikáció (tehát online adatkezelés) során, mind az adatok tárolása, őrzése (tehát offline adatkezelés) során biztosítja.

6. A Társaság adatvédelmi rendszere

6.1
Az ügyvezető az adatvédelemmel kapcsolatosan:

– a Társaság sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt,
– felelős az érintettek vonatkozó jogszabályoknak megfelelő tájékoztatásáért, illetve az érintettek jogainak gyakorlásához szükséges feltételek
biztosításáért;
– felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
– felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
– felügyeli az belső adatvédelmi felelős tevékenységét;
– vizsgálatot rendelhet el;
– kiadja a Társaság adatvédelemmel, adatbiztonsággal kapcsolatos belső szabályait.

6.2
Adatvédelemért felelős munkatárs

A Társaságnál adatvédelemért felelős munkatárs működik.
Az adatvédelemért felelős munkatárs neve: Kisznyér Ádám
Az adatvédelemért felelős munkatárs elérhetőségei: +36 20 212 8498

A Társaság biztosítja, hogy az adatvédelemért felelős munkatárs a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
Az érintettek, illetve az adatkezelést végző munkavállalók a személyes adataik kezeléséhez és a jogaik gyakorlásához kapcsolódó kérdésekben az adatvédelemért felelős munkatárshoz fordulhatnak.

6.3
Az egyes szervezeti egységek vezetői:

– felelősek az irányításuk alá tartozó szervezeti egység adatkezeléseinek jogszabályoknak és a jelen Szabályzatnak, vagy a kapcsolódó szabályzatoknak való megfelelőségéért;
– felelősek azért, hogy az általuk vezetett szervezeti egység adatkezelései során a jelen
Szabályzatban foglalt adatbiztonsági előírások maradéktalanul teljesüljenek;
– ellenőrzik az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat
rendelkezéseinek betartását;
– az adatvédelemért felelős munkatárs segítségét kérik, amennyiben a személyes adatok, üzleti titkok, közérdekű adatok kezelésével összefüggésben kérdésük merül fel;
– együttműködnek az adatvédelemért felelős munkatárssal az adatvédelemmel kapcsolatos szabályok érvényesülése érdekében;
– biztosítják, hogy beosztottaik az adatvédelemmel kapcsolatos képzéseken részt vehessenek.

Amennyiben valamely szervezeti egység új, személyes adatokat is tartalmazó nyilvántartás vezetését határozza el, vagy a meglévőt kívánja módosítani, illetve törölni, úgy a szervezeti egység vezetője az adatvédelmi jogszabályoknak való megfelelőséget vizsgáló konzultáció, és az adatvédelmi nyilvántartásba való bejelentés céljából értesíti az adatvédelemért felelős munkatársat.

6.4.
Az adatkezelést végző személy:

– a tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért.
– tevékenysége során kezeli és megőrzi a feladata ellátása során birtokába került adatokat;
– ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására;
– gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá;
– betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
– haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes vagy az adatvédelemért felelős munkatárs segítségére szorul;
– részt vesz az adatkezeléssel, adatvédelemmel összefüggő oktatásokon.

A Társaság munkavállalói munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

Aki üzleti titok, illetve személyes adat birtokába jut, köteles a titkot időbeli korlátozás nélkül megtartani.
Az üzleti titkot, személyes adatot nem lehet visszaélésszerűen felhasználni, így különösen tilos a Társaság feladatkörén kívül a munkavállaló saját vagy más személyes, illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint a Társaság vagy ügyfeleinek megkárosítására használni.
Aki személyes adat vagy üzleti titok megismerésére jogosult, köteles a hozzáférési jog megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – az üzleti titokká minősített adatot és személyes adatot tartalmazó minden nála lévő adathordozót a Társaságnak, mint az adatkezelőnek haladéktalanul átadni.

