ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT
1. ÁLTALÁNOS RENDELKEZÉSEK
1.1. A szabályzat célja
1.1.1. A MÉDIA EGER Nonprofit Közhasznú Szolgáltató Korlátolt Felelősségű Társaság (a továbbiakban: Társaság) kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfelel a jelen adatkezelési szabályzatban (továbbiakban: Szabályzat) és a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak, különösen az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 Rendelet (General Data Protection Regulation – Európai Unió Általános Adatvédelmi Rendelet, továbbiakban: GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), valamint a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.) rendelkezéseinek.
1.1.2. Jelen Szabályzat célja, hogy rögzítse a Társaság által alkalmazott adatvédelmi és adatkezelési elveket, és a Társaság adatvédelmi és adatkezelési politikáját, meghatározza a Társaság, mint adatkezelő által folytatott gazdasági tevékenység során keletkező személyes adatok körét, az adatkezelés célját, az érintettek jogait, és e jogok gyakorlásának lehetőségeit, továbbá a kezelt adatok jogosulatlan felhasználásának megakadályozása érdekében megállapítsa a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.
1.1.3. A Társaság által végzett egyes szolgáltatások vonatkozásában jelen Szabályzat, vagy a Társaság által e célból közzétett egyéb tájékoztatás rendelkezik a Társaság által a konkrét szolgáltatással összefüggésben kezelt személyes adatok köréről, az adatkezelés céljairól, időtartamáról, az adatok helyesbítésének, törlésének módjáról, az adatfeldolgozók köréről, valamint arról, hogy a Társaság mely harmadik személyek részére továbbít személyes adatot.
1.2. A Szabályzat hatálya
1.2.1. A Szabályzat hatálya valamennyi, a Társaság által kezelt, azonosított vagy azonosítható természetes személyre, mint érintettre vonatkozó bármely információ, személyes adat kezelésére vonatkozik. Jelen Szabályzat irányadó minden olyan további esetben is, amelyre a Társaság jelen Szabályzat alkalmazását írja elő.
1.2.2. Ellenkező tájékoztatás hiányában a Szabályzat hatálya nem terjed ki azon szolgáltatásokra és adatkezelésekre, melyek a jelen Szabályzat 3. fejezetében hivatkozott tevékenységek ellátása során, vagy a Társaság honlapján megjelenő, a Társaságon kívüli harmadik személyek tevékenységéhez, illetve e harmadik személyek által közzétett tartalmakhoz kapcsolódnak.
1.2.3. A Társaság által végzett egyes szolgáltatások vonatkozásában jelen Szabályzat, vagy az egyedi adatkezelési tájékoztatóban (továbbiakban: Egyedi Adatkezelési Tájékoztató), vagy a Társaság által e célból közzétett egyéb tájékoztatás rendelkezik a Társaság által a konkrét szolgáltatással összefüggésben kezelt személyes adatok köréről, az adatkezelés céljairól, időtartamáról, az adatok helyesbítésének, törlésének módjáról, lehetőségeiről, az adatfeldolgozók köréről, valamint arról, hogy a Társaság mely harmadik személyek részére továbbít személyes adatot. Az Egyedi Adatkezelési Tájékoztató jelen Szabályzattal együtt értelmezendő, az Egyedi Adatkezelési Tájékoztató és a Szabályzat esetleges eltérése esetén a jelen Szabályzatban foglaltak irányadók.
1.2.4. Jelen Szabályzat 2018. szeptember 30. napjától visszavonásig hatályos. Amennyiben a Társaság új adatvédelmi- és adatkezelési szabályzatot tesz közzé, akkor az új szabályzat hatályba lépésével jelen Szabályzat minden további feltétel nélkül hatályát veszti.
1.3. A Szabályzat közzététele és módosítása
1.3.1. A Szabályzat, és a Társaság adatkezeléseivel kapcsolatosan felmerülő adatvédelmi irányelvek folyamatosan elérhetők a www.mediaeger.hu/adatvedelem címen, illetve papír alapon a Társaság székhelyén. Amennyiben jelen Szabályzatban foglaltakkal, vagy egyébként az adatkezeléssel kapcsolatban bármilyen további kérdése merülne fel, kérjük forduljon hozzánk bizalommal a mediaeger@mediaeger.hu címen.
1.3.2. A Társaság fenntartja magának a jogot jelen Szabályzat egyoldalú módosítására, azzal, hogy a változásokról előzetesen értesítést közlünk. A módosított rendelkezések a Társaság által nyújtott szolgáltatásnak a módosítás közzétételét követő első igénybevételével válnak hatályossá az adott érintettel szemben.
1.4. Az adatkezelő adatai
1.4.1. A jelen Szabályzat 3. fejezetében megjelölt szolgáltatások esetében adatkezelőnek minősül a Társaság: MÉDIA EGER Nonprofit Közhasznú Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg. 10-09-030273., székhely: 3300 Eger, Törvényház u. 15., adószám: 11708616-2-10.).
1.4.2. A Társaság köztulajdonban álló gazdasági társaság, melynek egyedüli tagja (alapítója) az Eger Megyei Jogú Város Önkormányzata (továbbiakban: Önkormányzat) kizárólagos tulajdonát képező EVAT Egri Vagyonkezelő és Távfűtő Zártkörűen Működő Részvénytársaság (cégjegyzékszám: Cg.10-10-020014., székhely: 3300 Eger, Zalár J. u. 1-3., adószám: 10592803-2-10., továbbiakban: EVAT Zrt.).
1.4.3. A Társaság legfontosabb feladatai:
§ az Egri Magazin készítése,
§ televíziós műsorgyártás,
§ a KULTRUMA-csoporton keresztül városa városi fenntartású intézmények, a város közvetett tulajdonban álló gazdasági társaságok, és az önkormányzat támogatásával megvalósított programok kulturális, turisztikai és marketing tevékenységének, kommunikációjának, marketing munkájának koordinálása, segítése,
§ városi rendezvények szervezése, a város marketing feladatainak ellátása, a város népszerűsítése, reklámkampányok kidolgozása, megvalósítása helyben, regionálisan és országosan, reklámrendszergazda feladatok elvégzése,
§ Márai Aktív Turisztikai Látogatóközpont, és az ahhoz tartozó 3 Kívánság Kalandpark működtetése,
§ Tűztorony Játszóház működtetése,
§ a reklám- és marketing tevékenységgel összefüggésben online portálok üzemeltetése.
1.4.4. Az adatkezelő adatvédelemmel, adatkezeléssel, és adatbiztonsággal kapcsolatos vezetését az adatkezelő szervezeti irányítását ellátó képviselő önállóan, a belső adatvédelmi felelős javaslatait figyelembe véve látja el.
1.5. Az adatvédelmi felelős
1.5.1. A GDPR vonatkozó rendelkezései értelmében a Társaságnál adatvédelmi tisztviselőt kijelölése nem kötelező, a Társaság azonban az adatvédelmi szabályok minél hatékonyabb betartása érdekében adatvédelmi felelőst jelöl ki. Az adatvédelmi felelős személye és elérhetőségei a Társaság honlapján található (www.mediaeger.hu/adatvedelem)
1.5.2. A belső adatvédelmi felelős az adatkezelő képviselőjének közvetlenül felel, és ellátja a következőkben meghatározott feladatokat:
§ közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
§ tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző munkavállalók részére kötelezettségeikkel kapcsolatban;
§ ellenőrzi a 2011. évi CXII. törvény a GDPR, valamint az adatvédelemre, adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatkezelési szabályzatok rendelkezéseinek és az adatbiztonsági követelmények megtartását;
§ kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
§ elkészíti és folyamatosan karbantartja a Szabályzatot;
§ vezeti a belső adatvédelmi nyilvántartásokat;
§ gondoskodik az adatvédelmi ismeretek oktatásáról;
§ kérésre szakmai tanácsot ad a Munkatársak számára,
§ tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
§ együttműködik és kapcsolatot tart a felügyeleti hatósággal;
§ ellát egyéb, szerződésében meghatározott feladatokat.
1.6. Fogalommeghatározások
1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
2. személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
3. különleges adat:
a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
4. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
5. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
6. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
7. hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
8. tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
9. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
10. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
12. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
13. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
14. adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
15. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
16. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik;
17. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
18. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;
19. adatközlő: az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;
20. adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés;
21. egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.
2. AZ ADATKEZELÉS ÁLTALÁNOS SZABÁLYAI
2.1. Az adatkezelés alapelvei
2.1.1. Jogszerűség, tisztességes eljárás, átláthatóság
A személyes adatok kezelése csak meghatározott jogalap (hozzájárulás vagy más törvényes jogalap) alapján történhet. A személyes adatokat tisztességesen és az érintett által átlátható módon kell kezelni. Az adatkezeléssel kapcsolatos információkat pontos, átlátható, érthető és könnyen hozzáférhető formában, egyszerű és érthető nyelvezettel kell megadni.
2.1.2. Célhozkötöttség
Az adatok csak meghatározott, egyértelmű és jogszerű célból gyűjthetők. Az adatok további kezelése is csak e célokkal összhangban történhet. A célhoz kötöttséggel közvetlenül összefüggő, az adatkezelő és az érintett érdekei közti mérlegelés sok esetben megteremti az adatkezelés jogalapját. Ezért az adatkezelés konkrét célját minden esetben meg kell határozni.
2.1.3. Adattakarékosság
Az adattakarékosság alapelvének értelmében az adatgyűjtés és az adatkezelés azokra az adatokra korlátozandó, amelyek a kívánt cél eléréséhez ténylegesen szükségesek.
2.1.4. Pontosság
A vállalkozásoknak tudniuk kell igazolni, hogy az általuk kezelt személyes adatok pontosak és naprakészek. A pontatlan adatokat haladéktalanul törölni vagy helyesbíteni kell. A vállalkozások kötelesek az adatok aktualizálására rutinszerű eljárásokat bevezetni.
2.1.5. Korlátozott tárolhatóság
A személyes adatok érintettek azonosítását lehetővé tevő formában történő tárolása az adatkezelés céljának eléréséhez szükséges ideig lehetséges. Be kell tartani a jogszabályban előírt határidőket, vizsgálni kell, hogy az álnevesítésnek vagy anonimizálásnak helye van-e. Az álnevesítés esetében az adatok más információkkal való összekapcsolás nélkül nem rendelhetők hozzá az érintetthez. Ennek biztosítására megfelelő technikai és szervezeti intézkedéseket kell bevezetni.
2.1.6. Integritás, bizalmi jelleg
Biztosítani kell, az adatok jogosulatlan és jogellenes kezelésének, véletlen elvesztésének, megsemmisülésének, illetve károsodásának megelőzését. Ezért elsősorban IT és szervezeti vonatkozásban (pl.: hozzáférési és jogosultsági eljárásrendek, kódolás) kell megfelelő intézkedéseket foganatosítani. Az adatvédelmi incidenseket, azaz a személyes adatok sérelmét, ha fennáll a kockázata annak, hogy az érintettek jogai sérülnek, az adatvédelmi hatóságnak be kell jelenteni. Adott esetben – ha a kockázat magas – az érintett személy közvetlenül is értesítendő.
2.1.7. Elszámolhatóság
Az elszámoltathatóság alapelve értelmében a vállalkozásoknak az előzőekben bemutatott alapelveknek való megfelelést tudni kell dokumentumokkal alátámasztva igazolni.
2.2. Az adatkezelés gyakorlásának szabályai
2.2.1. A Társaság a személyes adatokat a 2.1. pontban megjelölt alapelveknek, valamint a hatályos jogszabályok és jelen Szabályzatban rendelkezéseinek megfelelően kezeli.
2.2.2. A Társaság a szolgáltatások igénybevételéhez elengedhetetlenül szükséges személyes adatokat az érintett hozzájárulása alapján, és kizárólag célhoz kötötten használja fel.
2.2.3. A Társaság a személyes adatokat csak a jelen Szabályzatban, illetve a vonatkozó jogszabályokban meghatározott célból kezel. A kezelt személyes adatok körének arányban kell állnia az adatkezelés céljával, azon nem terjeszkedhet túl.
2.2.4. Minden olyan esetben, ha a személyes adatokat a Társaság az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az érintettet tájékoztatni köteles, és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít az érintett számára, hogy a felhasználást megtiltsa.
2.2.5. A tizenhatodik életévét be nem töltött érintett személyes adatai csak a szülői felügyeletet gyakorló nagykorú személy hozzájárulása esetén kezelhetők. A Társaságnak nem áll módjában a hozzájáruló személy jogosultságát, illetve nyilatkozatának tartalmát ellenőrizni, így az érintett, illetve a felette szülői felügyeletet gyakorló személy szavatol azért, hogy a hozzájárulás megfelel a jogszabályoknak.
2.2.6. A Társaság a kezelt személyes adatokat a jelen Szabályzatban meghatározott adatfeldolgozókon, valamint egyes – a jelen Szabályzatban hivatkozott – esetekben a külső szolgáltatókon kívül harmadik félnek át nem adják. Ez alól kivételt képez az adatok statisztikailag összesített formában történő felhasználása, mely az érintett beazonosítására alkalmas egyéb adatot semmilyen formában nem tartalmazhatja, ez által nem minősül adatkezelésnek, sem adattovábbításnak.
2.2.7. A Társaság bizonyos esetekben – hivatalos bírósági, rendőrségi megkeresés, jogi eljárás szerzői-, vagyoni- illetve egyéb jogsértés vagy ezek alapos gyanúja miatt a Társaság érdekeinek sérelme, a szolgáltatások biztosításának veszélyeztetése stb. – harmadik személyek számára hozzáférhetővé teszi az érintett elérhető személyes adatait.
2.2.8. A Társaság a kezelt személyes adat helyesbítéséről, korlátozásáról, illetve törléséről az érintettet, továbbá mindazokat értesíti, akiknek korábban a személyes adatot adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
2.2.9. A Társaság gondoskodik a személyes adatok biztonságáról, megteszi azokat a technikai- és szervezési intézkedéseket, és kialakítja azokat az eljárási szabályokat, amelyek biztosítják a kezelt adatok védelmét, és megakadályozzák azok véletlen elvesztését, jogtalan megsemmisülését, jogosulatlan hozzáférését, jogosulatlan felhasználását és jogosulatlan megváltoztatását, jogosulatlan terjesztését. E kötelezettség teljesítésére a Társaság minden olyan harmadik felet felhív, akik részére személyes adatokat továbbít.
2.2.10. A Társaság a megadott személyes adatokat, azok tartalmát nem ellenőrzi, a megadott személyes adatok helyességéért kizárólag az azt közlő személy felel.
2.3. Az adatfeldolgozás
2.3.1. A Társaság egyes tevékenységei ellátásához adatfeldolgozókat (a továbbiakban: Adatfeldolgozók) vesz igénybe. Az Adatfeldolgozók személye jelen Szabályzat 3. fejezetében kerülnek megjelölésre.
2.3.2. Az Adatfeldolgozók önálló döntést nem hoznak, kizárólag a Társasággal kötött szerződés, és a Társaságtól kapott utasítások szerint jogosultak eljárni. A Társaság ellenőrzi az Adatfeldolgozók tevékenységét.
2.3.3. Az Adatfeldolgozók további adatfeldolgozó igénybe vételére csak a Társaság hozzájárulásával jogosultak.
2.4. Külső szolgáltatók
2.4.1. A Társaság a gazdasági tevékenysége körében végzett szolgáltatások teljesítéséhez kapcsolódóan külső szolgáltatókat (a továbbiakban: Külső Szolgáltató) vehet igénybe, amely Külső Szolgáltatókkal a Társaság együttműködik.
2.4.2. A Külső Szolgáltatók rendszereiben kezelt személyes adatok tekintetében a Külső Szolgáltatók saját adatvédelmi tájékoztatójában foglaltak az irányadók.
2.4.3. A Társaság minden tőle telhetőt megtesz annak érdekében, hogy a Külső Szolgáltató a részére továbbított személyes adatokat a jogszabályoknak megfelelőn kezelje, és azokat kizárólag az érintett által meghatározott vagy a jelen Szabályzatban alább rögzített célra használja fel.
2.4.4. A Társság a Külső Szolgáltatók számára végzett adattovábbításról a jelen Szabályzat keretében tájékoztatja az érintettet.