7. Adatbiztonsági szabályok

7.1
A Társaság minden szükséges technikai és szervezési intézkedést megtesz azért, hogy a személyes adatok és az üzleti titkok megismerhetőségének korlátozására vonatkozó szabályokat kialakítsa, illetve ezen adatok illetéktelen személyek általi megismerhetőségét megakadályozza, és az egyes kockázatok mértékének megfelelő szintű adatbiztonságot garantálja. Ennek érdekében a Társaság az adatkezelések során – az adatkezelés jellegétől függően – az ügyviteli-, a fizikai- és az algoritmikus védelem eszközeit is alkalmazza.
A Társaság biztosítja:
– a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegét, integritását, rendelkezésre állását és ellenálló képességét,
– incidens esetén a személyes adatokhoz való hozzáférést, illetve, hogy az adatok rendelkezésre állását kellő időben vissza lehet állítani.

A Társaság által kezelt adatok tárolását úgy kell megoldani, hogy azokhoz illetéktelenek – ideértve azon munkavállalókat is, akiknek a munkavégzésükhöz nincs feltétlenül szükségük a személyes adatok megismerésére – ne férhessenek hozzá (pl. a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával).

Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adatmegőrzési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.

A Társaság a jelen pontban írt, az adatkezelés biztonságát garantálni hivatott intézkedések hatékonyságát rendszeresen teszteli, felméri és értékeli.

7.2
A papír alapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi
intézkedéseket alkalmazza:

– az adatokat csak azok ismerhetik meg, akiknek a munkavégzésükhöz feltétlenül szükségük van a személyes adatok megismerésére, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
– a dokumentumokat jól zárható helyen, és zárható, száraz, tűzvédelmi berendezéssel ellátott helyiségben helyezi el;
– a folyamatos aktív kezelésben lévő iratokhoz csak az férhet hozzá, akinek arra a munkaköri feladata ellátásához elengedhetetlenül szüksége van;
– a Társaság adatkezelést végző munkavállalója a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
– a Társaság adatkezelést végző munkatársa a munka végzés befejeztével vagy amikor az éppen nincs használatban a papíralapú adathordozót (vagy a számítógép adathordozóját) elzárja („tiszta asztal” elve);
– amennyiben a papíralapon kezeit személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.

7.3
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság – összhangban az Informatikai Biztonsági Szabályzat előírásaival -, az alábbi intézkedéseket és garanciális elemeket alkalmazza:

– az adatkezelés során használt személyi számítógépek és laptopok a Társaság tulajdonát képezik;
– a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal, legalább felhasználói névvel és jelszóval lehet hozzáférni, a jelszavak cseréjéről a Társaság – a mindenkori Informatikai Biztonsági szabályzat rendelkezéseivel összhangban – rendszeresen gondoskodik;
– az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;
– a hálózati kiszolgáló gépen (a szerveren) tárolt adatokhoz csak megfelelő jogosultsággal és kizárólag az arra kijelölt személyek férhetnek hozzá;
– a számítógépeket, nyomtatókat és fénymásolókat nem szabad „bejelentkezve” hagyni, amikor felügyelet nélkül maradnak, és használaton kívül kulcsreteszekkel, jelszavakkal vagy más óvintézkedésekkel kell védeni őket („zárolt képernyő” szabály);
– amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
– a Társaság folyamatosan gondoskodik a személyes adatokat kezelő hálózaton a vírusvédelemről;
– a rendelkezésre álló számítástechnikai eszközökkel megakadályozza illetéktelen személyek hálózati hozzáférését.