2.4.5. Egyéb Külső szolgáltatók
Vannak olyan Külső szolgáltatók, amelyekkel a Társaság nem áll szerződéses jogviszonyban vagy az adott adatkezelés tekintetében szándékosan nem működik együtt, azonban ettől függetlenül is a szolgáltatásokhoz – akár az érintett közreműködése által, akár anélkül – hozzáférnek, és ezáltal az érintettekről, különösen az érintettek felhasználói aktivitásáról adatokat gyűjtenek, amelyekből esetenként – önállóan vagy más, e Külső Szolgáltató által gyűjtött adatokkal összekapcsolva – alkalmasak lehetnek az érintett azonosítására. E Külső Szolgáltatók a részükre továbbított személyes adatokat saját adatvédelmi irányelveik szerint kezelik.
2.5. Kötelező adattovábbítás
2.5.1. A Társaság jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amely személyes adat továbbítására a Társaságot jogszabály vagy jogerős bírósági (hatósági) határozat kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt a Társaság nem tehető felelőssé.
2.5.2. A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatásának biztosítása céljából adattovábbítási nyilvántartást vezet.
3. A KEZELT SZEMÉLYES ADATOK KÖRE
3.1. Városi televízió
A Társaság az Önkormányzattal kötött közszolgáltatási szerződés alapján üzemelteti az egri Városi Televíziót, televíziós műsort gyárt, valamint sugároz. A műsorok nyilvánosak, korlátlan ideig megtalálhatóak az archívumban. A műsorok vagy azok részletei egyes külső szolgáltatóknál megjelenhetnek és korlátlan ideig ott tárolódnak, ott megnézhetőek a nyilvánosság által.
a) Az adatkezelés célja: az adatkezelés célja az Önkormányzat közvetett tulajdonában lévő helyi televízió színvonalas üzemeltetése
b) A felhasznált személyes adatok típusa, és kezelésének oka:
|
televízióban megjelenő személyek és a szerződő partner neve |
azonosítás |
|
televízióban megjelenő személyek munkahelye, munkahelyi beosztása |
azonosítás |
|
televízióban megjelenő személyek és a szerződő partner lakcíme |
azonosítás/kapcsolattartás |
|
szerződő partner születési helye, ideje |
azonosítás |
|
szerződő partner anyja neve |
azonosítás |
|
szerződő partner telefonszáma |
kapcsolattartás |
|
szerződő partner e-mail címe |
kapcsolattartás |
|
fényképfelvétel |
a szolgáltatás teljesítéséhez szükséges |
|
televízióban megjelenő személyek kép- és hangfelvétele |
a szolgáltatás teljesítéséhez szükséges |
|
díjazás |
a szerződés tartalmi eleme, a szolgáltatás elszámolásához szükséges |
|
szerződő partner bankszámlaszáma |
az ellenszolgáltatás teljesítéséhez szükséges |
c) Az adatok forrása: a televízióban megjelenő személyek, illetve a szerződő partner adatszolgáltatása
d) Az adatkezelés időtartama: a kép- és hangfelvételek tekintetében korlátlan, a számviteli bizonylatok tekintetében a szerződés megszűnését követő nyolc év a számvitelről szóló 2000. évi C. törvény (Számv. tv.) 169. § (2) bekezdése alapján
e) Az adatkezelés jogalapja: az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pontja], az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], Magyarország Alaptörvénye
f) Az adattárolás módja: elektronikusan és papíralapon
g) Adattovábbítás:
§ az Önkormányzat felé – a városi kommunikációs célok teljesítésének segítése érdekében
h) Adatfeldolgozók:
§ a társaság által a szolgáltatáshoz igénybe vett szakmai partner – a szolgáltatás teljesítése érdekében
§ EVAT Zrt. felé – a könyvelési, számviteli feladatok teljesítése érdekében
§ Médiaszolgáltatás-támogató és Vagyonkezelő Alap felé – adatszolgáltatás céljából
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
i) Az adatszolgáltatás elmaradásának lehetséges következményei: a személyes adatok átadása nélkül a Társaság az érintett kép- és hangfelvételét nem hozza nyilvánosságra
3.2. Egri Magazin
A Társaság az Önkormányzattal kötött közszolgáltatási szerződés alapján szerkeszti és kiadja az Egri Magazin nevű sajtóterméket. E tevékenységgel kapcsolatban személyes adatok keletkeznek a szolgáltatás ellátása során, továbbá a szolgáltatás teljesítéséhez szükséges adminisztrációval, valamint a közreműködők igénybevételével kapcsolatban.
a) Az adatkezelés célja: az adatkezelés célja az Önkormányzat közvetett tulajdonában lévő Egri Magazin színvonalas üzemeltetése
b) A felhasznált személyes adatok típusa, és kezelésének oka:
|
sajtótermékben megjelenő személyek és a szerződő partner neve |
azonosítás |
|
sajtótermékben megjelenő személyek munkahelye, beosztása |
azonosítás |
|
sajtótermékben megjelenő személyek és a szerződő partner lakcíme |
azonosítás/kapcsolattartás |
|
szerződő partner születési helye, ideje |
azonosítás |
|
szerződő partner anyja neve |
azonosítás |
|
szerződő partner telefonszáma |
kapcsolattartás |
|
szerződő partner e-mail címe |
kapcsolattartás |
|
fényképfelvétel |
a szolgáltatás teljesítéséhez szükséges |
|
sajtótermékben megjelenő személyek kép- és hangfelvétele |
a szolgáltatás teljesítéséhez szükséges |
|
díjazás |
a szerződés tartalmi eleme, a szolgáltatás elszámolásához szükséges |
|
szerződő partner bankszámlaszáma |
az ellenszolgáltatás teljesítéséhez szükséges |
c) Az adatok forrása: a magazinban megjelenő személyek, illetve a szerződő partner adatszolgáltatása
d) Az adatkezelés időtartama: korlátlan, a számviteli bizonylatok tekintetében a szerződés megszűnését követő nyolc év a számvitelről szóló 2000. évi C. törvény (Számv. tv.) 169. § (2) bekezdése alapján
e) Az adatkezelés jogalapja: az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pontja], az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], Magyarország Alaptörvénye
f) Az adattárolás módja: elektronikusan és papíralapon
g) Adattovábbítás:
§ az Önkormányzat felé – a városi kommunikációs célok teljesítésének segítése érdekében
h) Adatfeldolgozók:
§ a társaság által igénybe vett szakmai partnerek és alvállalkozók – a szolgáltatás teljesítése érdekében
§ EVAT Zrt. felé – a könyvelési, számviteli feladatok teljesítése érdekében
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
§ Délkelet-Press Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg. 04-09-012388, székhely: 5600 Békéscsaba, Kétegyházi út 18.) – a sajtótermék előállítása céljából
i) Az adatszolgáltatás elmaradásának lehetséges következményei: a személyes adatok átadása nélkül a Társaság az érintett adatait nem hozza nyilvánosságra
3.3. Reklámozás, reklámfelület-értékesítés
A Társaság tevékenységébe tartozik az online-, televízió-, újság- és képújság reklám közvetítése, valamint az Önkormányzati tulajdonban álló reklámfelületek (hirdetőoszlopok, City-light óriásplakátok) kezelése és értékesítése. E tevékenység gyakorlása során személyes adatok elsősorban a szerződés teljesítésével, és nyilvántartásával összefüggésben keletkezik.
a) Az adatkezelés célja: az adatkezelés célja az ügyfél azonosítása, az ügyféllel történő kapcsolattartás, a szerződés feltételeinek írásbeli rögzítése
b) A felhasznált személyes adatok típusa:
|
név |
azonosítás, kapcsolattartás |
|
lakcím |
azonosítás/kapcsolattartás |
|
születési hely, idő |
azonosítás |
|
anyja neve |
azonosítás |
|
személyi igazolvány száma |
azonosítás |
|
adóazonosító száma |
azonosítás, a szolgáltatás nyújtásához szükséges |
|
telefonszám |
kapcsolattartás |
|
e-mail cím |
kapcsolattartás |
|
számla összege |
a szolgáltatás nyújtásához szükséges |
|
bankszámlaszám |
az ellenszolgáltatás teljesítéséhez szükséges |
|
nem természetes személy szerződő felek képviselőjének vagy kapcsolattartójának neve, telefonszáma, e-mail címe |
kapcsolattartás |
c) Az adatok forrása: az érintett adatszolgáltatása
d) Az adatkezelés időtartama:
§ a szerződés megszűnését követő, a Ptk. 6:22.§ szerinti 5 éves elévülési idő elteltéig
§ a számviteli bizonylatok tekintetében a szerződés megszűnését követő nyolc év a számvitelről szóló 2000. évi C. törvény (Számv. tv.) 169. § (2) bekezdése alapján
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja]
f) Az adattárolás módja: elektronikusan és papíralapon
g) Adatfeldolgozók:
§ EVAT Zrt. felé – a könyvelési, számviteli feladatok teljesítése érdekében
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
h) Az adatszolgáltatás elmaradásának lehetséges következményei: a személyes adatok átadása nélkül a Társaság nem lép szerződéses jogviszonyba az érintettel
3.4. Bérbeadás
Az Önkormányzati tulajdonú, a Társaság által kezelt Márai Aktív Turisztikai Látogatóközpont, a 3 Kívánság Kalandpark, és a Tűztorony Játszóház ingatlanok bérbeadása során a Társaság folytatja le a bérleti szerződés előkészítését, megkötését és teljesítését.
a) Az adatkezelés célja: az adatkezelés célja az Önkormányzati tulajdonú ingatlanok üzemeltetése
b) A felhasznált személyes adatok típusa:
|
név |
azonosítás, kapcsolattartás |
|
lakcím |
azonosítás/kapcsolattartás |
|
születési hely, idő |
azonosítás |
|
anyja neve |
azonosítás |
|
adóazonosító száma |
azonosítás, a szolgáltatás nyújtásához szükséges |
|
telefonszám |
kapcsolattartás |
|
e-mail cím |
kapcsolattartás |
|
számla összege |
a szolgáltatás nyújtásához szükséges |
|
bankszámlaszám |
az ellenszolgáltatás teljesítéséhez szükséges |
|
nem természetes személy szerződő felek képviselőjének vagy kapcsolattartójának neve, telefonszáma, e-mail címe |
kapcsolattartás |
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a cél eléréséig, azaz a bérleti szerződés teljesítéséig
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja]
f) Az adattárolás módja: elektronikusan és papíralapon
g) Adatfeldolgozók:
§ EVAT Zrt. felé – a könyvelési, számviteli feladatok teljesítése érdekében
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
h) Az adatszolgáltatás elmaradásának lehetséges következményei: a személyes adatok átadásának hiányában az érintettel bérleti szerződés nem köthető
3.5. Könyvelési és számviteli feladatok
Az EVAT-cégcsoporthoz tartozó Társaság jogszabályban előírt könyvvezetési, beszámolókészítési, bevallási kötelezettségét az EVAT Zrt. bevonásával teljesíti, akként, hogy az EVAT Zrt. megbízási jogviszony keretében nyújt könyvviteli szolgáltatásokat a Társaság részére.
a) Az adatkezelés célja: a Társaság által végzett gazdasági tevékenységgel kapcsolatos számviteli feladatok teljesítése
b) Közös adatkezelők: az EVAT Zrt., és a Társaság közös adatkezelőnek minősülnek, akik egymás közötti jogviszonyukat külön szerződésben rendezik egymással
c) A felhasznált személyes adatok típusa:
|
partner neve |
azonosítás, kapcsolattartás |
|
lakcíme, egyéni vállalkozó székhelye |
azonosítás, kapcsolattartás |
|
telefonszám |
kapcsolattartás |
|
e-mail cím |
kapcsolattartás |
|
adószám |
a szerződés teljesítéséhez, és a szolgáltatás elszámolásához szükséges |
|
pénzforgalmi számlaszám |
a szerződés teljesítéséhez szükséges |
|
egyéni vállalkozói igazolvány száma, másolata |
a szerződés teljesítéséhez szükséges |
|
nem természetes személy szerződő partner képviselőjének azonosító adatai (neve, lakcíme, telefonszáma, e-mail címe) |
kapcsolattartás |
d) Az adatok forrása: az érintett önkéntes adatszolgáltatása
e) Az adatkezelés időtartama: az érintett és a Közös Adatkezelők közötti szerződés megszűnését követő nyolc év a számvitelről szóló 2000. évi C. törvény (Számv. tv.) 169. § (2) bekezdése alapján
f) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], a Számv. tv. 169. § (1)-(2) bekezdései
g) Az adattárolás módja: elektronikusan, részben automatizált módon és papíralapon
h) Adattovábbítás:
§ az EVAT Zrt., mint közös adatkezelő felé
§ a jogszabályban előírt adó- és társadalombiztosítási bejelentési- és bevallási kötelezettségek teljesítése érdekében az arra hatáskörrel és illetékességgel rendelkező szerveknek
i) Adatfeldolgozók:
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – a LIBRA informatikai rendszer működtetése céljából
j) Az adatszolgáltatás elmaradásának lehetséges következményei: a szükséges személyes adatok hiányában a Társaság számviteli kötelezettségeinek maradéktalan teljesítése veszélybe kerülhet
3.6. Pénztár
A Társaság székhelyén működő pénztárban a Társaság munkavállalói, és az ügyfelek befizetéseket teljesíthetnek a Társaság részére, valamint kifizetések történnek a munkavállalók, és az ügyfelek részére.
a) Az adatkezelés célja: pénzkifizetés a cég munkavállalói és egyéb jogosultak felé, illetve személyes befizetési lehetőség biztosítása a munkavállalók, ügyelek részére
b) A felhasznált személyes adatok típusa:
|
befizető vagy pénzfelvevő neve |
azonosítás, kapcsolattartás |
|
befizető vagy pénzfelvevő lakcíme |
azonosítás, kapcsolattartás |
|
befizető vagy pénzfelvevő születési hely, idő |
azonosítás
|
|
befizető vagy pénzfelvevő anyja neve |
azonosítás |
|
befizető vagy pénzfelvevő személyi igazolvány száma |
|
|
befizető vagy pénzfelvevő adóazonosító száma |
azonosítás, a szolgáltatás nyújtásához szükséges |
|
be- és kifizetés összege |
a szolgáltatás nyújtásához szükséges |
|
be- és kifizetés időpontja, jogcíme |
a szolgáltatás nyújtásához szükséges |
|
adóazonosító jel |
a szerződés teljesítéséhez, és a szolgáltatás elszámolásához szükséges |
|
pénzforgalmi számlaszám |
a szerződés teljesítéséhez szükséges |
|
egyéni vállalkozói igazolvány száma, másolata |
a szerződés teljesítéséhez szükséges |
|
nem természetes személy szerződő partner képviselőjének azonosító adatai (neve, lakcíme, telefonszáma, e-mail címe) |
kapcsolattartás |
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a befizetési bizonylatok tekintetében nyolc év a Számv. tv. 169. § (2) bekezdése alapján
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], a Számv. tv. 169. § (1)-(2) bekezdései
f) Az adattárolás módja: elektronikusan, és papíralapon
g) Adatfeldolgozók:
§ EVAT Zrt. – a könyvelési feladatok ellátása céljából
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
h) Az adatszolgáltatás elmaradásának lehetséges következményei: a szükséges személyes adatok hiányában a Társaság a pénzügyi teljesítést, illetve annak átvételét megtagadhatja
3.7. Ügyfélszolgálat
A Társaság székhelyén ügyfélszolgálat működik, ahol személyesen, telefonon, írásban vagy e-mailen keresztül a Társaság működésével kapcsolatos, vagy egyéb közérdekű bejelentés tehető.
a) Az adatkezelés célja: bejelentések rögzítése
b) A felhasznált személyes adatok típusa:
|
bejelentő neve |
azonosítás, kapcsolattartás |
|
bejelentő lakcíme |
azonosítás, kapcsolattartás |
|
bejelentő telefonszáma |
kapcsolattartás |
|
bejelentő email címe |
kapcsolattartás |
|
bejelentés előterjesztésének helye, ideje, módja |
azonosítás |
|
bejelentés részletes leírása |
a bejelentés megvizsgálásához szükséges |
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a panasz kivizsgálásának lezárását követő 6 hónap időtartam
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja]
f) Az adattárolás módja: elektronikusan, és papíralapon
g) Az adatszolgáltatás elmaradásának lehetséges következményei: a szükséges személyes adatok átadása hiányában a panaszok, bejelentések kivizsgálása, az ügyfélnek a vizsgálat eredményéről való értesítése elmaradhat
3.8. A munkaviszonnyal összefüggő adatkezelés
3.8.1. A munkaviszony létesítésével kapcsolatos adatkezelés
A munkára való jelentkezés során személyes adatkezelés kizárólag az érintett személy írásbeli tájékoztatása után történhet. Ezen személyes adatokat a felvételre jelentkező személy alkalmasságának elbírálása céljából a kizárólag a munkafelvételről való döntésben részt vevő személyek ismerhetik meg.