8. Adatkezelések az álláshirdetésekkel, illetve a munkaviszonnyal kapcsolatban

8.1.
Álláshirdetésre jelentkezők adatkezelése

Kezelt személyes adatok:
– név,
– születési adatok,
– anyja neve,
– lakcím,
– képzési adatok,
– fénykép,
– e-mail cím, telefonszám
– az érintett által megadott egyéb adatok

Az adatkezelés célja: a megüresedő álláshelyek vagy újonnan nyíló pozíciók betöltésére megfelelő leendő munkavállaló kiválasztása, a jelentkezők személyes adatainak kezelése

Az adatkezelés jogalapja: az érintett hozzájárulása (Infotv. 5. § (1) bek. a) pont; GDPR 6. cikk (1) a)
Az érintett hozzájárulását azzal adja meg, hogy rákattint az álláshirdetésbe belinkelt álláshirdetésekre vonatkozó adatvédelmi tájékoztatóra, melyen belül kipipálja azt a checkbox-ot, hogy megértette a tájékoztató tartalmát és hozzájárul személyes adatainak a tájékoztató szerinti kezeléséhez

A személyes adat tárolásának időtartama: a munkakör betöltésének időpontjáig, illetve az érintett hozzájárulásának visszavonásáig vagy a törlés iránti kérelem teljesítéséig, de legfeljebb a Társaság tudomására jutásától számított 1 évig. Ezt meghaladó ideig történő tároláshoz a Társaság az érintett külön hozzájárulását kéri.

A Társaság szervezetrendszerén belül a személyes adatokhoz hozzáférhet:
– a mindenkori HR vezető,
– az a HR-, bérszámfejtő stb. munkatárs, akinek munkaköri feladatai ellátásához elengedhetetlenül szükséges a személyes adat kezelése

A személyes adatok az alábbi személyek/szervezetek számára kerülnek továbbításra: Arkconsulting Kft /bérszámfejtés/.

A személyes adatokhoz hozzáférők által végrehajtott adatkezelési műveletek:
gyűjtés, felvétel, rögzítés, tárolás, rendszerezés, felhasználás, lekérdezés.

Az adatkezelés módja, körülményei: papíralapon és elektronikusan, álláshirdetésekre vonatkozó adatvédelmi tájékoztatóban írtak szerint

Az adatkezelés nyilvántartási száma:

8.2.
A munkaviszony fenntartásával és megszűnésével kapcsolatos adatkezelés

Kezelt személyes adatok:
– név,
– születési név,
– születési hely és idő,
– állampolgárság,
– anyja születési neve,
– lakcím (tartózkodási hely, amennyiben eltérő a lakóhelytől),
– magán-nyugdíjpénztári tagság ténye, belépés ideje,
– adóazonosító jel,
– társadalombiztosítási azonosító jel (TAJ szám),
– bankszámla szám,
– e-mail cím,
– telefonszám,
– levelezési címe
– iskolai végzettség, szakképzettség (végzettséget igazoló okmány másolata)
– munkaviszony kezdő napja,
– biztosítási jogviszony típusa,
– heti munkaórák száma,
– családi állapot,
– munka-alkalmassági egészségügyi igazolás,
– orvosi alkalmasság ténye,
– munkakör,
– előző munkahely kilépő papírjai,
– 16. életévét be nem töltött hozzátartozójának
o születési helye és ideje,
o lakcíme,
o anyja neve
o társadalombiztosítási azonosító jele
o adóazonosító jele,
o érvényes diákigazolvány meglétének ténye
– nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
– személygépkocsi
o típusa
o rendszáma
o üzemanyag típusa
o személygépkocsi hengerűrtartalma

Az adatkezelés célja: munkaviszony létesítése, teljesítése vagy megszüntetése, az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása

Az adatkezelés jogalapja: szerződéskötés (GDPR 6. cikk (1) b), jogi kötelezettség teljesítése (GDPR 6. cikk (1) b), törvényi felhatalmazás ill. elrendelés (Mt. 10. § (1) és (3) bek.; Mt. 42. § (2) bek. b) pont)

A személyes adat tárolásának időtartama: az adatkezelés céljának megvalósulásáig, munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatban a munkaviszony megszűnéséig, a munkaviszonyból származó jogosultságokkal kapcsolatban a nyugdíjfolyósításról szóló jogszabályokban meghatározott ideig.