A Társaság bűnügyi személyes adatot csak az érintett írásbeli hozzájárulásával kezel. A Társaság fenntartja magának a jogot, hogy csak olyan munkavállalót alkalmazzon, aki erkölcsileg megfelel az elvárásainak, ezért a Társaság a felvételt tiszta erkölcsi bizonyítvány meglétéhez kötheti. Az erkölcsi bizonyítvány ellenőrzését az ügyvezető végzi, ő ellenőrzi az erkölcsi bizonyítvány érvényességét, illetve annak tartalmát.
A Társaság az egészségügyi alkalmasság eldöntése céljából a megbízott üzemorvostól származó alkalmassági eredmény alapján dönt az adott leendő munkavállaló egészségügyi alkalmasságáról. A Társaság csak az egészségügyi alkalmasság tényét bizonyító adatot kezeli.
a) Az adatkezelés célja: a munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítésével összefüggő jogok és kötelezettségek teljesítése
b) A felhasznált személyes adatok típusa, és kezelésének oka:
|
a jelentkező neve |
azonosítás, kapcsolattartás |
|
lakcím |
azonosítás, kapcsolattartás |
|
telefonszám |
kapcsolattartás |
|
e-mail cím |
kapcsolattartás |
|
iskolai végzettséget igazoló bizonyítvány másolata |
a munkafelvételhez szükséges képesítések meglétének vizsgálata céljából |
|
jogosítványok megléte |
a munkafelvételhez szükséges képesítések meglétének vizsgálata céljából |
c) Az adatok forrása: a jelentkező önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: az adatkezelés céljának megvalósulásáig, azaz a munkaviszonnyal létesítéséig, ennek hiányában a jelentkező helyére felvett munkavállaló próbaidejének lejártáig
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], az adatkezelés az adatkezelő jogos érdekének érvényesítéséhez szükséges [GDPR 6. cikk (1) bek. d) pontja], a munka törvénykönyvéről szóló 2012.évi I. törvény (Mt.) 10.§ (2)-(3) bekezdés és 44/A.§ (6)-(7) bekezdés, valamint a személyi jövedelemadóról szóló 1995.évi CXVII. törvény (Szja. tv.)
f) Az adattárolás módja: elektronikusan és papíralapon
g) Az adatszolgáltatás elmaradásának lehetséges következményei: a megfelelő adatok átadása a munkaviszony létesítésének feltétele
3.8.2. A munkavállalók adatainak kezelése
A munkaviszonnyal kapcsolatos adatkezelés célja a Társaság munkavállalóival munkaviszony létesítése, illetve annak fenntartása. A Társaság a munkavállalóiról bér- és munkaügyi nyilvántartást vezet, mely a munkavállaló munkaviszonnyal kapcsolatos adatait bérszámfejtésre, társadalombiztosítási és statisztikai adatszolgáltatásra, valamint munkáltatói adó megállapítással kapcsolatosan használja fel.
a) Az adatkezelés célja: a munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony fenntartásával, és megszüntetésével összefüggő jogok és kötelezettségek teljesítése
b) A felhasznált személyes adatok típusa:
|
a munkavállaló neve |
azonosítás, kapcsolattartás |
|
lakcím |
azonosítás, kapcsolattartás |
|
születési adatai |
azonosítás |
|
anyja neve |
azonosítás |
|
telefonszám |
kapcsolattartás |
|
e-mail cím |
kapcsolattartás |
|
családi állapot |
adó- és munkaügyi szabályok betartása |
|
állampolgárság |
adó- és munkaügyi szabályok betartása |
|
adóazonosító jel |
adó- és munkaügyi szabályok betartása |
|
TAJ szám |
adó- és munkaügyi szabályok betartása |
|
magán-nyugdíjpénztári tagság |
magán-nyugdíjpénztári kötelezettségek teljesítése |
|
nyugdíjas törzsszám |
nyugdíjbiztosítási kötelezettségek teljesítése |
|
bankszámlaszám |
munkaszerződés teljesítése |
|
munkaviszony kezdete és helye |
munkaszerződés teljesítése |
|
munkaköre |
munkaszerződés teljesítése |
|
ledolgozott munkaórák száma |
munkaszerződés teljesítése |
|
nyilatkozat tartozásról |
munkabérből levonás teljesítése |
|
személyi alapbér |
munkaszerződés teljesítése, az adó- és munkaügyi szabályok betartása |
|
a munkavállaló 16. életévét be nem töltött hozzátartozójának születési helye és ideje, lakcíme, anyja neve, társadalombiztosítási azonosító jele (TAJ szám), adóazonosító jele, érvényes diákigazolvány meglétének ténye |
családi adókedvezmény, és egyéb juttatások igénybevétele |
|
a rehabilitációs szakértői szerv legalább ötven százalékos mértékű egészségkárosodását megállapítását igazoló okmány fénymásolata, a fogyatékossági támogatásra jogosultságot igazoló okmány fénymásolata, a vakok személyi járadékára jogosultságot igazoló okmány fénymásolata |
az Mt. 120. § alapján járó pótszabadság igénybevétele |
|
a munkavédelemről szóló 1993. évi XCIII. törvény egyes rendelkezéseinek végrehajtásáról szóló 5/1993. (XII. 26.) MüM rendelet 3. és 4a. melléklete szerinti adatkör |
munkabalesetek kivizsgálása és dokumentálása |
|
iskolai végzettséget igazoló bizonyítvány másolata |
a munkaszerződés teljesítéséhez szükséges |
|
jogosítványok megléte |
a munkaszerződés teljesítéséhez szükséges |
|
orvosi alkalmasság ténye |
a munkára alkalmasság elbírálásához szükséges |
c) Az adatok forrása: a munkavállaló önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: az adatkezelés céljának megvalósulásáig, azaz a munkaviszonnyal kapcsolatos jogosultságokkal és kötelezettségekkel kapcsolatosan a munkaviszony megszűnéséig, a munkaviszonyból fakadó jogosultságokkal kapcsolatosan a nyugdíjfolyósításról szóló jogszabályokban meghatározott ideig
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], az Mt. 10.§ (2)-(3) bekezdés és 44/A.§ (6)-(7) bekezdés, valamint az Szja. tv.
f) Az adattárolás módja: elektronikusan és papíralapon
g) Adattovábbítás: a jogszabály szerinti bejelentési és bevallási kötelezettség szerint
h) Adatfeldolgozók:
§ EVAT Zrt. – a bérszámfejtési feladatok teljesítése érdekében
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – a LIBRA informatikai rendszer működtetése céljából
§ PREVENCIÓ-EGER Egészségügyi, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg. 10-09-026141, székhely: 3324 Felsőtárkány, Fenyő út 2.) – foglalkoztatás-egészségügyi orvos, a munkára való alkalmasság megállapítása céljából
§ Agria Tűzbiztonsági Mérnöki Szolgáltató Betéti Társaság (cégjegyzékszám: Cg. 10-06-027334, székhely: 3300 Eger, Vörösmarty Mihály utca 25. 2/4.) – munkavédelmi szolgáltató, a Társaság munkavédelmi kötelezettségeinek teljesítése érdekében
§ BTI Biztonságtechnikai Tanácsadó Iroda Betéti Társaság (cégjegyzékszám: Cg. 10-06-024493, székhely: 3300 Eger, Széna tér 3.) – tűzvédelmi szolgáltató, a Társaság tűzvédelmi kötelezettségeinek teljesítése érdekében
i) Az adatszolgáltatás elmaradásának lehetséges következményei: a megfelelő adatok átadása a munkaviszony szabályszerű létesítésének és fenntartásának feltétele
3.8.3. A munkára alkalmas állapot vizsgálatával kapcsolatos adatkezelés
A Társaság a munkára alkalmas állapot ellenőrzéséről jegyzőkönyvet készít, amely személyes adatokat tartalmaz. A munkára alkalmas állapot vizsgálatának eredményét kizárólag a munkáltatói jogok gyakorlója ismerheti meg.
a) Az adatkezelés célja: a munkára alkalmas állapot ellenőrzése munkavédelmi célból
b) A felhasznált személyes adatok típusa:
|
a munkavállaló neve |
azonosítás, kapcsolattartás |
|
a munkavállaló lakcíme |
azonosítás, kapcsolattartás |
|
a munkavállaló beosztása |
azonosítás, kapcsolattartás |
|
a munkavégzés helye |
az ellenőrzés lefolytatásához szükséges |
|
az ellenőrzés időpontja |
az ellenőrzés lefolytatásához szükséges |
|
az ellenőrzés eredménye, a munkára alkalmas állapot ténye |
az ellenőrzés lefolytatásához szükséges |
|
az ellenőrzést végző személy adatai |
az ellenőrzés lefolytatásához szükséges |
|
tanúk adatai |
az ellenőrzés lefolytatásához szükséges |
|
vitatott eredmény esetén az eredmény vitatásának ténye |
az ellenőrzés lefolytatásához szükséges |
|
a vérvizsgálat jogáról való lemondás ténye |
az ellenőrzés lefolytatásához szükséges |
c) Az adatok forrása: a munkavállaló adatszolgáltatása
d) Az adatkezelés időtartama: az ellenőrzésből fakadó jogok és kötelezettségek által megalapozott igények érvényesítésére nyitva álló határideig
e) Az adatkezelés jogalapja: az adatkezelés a szerződés teljesítéséhez szükséges [GDPR 6. cikk (1) bek. b) pontja], az adatkezelés az adatkezelő jogos érdekének érvényesítéséhez szükséges [GDPR 6. cikk (1) bek. d) pontja], az Mt. 11.§ (1)-(2) bekezdés, a munkavédelemről szóló 1993. évi XCIII. törvény 60.§ (1) bekezdét
f) Az adattárolás módja: papíralapon
g) Az adatszolgáltatás elmaradásának lehetséges következményei: az ellenőrzésben való együttműködés megtagadása a munkaviszony megszüntetését vonhatja maga után
3.8.4. A munkavállalók technikai ellenőrzésével kapcsolatos adatkezelés
A Társaság a munkaviszonnyal összefüggő magatartásuk körében ellenőrizheti a munkavállalókat. A Társaság előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak.
Mivel a Társaság tulajdonát képező mobiltelefonokat, személyi számítógépeket, laptopokat, egyéb elektronikus eszközöket, és e-mail címeket a Társaság munkavégzés céljából biztosítja a munkavállaló részére, így amennyiben a munkavállaló ezen eszközökön magáncélú személyes adatait tárolja, úgy a Társaság ezeket az adatokat megismerheti. Ezen adatkezelés ellen kifogással nem élhet a munkavállaló, mert a Társasági eszközön a nem munkavégzés céljából történő eszközön a személes adatok elhelyezése az adatkezeléshez történő érintetti hozzájárulásnak minősül.
A Társaság a tulajdonában álló minden eszközt (e-mail címet) bármikor, korlátozás nélkül ellenőrizheti, az ellenőrzés tényéről az ellenőrzés céljával összefüggően tájékoztatja az ellenőrzéssel érintett munkavállalót. A technikai ellenőrzést a munkáltatói jogkör gyakorlója végezheti alkalmi vizsgálatok lefolytatásával.
a) Az adatkezelés célja: a Társaság jogos üzleti érdekeinek megfelelően a munkavállalók ellenőrzése
b) A felhasznált személyes adatok típusa:
|
a munkavállaló neve |
azonosítás |
|
az ellenőrzés során rögzített adatok (magán e-mail címek, magán telefonszámok, fényképek, saját számítógépes dokumentumok, internetes böngészési előzmények, cookie-k) |
az ellenőrzés lefolytatása |
|
észlelt jogsértés ténye, a jogsértés leírása |
az ellenőrzés lefolytatása |
c) Az adatok forrása: az eszközök informatikai adatainak megtekintése
d) Az adatkezelés időtartama: az ellenőrzéstől számított 6 hónap, de legkésőbb az ellenőrzésből fakadó jogok és kötelezettségek által megalapozott igények érvényesítésére nyitva álló határideig
e) Az adatkezelés jogalapja: az adatkezelés az adatkezelő létfontosságú érdekeinek védelme érdekében szükséges [GDPR 6. cikk (1) bekezdés d) pontja], az Mt. 11.§ (1) bekezdés
f) Az adattárolás módja: elektronikusan
g) Az adatszolgáltatás elmaradásának lehetséges következményei: az ellenőrzésben való együttműködés megtagadása a munkaviszony megszüntetését vonhatja maga után
3.9. Kamerás megfigyelő rendszer üzemeltetése
A Társaság kezelésében lévő egyes ingatlanoknál kamerás megfigyelés történik az ingatlanok helységeiben. A kamera megfigyelő rendszert a Társaság üzemelteti, a személyes adatokat maga kezeli. A megfigyelési helyek a saját kezelésű és saját kezelésű helységekre irányulnak. A felvételek tárolása helyben történik, helyi szervereken, a felvételekhez csak a műszaki vezető fér hozzá.
A Társaság szervezetrendszerén belül csak az arra kijelölt személyek jogosultak a felvételeket megtekinteni, akik a kameraképekbe történő betekintésről minden esetben jegyzőkönyvet kötelesek felvenni.
Kamerakép zárolását kizárólag az ügyvezető rendelheti el. A kamerakép zárolását kezdeményezheti a betekintésre jogosult, amennyiben olyan körülményt észlel, amely veszélyezteti az elektronikus megfigyelőrendszerrel elérni kívánt célt, vagy bárki, akinek jogát vagy jogos érdekét a felvétel érinti.
A betekintési és zárolási jogról a Társaság nyilvántartást vezet. A nyilvántartás tartalmazza a betekintési, zárolási joggal rendelkező személy nevét és munkakörét, a jog kiadásának dátumát, a jog mértékét, és az érintett elektronikus megfigyelőrendszer leírása, amely képeinek megtekintésére jogosultsággal rendelkezik.
a) Az adatkezelés célja: az emberi élet, testi épség és a személyi szabadság védelme, a jogsértő cselekmények megelőzésének és bizonyításának, valamint a közös tulajdonban álló vagyon védelme
b) A felhasznált személyes adatok típusa:
|
az érintett képmása |
azonosítás, vagyonvédelem |
|
a kameraképpel megszerezhető egyéb adatok (tartózkodási hely, tartózkodási idő) |
vagyonvédelem |
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a felvétel készítésétől számított 3 munkanap az Szvtv. 31.§ (2) bekezdése szerint
e) Az adatkezelés jogalapja: az adatkezelés az adatkezelő létfontosságú érdekeinek védelme érdekében szükséges [GDPR 6. cikk (1) bekezdés d) pontja], az érintett ráutaló magatartással való hozzájárulása [Szvtv. 30.§ (2)], Infotv. 5.§
f) Az adattárolás módja: elektronikusan
3.10. Honlapon történő adatkezelés
3.10.1. A látogatói adatok rögzítése
A Társaság honlapjának meglátogatásakor a webszerver felhasználói adatokat nem rögzít.
A portál html kódja a Társaságtól független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmaz. A külső szolgáltató szervere közvetlenül a felhasználó számítógépével áll kapcsolatban. E hivatkozások szolgáltatói az ő szerverükre történő közvetlen kapcsolódás, a felhasználó böngészőjével való közvetlen kommunikáció miatt felhasználói adatokat (pl. IP cím, böngésző, operációs rendszer adatai, egérmutató mozgása, meglátogatott oldal címe és a látogatás időpontja) képesek gyűjteni. A felhasználó számára esetlegesen személyre szabott tartalmakat a külső szolgáltató szervere szolgálja ki. Az adatok külső szolgáltatók szervere általi kezeléséről az adatkezelők tudnak részletes felvilágosítást nyújtani.
a) Az adatkezelés célja: a honlap látogatottságának mérése
b) A felhasznált személyes adatok típusa:
|
felhasználó számítógépének IP címe |
azonosítás |
|
a belépés időpontja |
látogatói adatok felmérése |
|
a látogató által használt operációs rendszer és böngésző típusa |
látogatói adatok felmérése |
|
meglátogatott oldal IP címe |
látogatói adatok felmérése |
|
az előzőleg meglátogatott oldal IP címe |
látogatói adatok felmérése |
|
felhasználó operációs rendszerével kapcsolatos adatok |
látogatói adatok felmérése |
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a honlap megtekintésétől számított 12 hónap időtartam
e) Az adatkezelés jogalapja: az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pontja]
f) Adatfeldolgozók:
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
§ BOCISHOP Betéti Társaság (cégjegyzékszám: Cg. 10-06-027201, székhely: 3300 Eger, Bródy Sándor utca 6. I. em. 1.) – a honlap működtetése céljából
g) Az adattárolás módja: elektronikusan
h) Külső szolgáltatók:
§ Google LLC
§ Facebook Ireland Ltd.