A Társaság szervezetrendszerén belül a személyes adatokhoz hozzáférhet:
– a mindenkori HR vezető,
– az a HR-, bérszámfejtő stb. munkatárs, akinek munkaköri feladatai ellátásához elengedhetetlenül szükséges a személyes adat kezelése

A személyes adatokhoz hozzáférők által végrehajtott adatkezelési műveletek:
gyűjtés, felvétel, rögzítés, tárolás, rendszerezés, felhasználás, lekérdezés.

A személyes adatok az alábbi személyek/szervezetek számára kerülnek továbbításra:
Arkconsulting Kft/munkaügy/

Az adatkezelés módja, körülményei: papíralapon és elektronikusan

A Társaság másolatot (fénymásolat vagy szkennelés) készíthet újonnan belépő munkavállalói, illetve valamely adatát módosító munkavállalói személyi okmányairól. Ennek során az adott igazolványnak csak azok a részei nincsenek kimaszkolva, vagyis olvasásra csak azok a személyes adatok alkalmasak, amelyeket a munkavállaló a belépés során egyébként is köteles magáról megadni. Az így készült másolatot a Társaság legkésőbb az annak elkészültét követő 30 nap elteltével törli vagy megsemmisíti.

A Társaság köteles kérni az üzemorvostól a munkavállaló munkaköri alkalmasságának vizsgálatát.
Az egészségügyi alkalmassággal kapcsolatos adatokat a Társaság nem ismeri meg, és nem kezeli egyetlen érintett adatát sem az adatkezelés célját meghaladó mértékben. A Társaság csak az egészségügyi alkalmasság tényét bizonyító adatot kezeli.

Amennyiben a munkavállaló harmadik személy adatait adja meg (pl. pótszabadság, családi adókedvezmény kapcsán), úgy nyilatkozni köteles, hogy a harmadik személy adatainak megadására vonatkozóan felhatalmazással, hozzájárulással rendelkezik. Harmadik személy adatainak bekérése előtt a munkavállaló minden esetben írásban megkapja a GDPR 14. cikke szerinti előzetes tájékoztatást.

8.3
A munkavállalók ellenőrzésével kapcsolatos adatkezelés (pl. céges e-mail, laptop, internet, GPS)

A Társaság előzetesen írásban tájékoztatja a munkavállalóit azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállalók ellenőrzésére szolgálnak.
Ezen túlmenően a Társaság megfelelő szabályzattal rendelkezik a céges eszközök, illetve az informatikai rendszer használatáról.

A Társaság ellenőrzésenként elvégzi az érdekmérlegelési tesztet, melynek során:
– a lehető legpontosabban meghatározza a munkáltatói érdeket (jogos, konkrét, valódi és aktuális),
– a tervezett adatkezelés megkezdése előtt tisztázza, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése, vagy rendelkezésre állnak olyan egyéb megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél (szükségesség),
– annak meghatározása, hogy mi az adatkezelés célja, milyen személyes adatok,
meddig tartó adatkezelését igényli a jogos érdek,
– az Adatkezelő, illetve az érintett érdekének azonosítása,
– annak meghatározása, hogy miért korlátozza arányosan a munkáltatói jogos érdek – és az ennek alapján végzett adatkezelés – az előzőekben meghatározott munkavállalói jogokat, érdekeket.

A Társaság a munkavállalók munkaviszonnyal kapcsolatos magatartásának ellenőrzése során olyan módszer alkalmazására törekszik, amely nem jár együtt személyes adat kezelésével. Ha nincs ilyen módszer, akkor a magánszférát legkevésbé korlátozó módszert alkalmazza, amelynek nyomán a legszükségesebb mértékű, korlátozott körben ismer meg személyes adatokat.

A munkavállaló magánélete nem ellenőrizhető.
Az ellenőrzés során biztosítani kell a munkavállaló jelenlétét, az ellenőrzés előtt közölni kell a munkáltatói érdeket és az ellenőrzésnek fokozatosnak kell lennie.