3.10.2. A honlap cookie kezelése
A süti (cookie) a webszerver által küldött, változó tartalmú, alfanumerikus információ csomag, mely a felhasználó számítógépén rögzül és előre meghatározott érvényességi ideig tárolásra kerül. A cookie-k alkalmazása lehetőséget biztosít a látogató egyes adatainak lekérdezésére, valamint internethasználatának nyomon követésére. A cookie-k segítségével tehát pontosan meghatározható az érintett felhasználó érdeklődési köre, internet használati szokásai, honlap-látogatási története. Mivel a sütik egyfajta címkeként működnek, melyekkel a weboldal felismerheti az oldalra visszatérő látogatót, alkalmazásukkal az adott oldalon érvényes felhasználónév, jelszó is tárolható. Amennyiben a honlaplátogatás során a felhasználó böngészője visszaküldi a merevlemezre korábban elmentett cookie-t, az azt küldő szolgáltató összekapcsolhatja az aktuális látogatást a korábbiakkal, azonban mivel a cookie-k a domain-hez kötődnek, erre kizárólag saját tartalma tekintetében képes.
A sütik önmagukban a felhasználó azonosítására nem képesek, kizárólag a látogató számítógépének felismerésére alkalmasak.
Az ilyen típusú sütik érvényességi ideje a munkamenet (böngészés) befejezéséig tart, a böngésző bezárásával a sütik e fajtája automatikusan törlődik a számítógépről, illetve a böngészésre használt más eszközről.
a) Az adatkezelés célja: sütik célja, hogy a látogatók maradéktalanul és zökkenőmentesen böngészhessék a Társaság weboldalát, használhassák annak funkcióit, és az ott elérhető szolgáltatásokat
b) A felhasznált személyes adatok típusa:
|
felhasználó számítógépének IP címe |
azonosítás |
|
a belépés időpontja |
látogatói adatok felmérése |
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a honlap megtekintésétől számított 12 hónap időtartam
e) Az adatkezelés jogalapja: az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pontja]
f) Adatfeldolgozók:
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
§ BOCISHOP Betéti Társaság (cégjegyzékszám: Cg. 10-06-027201, székhely: 3300 Eger, Bródy Sándor utca 6. I. em. 1.) – a honlap működtetése céljából
g) Az adattárolás módja: elektronikusan
h) Külső szolgáltatók:
§ Google Analytics
§ Facebook Ireland Ltd.
3.10.3. Hírlevél
Hírlevél-feliratkozásra regisztrált felhasználóknak bejelentkezés után van lehetőségük. Ha a felhasználó hírlevél-küldésre regisztrált, az ilyen célból történő regisztráció során megadott személyes adatok kezelésére kizárólag a hírlevélnek a felhasználó e-mail címére történő küldése céljából kerül sor. A hírlevél direkt marketing elemekkel rendelkezik és reklámot tartalmaz.
a) Az adatkezelés célja: gazdasági reklámot is tartalmazó hírlevelek e-mail-ben való megküldése az érdeklődők részére, marketing üzenetek megjelenítése, tájékoztatás aktuális információkról, kapcsolattartás
b) A felhasznált személyes adatok típusa, és kezelésének oka:
|
név |
azonosítás, kapcsolattartás |
|
e-mail cím |
azonosítás, kapcsolattartás |
|
a megkereséshez adott hozzájárulás, ennek időpontja |
marketing tevékenységhez szükséges |
|
a hírlevelek küldésével és kézbesítésével kapcsolatos analitikai adatok |
a szolgáltatás nyújtásához szükséges |
c) Az adatok forrása: a megrendelő adatszolgáltatása
d) Az adatkezelés időtartama: a hírlevél szolgáltatás lemondásának időpontjáig
e) Az adatkezelés jogalapja: az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pontja], Infotv. 5.§ (1) bekezdés a) pontja, Ektv. tv. 13/A.§ (4) bekezdése, Grt. 6.§ (5) bekezdés
f) Az adattárolás módja: elektronikusan
g) Adatfeldolgozók:
§ AGRIA INFORMATIKA Informatikai, Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (cégjegyzékszám: Cg.10-09-030784, székhely: 3300 Eger, Maklári út 167.) – az informatikai rendszer működtetése céljából
§ BOCISHOP Betéti Társaság (cégjegyzékszám: Cg. 10-06-027201, székhely: 3300 Eger, Bródy Sándor utca 6. I. em. 1.) – a honlap működtetése céljából
h) Az adatszolgáltatás elmaradásának lehetséges következményei: a személyes adatok átadása nélkül az érintett nem értesül az aktuális ajánlatokról, akciókról
3.10.4. A közösségi oldalon történő adatkezelés
A Társaság a www.facebook.com és a www.instagram.com weboldalakon saját közösségi oldalakat működtet. Ennek során az adatkezelés az előbb említett oldalakon valósul meg. Az adatkezelés időtartamára, módjára, és az adatok törlési és módosítási lehetőségeire a www.facebook.com és a www.instagram.com közösségi oldalak szabályozása vonatkozik [http://www.facebook.com/about/privacy], [https://help.instagram.com/519522125107875 ].
a) Az adatkezelés célja: a Társaság tevékenységének, illetve a céggel kapcsolatos újdonságok bemutatása, álláshirdetések közlése
b) A felhasznált személyes adatok típusa: időpont, felhasználó számítógépének IP címe, azonosítószám
c) Az adatok forrása: az érintett önkéntes adatszolgáltatása
d) Az adatkezelés időtartama: a közösségi oldal szabályozása szerint
e) Az adatkezelés jogalapja: az érintett hozzájárulása [GDPR 6. cikk (1) bek. a) pontja]
f) Az adattárolás módja: elektronikusan
g) Külső szolgáltatók:
§ Facebook Ireland Ltd.
4. A KÖZÉRDEKŰ ADATOK KEZELÉSÉRE VONATKOZÓ RENDELKEZÉSEK
4.1. A közérdekű adatok megismerésének általános szabályai
4.1.1. A Társaság, mint közszolgáltatási szerződés alapján meghatározott egyéb közfeladatot ellátó szerv lehetővé teszi, hogy a kezelésében lévő közérdekű adatot és közérdekből nyilvános adatot – az Infotv.-ben meghatározott kivétellel – erre irányuló igény alapján bárki megismerhesse.
4.1.2. A Társaság a feladatkörébe tartozó ügyekben – így különösen az önkormányzati vagyon kezelésére, a közpénzek felhasználására és az erre kötött szerződésekre vonatkozóan – elősegíti és biztosítja a közvélemény pontos és gyors tájékoztatását.
4.1.3. A Társaság honlapján közérthető formában tájékoztató szól a közérdekű adat igénylésének rendjéről, így különösen a jogorvoslati rendről.
4.2. A közérdekű adat megismerésére irányuló igény és teljesítése
4.2.1. Közérdekű adatot bárki igényelhet. Az adatkérő igényét írásban, az e célra rendszeresített nyomtatványon nyújthatja be. Az igény teljesítésének nem akadálya, ha az igény nem az erre rendszeresített formanyomtatványon történik.
4.2.2. A kérelmező igénylésében köteles az általa igényelt közérdekű adatot egyértelműen és konkrétan megjelölni. A nem egyértelmű vagy nem kellően konkrét igényt – melynek elbírálása a belső adatvédelmi felelős feladata – a kérelmet benyújtónak pontosítás céljából visszajuttatja.
4.2.3. A belső adatvédelmi felelős a beérkezett igényt haladéktalanul továbbítja az igényelt adatot kezelő szervezeti egységhez.