Kezelt személyes adatok (az ellenőrzés során rögzített személyes adatok):
– (magán) e-mail cím,
– (magán) telefonszám,
– fénykép,
– munkavállaló saját személyes dokumentumai,
– internetes böngészési előzmények,
– cookie-k,
– gépjármű forgalmi adatok (úti cél, megtett km),
– a munkaviszony fennállása alatt elkövetett jogsértés

Az adatkezelés célja: a Társaság jogos üzleti érdekeinek megfelelően a munkavállalók ellenőrzése a jogszabályi keretek között, így különösen a munkavállalónak biztosított számítógép, e-mail cím és internet-hozzáférés ellenőrzése, a céges autók útvonalának ellenőrzése, valamint a Társaság jogos üzleti érdekeinek védelme, munkaszervezési célok (a munkafolyamatok hatékonyabb megszervezése), a céges gépjárművek útvonalának ellenőrzése, illetve a vagyonvédelem

Az adatkezelés jogalapja: jogos érdek (GDPR 6. cikk (1) f)

A személyes adat tárolásának időtartama: az ellenőrzéstől számított 1 év, de legkésőbb az ellenőrzéssel kapcsolatos igény elévülése.

A Társaság szervezetrendszerén belül a személyes adatokhoz hozzáférhet:
– a mindenkori HR vezető,
– a munkavállaló felettese, akinek munkaköri feladatai ellátásához elengedhetetlenül szükséges a személyes adat kezelése

A személyes adatokhoz hozzáférők által végrehajtott adatkezelési műveletek:
gyűjtés, felvétel, rögzítés, tárolás, rendszerezés, felhasználás, lekérdezés, továbbítás.

A személyes adatok az alábbi személyek/szervezetek számára kerülnek továbbításra: Arkconsulting Kft /bérszámfejtés/.

Az adatkezelés módja, körülményei: papíralapon és elektronikusan

8.4.
Elektronikus megfigyelőrendszerrel (kamera) kapcsolatos adatkezelés

A Társaság megfelelő szabályzattal rendelkezik a kamerás megfigyelésekkel kapcsolatban, amely megfigyelésre az érdekmérlegelési teszt elvégzését követően kerül sor.

A Társaság nem működtet kamerákat a munkavállalók és az általuk végzett tevékenység elsődleges, kifejezett megfigyelése, vagy a munkavállalók munkahelyi viselkedésének befolyásolása céljából.

Kezelt személyes adatok:
– az érintett képmása,
– a kamerakép által biztosított adatok (tartózkodási hely, idő, magatartás),

Az adatkezelés célja: a Társaság tulajdonában vagy használatában álló épületrészek (pl. üzlet) és területek kamerákkal történő megfigyelése vagyonvédelem és az emberi élet, testi épség védelme céljából

Az adatkezelés jogalapja: jogos érdek (GDPR 6. cikk (1) f)

A személyes adat tárolásának időtartama:
– a felvétel felhasználás hiányában a rögzítéstől számított 3 munkanap elteltével törlésre kerül (Szvtv. 31. § (2)),
– a pénztárnál elhelyezett kamera, valamint a pénztárból a pénz szállításának útvonalául szolgáló útvonalon elhelyezett kamerák által rögzített képfelvételeket az Szvtv. 31. § (3) c) pontja alapján a Társaság legfeljebb 30 napig megőrzi. A hosszabb megőrzési időt az indokolja, hogy a hivatkozott felvételek a jelentős értéket (5 millió Ft) meghaladó pénzösszeg tárolása és szállítása területén készülnek.
– amennyiben jog vagy jogos érdek igazolásával kérték, hogy a Társaság a felvételt ne semmisítse meg, ám a megkeresésre nem kerül sor, úgy a megkereséstől számított 30 nap elteltével törlésre kerül (Szvtv. 31. § (6))

A Társaság szervezetrendszerén belül a személyes adatokhoz hozzáférhet:
– a mindenkori HR vezető, ügyvezető
– a munkavállaló felettese, akinek munkaköri feladatai ellátásához elengedhetetlenül szükséges a személyes adat kezelése

A személyes adatokhoz hozzáférők által végrehajtott adatkezelési műveletek:
gyűjtés, felvétel, rögzítés, tárolás, rendszerezés, felhasználás, lekérdezés, továbbítás.

A személyes adatok az alábbi személyek/szervezetek számára kerülnek továbbításra: Arkconsulting Kft.

Bíróság vagy más hatóság megkeresésére a rögzített képfelvételt, valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni.
A belépési adatbázis adatai csak bűncselekmény vagy szabálysértés gyanújának észlelése esetén, illetőleg megkeresés alapján a nyomozó hatóságnak, illetőleg a szabálysértési hatóságnak adhatók át.

Az adatkezelés módja, körülményei: papíralapon és elektronikusan

8.5.
Riasztórendszer adatkezelése

A Társaság ingatlan- és ingóvagyona védelme érdekében elektronikus riasztórendszereket üzemeltet. Az adott riasztórendszerhez kiosztott aktiváló kódok minden esetben személyre szabottak, egy kódot csak egyetlen személy használhat.

Kezelt személyes adatok:
– név,
– riasztókód

Az adatkezelés célja: riasztórendszer működtetése, vagyonvédelem

Az adatkezelés jogalapja: jogos érdek (GDPR 6. cikk (1) f)

A személyes adat tárolásának időtartama: a riasztórendszer működtetéséig, vagy egy adott kód cseréjéig

A Társaság szervezetrendszerén belül a személyes adatokhoz hozzáférhet:
– a mindenkori HR vezető,
– az a munkatárs, akinek munkaköri feladatai ellátásához elengedhetetlenül szükséges a személyes adat kezelése

A személyes adatokhoz hozzáférők által végrehajtott adatkezelési műveletek:
gyűjtés, felvétel, rögzítés, tárolás, rendszerezés, felhasználás, lekérdezés, továbbítás.

A személyes adatok az alábbi személyek/szervezetek számára kerülnek továbbításra:

Az adatkezelés módja, körülményei: papíralapon és elektronikusan

9. Az érintett jogai

Az érintett kérelmezheti az Adatkezelőnél
– tájékoztatást a kezelt személyes adatairól (a konkrét adatokról ad tájékoztatást az Adatkezelő),
– a személyes adataihoz való hozzáférési jogot,
– kezelt személyes adatainak helyesbítését,
– kezelt személyes adatainak – kötelező adatkezelés kivételével – törlését, zárolását, (a konkrét személyes adat megjelölésével),
– tiltakozhat,
– elfeledtetését,
– kezelt személyes adata megjelölését,
– adathordozhatósághoz való jog.

Tájékoztatás a kezelt személyes adatokról:
Az érintett kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes.

A tájékoztatás megtagadása esetén az Adatkezelő – szintén 25 napon belül – írásban közli az érintettel, hogy a felvilágosítás megtagadására az Infotv. mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

Az érintett hozzáférési joga
Az érintett jogosult visszajelzést kapni ara vonatkozóan, hogy folyamatban van-e személyes adatainak kezelése. Ha igen, jogosult hozzáférést kapni a személyes adatokhoz és az alábbi információkhoz:
– az adatkezelés céljai,
– az érintett személyes adatok kategóriái,
– azon címzettek vagy kategóriáik, akikkel a személyes adatokat közölték vagy közölni fogják (ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket, valamint az ilyen adattovábbítás garanciái),
– a személyes adat tárolásának időtartama, vagy ha ez konkrétan nem lehetséges, akkor az időtartam meghatározásának szempontjai,
– az érintett jogairól szóló tájékoztatás (helyesbítés, törlés, kezelés korlátozása, tiltakozás, panasz benyújtás az adatvédelmi/felügyeleti hatósághoz),
– ha az adatokat nem az érintettől gyűjtötték, akkor a forrásukra vonatkozó információk
– automatizált döntéshozatal ténye, ideértve a profilalkotást is.