4.2.4. A közérdekű adat megismerésére irányuló igénynek a kötelezett az igény tudomásra jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül tesz eleget. Ha az adatigénylés jelentős terjedelmű vagy nagyszámú adatra vonatkozik, a határidő egy alkalommal 15 nappal meghosszabbítható. Erről az adatigénylőt a kötelezett az igény kézhezvételét követő 8 napon belül tájékoztatja.
4.2.5. Az igény elsődlegesen írásban teljesítendő. Az előterjesztett igényt akkor lehet szóban teljesíteni, ha
a) az igényelt adat a honlapon vagy más módon jogszerűen már nyilvánosságra került, és az így, az igénylőnek írásos formában is elérhető, b) az igénylő szóban kéri a választ,
b) az igény általános tájékoztatással teljesíthető, vagy
c) szóban azonnal teljesíthető és az igénylő számára kielégítő.
4.2.6. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a Társaság a másolaton a meg nem ismerhető adatot felismerhetetlenné teszi.
4.2.7. A Társaság az adatigénylésnek közérthető formában és – ha az aránytalan költséggel nem jár – az igénylő által kívánt technikai eszközzel vagy módon tesz eleget. Ha a kért adatot korábban már elektronikus formában nyilvánosságra hozták, az igény teljesíthető az adatot tartalmazó nyilvános forrás megjelölésével is. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.
4.2.8. Az igény teljesítésének megtagadásáról, annak indokaival, valamint az igénylőt az Infotv. alapján megillető jogorvoslati lehetőségekről való tájékoztatással együtt, az igény tudomására jutását követő 8 napon belül írásban vagy – ha az igénylő elektronikus levelezési címét közölte – elektronikus úton a belső adatvédelmi felelős értesíti.
4.2.9. Az adatszolgáltatás teljesítésére illetékes belső adatvédelmi felelős az érintettektől érkező kéréseket a személyes adatok védelmére vonatkozó szabályok figyelembevételével nyilvántartja.
4.2.10. A belső adatvédelmi felelős évente, a tárgyévet követő év január 30-ig az elutasított kérelmekről és az elutasítás indokáról nyilvántartást vezet.
5. AZ ÉRINTETTEK ADATVÉDELMI JOGAI
5.1. A hozzáférési jog
5.1.1. Az érintett jogosult arra, hogy visszajelzést kapjon a Társaságtól arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat közöltük vagy közölni fogjuk, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett joga, hogy kérelmezheti a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; és
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
5.1.2. Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a megfelelő garanciákról.
5.1.3. A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
5.2. A helyesbítéshez való jog
5.2.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse az érintettre vonatkozó pontatlan személyes adatokat. Az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
5.3. A törléshez való jog („az elfeledtetéshez való jog”)
5.3.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje az érintettre vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtöttük vagy más módon kezeltük;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adat kezelése ellen, és adott esetben nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat Társaság jogellenesen kezelte;
e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; vagy
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
5.3.2. Ha a Társaság nyilvánosságra hozta a személyes adatot, és az 5.3.1. pont értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
5.3.3. Az 5.3.1. és 5.3.2. pontok nem alkalmazhatók, amennyiben az adatkezelés szükséges, többek között:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, a ránk alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából;
c) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 4.3.1. pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.4. Az adatkezelés korlátozásához való jog
5.4.1. Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy ellenőrizzük a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) már nincs szükségünk a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
5.4.2. Ha az adatkezelés az 5.4.1. pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből kezelhető
5.4.3. Az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni kell az érintettet.
5.5. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
5.5.1. A Társaság minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közöltük, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Társaság az érintett kérésére tájékoztatást nyújt e címzettekről.
5.6. Az adathordozhatósághoz való jog
5.6.1. Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a Társaságot, ha:
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
5.6.2. Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
5.7. A tiltakozáshoz való jog
5.7.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen. Ebben az esetben a személyes adatokat a Társaság nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
5.7.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
5.7.3. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
5.7.4. Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
5.7.5. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson az érintettre vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
5.8. A felügyeleti hatóságnál történő panasztételhez való jog
5.8.1. Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti az adatvédelmi szabályokat.
5.9. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
5.9.1. Az érintett jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság az érintettre vonatkozó, jogilag kötelező erejű döntésével szemben.
5.9.2. Az érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
5.9.3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
5.10. Az adatkezelővel vagy -feldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
5.10.1. Az érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a vonatkozó jogszabályoknak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait.
5.10.2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is.
6. ADATBIZTONSÁGI INTÉZKEDÉSEK, ADATVÉDELMI INCIDENSEK KEZELÉSE
6.1. A Társaság és adatfeldolgozói a technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtanak végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálják.
6.2. A Társaság a személyes adatok kezeléséhez az alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
§ az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
§ hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
§ változatlansága igazolható (adatintegritás);
§ a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
6.3. A Társaság az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
6.4. A Társaság a különböző nyilvántartásaiban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
6.5. A Társaság a technika mindenkori fejlettségére tekintettel olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
6.6. A Társaság az adatkezelés során megőrzi
§ a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
§ a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
§ a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
6.7. A Társaság és az adatkezelésben érintett partnereinek informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik. Tájékoztatjuk a felhasználókat, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő az adatkezelő megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.
6.8. Adatvédelmi incidensek kezelése
Adatvédelmi incidensnek minősül minden olyan esemény, amely a Társaság által kezelt, továbbított, tárolt vagy feldolgozott személyes adatokkal kapcsolatban a személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan vagy véletlen hozzáférését, megváltoztatását, közlését, törlését, elvesztését vagy megsemmisítését, valamint véletlen megsemmisülését és sérülését eredményezi.
A Társaság indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság részére az adatvédelmi incidenst, kivéve, ha a Társaság bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. A bejelentés legalább a következő információkat tartalmazza:
§ az adatvédelmi incidens jellege, az érintettek és a személyes adatok száma és kategóriája;
§ a Társaság neve, elérhetősége;
§ az adatvédelmi incidensből származó, valószínűsíthető következmények;
§ a megtett vagy tervezett intézkedések az adatvédelmi incidens kezelésére, elhárítására.
A Társaság az adatvédelmi incidens észlelését követő 72 órán belül tájékoztatja az érintetteket az adatvédelmi incidensről a Társaság honlapján keresztül. A tájékoztatásnak legalább a jelen pontban meghatározott adatokat kell tartalmaznia.
Az adatvédelmi incidensekről a Társaság az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezet. A nyilvántartás az alábbi adatokat tartalmazza:
§ az érintett személyes adatok köre;
§ az érintettek köre és száma;
§ az adatvédelmi incidens időpontja;
§ az adatvédelmi incidens körülményei, hatásai;
§ az adatvédelmi incidens elhárítására megtett intézkedések.
A nyilvántartásban szereplő adatokat Adatkezelő az adatvédelmi incidens észlelésétől számított 5 évig őrzi meg.
7. AZ ÉRINTETT ADATVÉDELMI JOGÁNAK ÉRVÉNYESÍTÉSE
7.1. A Társaság indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén – figyelembe véve a kérelem összetettségét és a kérelmek számát – ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.
7.2. Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
7.3. A Társaság a kért információkat és tájékoztatást díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság – figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre – észszerű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
7.4. A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk elektronikus formátumban kerülnek rendelkezésre bocsátásra, kivéve, ha az érintett másként kéri.
7.5. Minden olyan személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta, vagy az adatkezelés során azokkal ellentétesen járt el. Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért. Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
7.6. Panasz az adatvédelmi tisztviselőnél:
Amennyiben a Társaság adatkezelésével kapcsolatban kérdése, problémája van, kérjük forduljon bizalommal a jelen Szabályzat 1.5. pontjában megnevezett adatvédelmi tisztviselőhöz.
7.7. Bírósághoz fordulás joga:
Az érintett a jogainak megsértése esetén a Társaság ellen az érintett választása szerint az alperes székhelye (Egri Törvényszék, 3300 Eger, Barkóczy u. 1.), vagy az érintett lakóhelye szerint illetékes bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A törvényszék az ügyben soron kívül jár el. A személyes adatok védelmével összefüggésével kapcsolatosan indított per illetékmentes.
7.8. Adatvédelmi hatósági eljárás:
Az adatkezeléssel kapcsolatos panasszal a Magyarországon illetékes felügyeleti hatósághoz fordulhat: Nemzeti Adatvédelmi és Információszabadság Hatóság (http://naih.hu/; 1530 Budapest, Pf.: 5.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).
Eger, 2018. szeptember 27.