Az Adatkezelő a kezelt személyes adatok másolatát az érintett rendelkezésére bocsátja.

Az adat helyesbítése, törlése és zárolása
Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő – indokolatlan késedelem nélkül – helyesbíti.

Az Adatkezelő – indokolatlan késedelem nélkül – törli az érintett személyes adatát, ha az adatkezelés jogellenes, az érintett – az Infotv. 14. § c) pontjában foglaltak szerint – kéri (a kötelező adatkezelés kivételével), az adatkezelés célja megszűnt vagy az adatok tárolásának törvényben meghatározott ideje lejárt, azt bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte, az adatkezelése hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki.
Az Adatkezelő akkor is törli a személyes adatokat, ha azokra már nincs szükség az adott célból, az érintett visszavonja a hozzájárulását és nincs más jogalap az adatkezelésre, az érintett tiltakozik az adatkezelés ellen.

Az adatkezelő zárolja az érintett személyes adatát, amennyiben az érintett kéri, vagy ha a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekét. A zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
Az adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
Az adat helyesbítéséről, zárolásáról és törléséről az érintettet, valamint mindazokat értesíteni kell, akiknek korábban az adatot továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára tekintettel az érintett jogos érdekét nem sérti.
Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

Tiltakozás a személyes adatok kezelése ellen
Az érintett tiltakozhat személyes adatainak kezelése ellen, ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve a kötelező adatkezelés esetét, továbbá ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, valamint törvényben meghatározott egyéb esetben.
A kérést haladéktalanul, de legkésőbb 15 napon belül ki kell vizsgálni és írásban tájékoztatást adni. Ha a tiltakozás indokolt, az adatkezelő köteles az adatkezelést (további adatfelvételt, továbbítást) megszüntetni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről mindazokat értesíteni, akik részére a tiltakozással érintett személyes adatot továbbította, akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Elfeledtetés joga
Az érintett kérésére az Adatkezelő elfeledteti az érintett általa kezelt személyes adatait. Az elfeledetés során a kezelt személyes adatot az Adatkezelő minden rendelkezésére álló nyilvántartásából törli, intézkedik a közzétett személyes adat lehető legszélesebb körű elérhetetlenné tételéről, illetve a saját biztonsági mentéseiből is törli a személyes adatokat. Az Adatkezelő az érintettet az elfeledtetés érdekében történt intézkedésekről tájékoztatja.
Ha az adatkezelő nyilvánosságra hozta a személyes adatokat vagy továbbította más adatkezelőknek, illetve adatfeldolgozóknak, köteles az adatkezelőket, adatfeldolgozókat tájékoztatni az érintett kéréséről és intézkedni a személyes adatok elfeledtetéséről.
Kivételes esetben az Adatkezelő megtagadhatja az elfeledtetés végrehajtását, ha a személyes adat kezelése jogszabály alapján kötelező, vagy egyéb kötelezettség teljesítéséhez szükséges az adat megtartása, illetve, amennyiben a jogszabályok az elfeledtetés megtagadását lehetővé teszik.

A kezelt személyes adat megjelölése
Az Adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
A megjelölésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

Adathordozhatóság joga
Ha az adatkezelés jogalapja az érintett önkéntes hozzájárulása vagy szerződés teljesítéséhez szükséges az adat, és az adatkezelés automatizált módon történik, az érintettet megilleti az adathordozhatóság joga. Az érintett kérheti a rá vonatkozó, illetve az általa az Adatkezelő rendelkezésére bocsátott adatok kiadását, illetve azt, hogy az adatkezelő továbbítsa az adatokat egy másik adatkezelőnek.
Az adatokat az Adatkezelőtől olyan formátumban adja át, amely az érintett, illetve az adatokat fogadó másik szervezet számára géppel is olvasható.
Az Adatkezelő jogosult megtagadni az adattovábbítást, ha az érintett jogának gyakorlása más természetes személy jogainak, szabadságainak sérelmét okozná, vagy ha az adatkezelés közérdekű feladatok, közhatalmi jogosítványok gyakorlásához szükséges.

10. Adatkezelő által vezetett nyilvántartások

Az Adatkezelő minden egyes adatkezelésről nyilvántartást vezet, legalább az alábbi tartalommal:
– adatkezelő, illetve képviselője (ha van),
– az adatvédelemért felelős munkatárs neve és elérhetősége,
– az adatkezelés céljai,
– az érintettek kategóriái (pl. munkavállalók),
– a személyes adatok kategóriái (név, lakcím stb.),
– a címzettek kategóriái (bérszámfejtő, vállalatcsoporton belüli adattovábbítás),
– a harmadik országba történő adattovábbítások garanciáit,
– az egyes adatkategóriák törlésére előirányzott határidőket,
– a technikai és szervezési intézkedéseket (hozzáférés jelszóval védett, biztonsági másolatok, kód, álnevesítés stb.).

Adattovábbítások nyilvántartása
Az Adatkezelő az által végzett adattovábbításokról nyilvántartást vezet. A nyilvántartásban az Adatkezelő naplózza, hogy kinek, mikor és milyen jogalappal továbbította az érintettek adatait. Az érintett kérésére az Adatkezelő tájékoztatást ad az érintett személyes adatainak továbbításáról.
Az adattovábbítási nyilvántartást tartalmazza a kezelt adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körét, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről az Adatkezelő nyilvántartást vezet. Az incidenseket az Adatkezelő elemzi, értékeli az incidens személyes adatokra vonatkozó kockázatait és, ha az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor késedelem nélkül, de legfeljebb az incidens bekövetkezésétől számított 72 órán belül köteles bejelenteni az incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóság részére.
Az Adatkezelő a nyilvántartásban feltünteti az incidenshez kapcsolódó tényeket, azok hatásait, valamint az annak orvoslására tett intézkedéseket

Az Adatkezelő a fentieken túlmenően nyilvántartja, dokumentálja az érinteti, illetve a hatóságtól érkező megkereséseket, illetve az azokra adott válaszokat is.

11. A jogellenes adatkezelés következményei és az érintett jogorvoslati lehetőségei

Amennyiben az érintett személyes adatainak jogellenes kezelését tapasztalja és ezzel az Adatkezelő az érintettnek kárt okoz, akkor köteles azt megtéríteni. (Az érintett kártérítésre irányuló kereseti kérelmet terjeszthet elő a bíróságon).

Az érintett személyiségi jogainak megsértése esetén sérelemdíjat követelhet az Adatkezelőtől.

Amennyiben az érintett személyes adatainak jogellenes kezelését tapasztalja, akkor panasszal fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; postacím: 1530 Budapest, Pf. 5.; telefon: 06 -1- 391-1400; telefax: 06-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).

Az érintett bírósághoz is fordulhat személyes adatainak jogellenes kezelése esetén. A pert az Adatkezelő székhelye, vagy az érintett választása szerint, az érintett lakóhelye vagy tartózkodási helye szerint illetékes bíróság előtt lehet megindítani.

12. Záró rendelkezés

Az Adatkezelő fenntartja a jogot, hogy a jelen adatvédelmi szabályzatot egyoldalúan módosítsa, különösen akkor, ha azt jogszabályváltozás szükségessé teszi. Mindez nem jelenti a személyes adatok céltól eltérő kezelését. Adatkezelő a jelen szabályzat módosításáról köteles értesíteni a munkavállalókat, és annak hatályos változatát számukra hozzáférhetővé tenni.