Adatvédelmi szabályzat
- Bevezető
A Gerbeaud Gasztronómia Kft. (továbbiakban: „ Gerbeaud ” vagy „ Társaság ”) jelen szabályzatban („ Szabályzat ”) határozza meg a természetes személyek személyes adatainak védelmével és kezelésével kapcsolatos irányelveket és kötelezettségeket.
A Társasággal munkaviszonyban álló személyek kötelesek a tevékenységük során tudomásukra jutott személyes adatokat a mindenkori jogszabályi rendelkezéseknek megfelelően, így különösen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679. sz. rendelete (általános adatvédelmi rendelet; a továbbiakban: „ GDPR” ), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „ Infotv. ”) rendelkezési szerint kezelni.
E személyek kötelesek az olyan tevékenységük során, amely szükségszerűen együtt jár személyes adatok kezelésével, az adott tevékenységre vonatkozó speciális szabályzatokban foglalt rendelkezések mellett a jelen szabályzat rendelkezései szerint eljárni azzal, hogy amennyiben a speciális szabályzat a jelen szabályzathoz képest adatvédelmi szempontból alacsonyabb védelmet ír elő, úgy jelen Szabályzat alkalmazandó, ha pedig a speciális szabály szigorúbb védelmet ír elő, akkor a speciális szabályok alkalmazandóak.
- A szabályzat célja
Jelen Szabályzat célja, hogy biztosítsa annak kereteit, hogy a Társaság által folytatott adatkezelések megfeleljenek a hatályos jogszabályi elvárásoknak. A Szabályzat célja továbbá, hogy a Társaság birtokába személyes adatok csak a vonatkozó törvényi feltételek megléte esetén, szabályosan kerüljenek, valamint, hogy a Társaság által kezelt, feldolgozott személyes adatokkal az érintett személyek maguk rendelkezhessenek. A Szabályzat további célja, hogy a személyes adatok kezelése, feldolgozása során az érintett személyek jogai ne sérüljenek. Erre tekintettel a Szabályzat többek között a Társaság által folytatott adatkezelési tevékenységek során figyelembe veendő és követendő elveket, rendelkezéseket tartalmazza. A Gerbeaud Gasztronómia Kft, mint adatkezelő, magára nézve kötelezőnek ismeri el jelen jogi közlemény tartalmát, az előírásokat minden egyes adatkezelési folyamata, tevékenysége során, annak teljes tartama alatt figyelembe veszi. Kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfeleljen a jelen szabályzatban és a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.
A Gerbeaud Gasztronómia Kft. adatkezeléseivel kapcsolatosan felmerülő adatvédelmi szabályzat és tájékoztató folyamatosan elérhetők a www.gerbeaud.hu/adatvedelem címen.
A Gerbeaud Kft. fenntartja magának a jogot jelen szabályzat és a tájékoztató bármikori megváltoztatására. Természetesen az esetleges változásokról kellő időben értesíti partnereit és dolgozóit.
Amennyiben kérdése lenne jelen közleményünkhöz kapcsolódóan, kérjük, írja meg nekünk, és kollégánk megválaszolja kérdését.
A Gerbeaud Kft. elkötelezett ügyfelei, partnerei és dolgozói személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei, dolgozói információs önrendelkezési jogának tiszteletben tartását. A Gerbeaud Kft. a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.
A Gerbeaud Kft. az alábbiakban ismerteti adatkezelési gyakorlatát.
- A szabályzat alkalmazási területe
- A Szabályzat tárgyi hatálya
A Szabályzat tárgyi hatálya kiterjed a Társaságnál minden olyan eljárására, amely során adatkezelés valósul meg.
- A Szabályzat alanyi hatálya
A Szabályzat alanyi hatálya kiterjed a Társaság minden olyan területén dolgozó személyre, akinek a tevékenysége adatkezelést valósít meg, illetve a Társaság tevékenységével kapcsolatban adatkezelési tevékenységet kifejtő olyan személyekre is, akik más jogi entitással állnak munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban, valamint a kiszervezett tevékenységet ellátó személyekre, illetve az ott dolgozó alkalmazottakra (akik a jelen szabályzat szempontjából a Társaság alkalmazottjával azonos elbírálás alá esnek és így terhelik őket a jelen szabályzatból eredő kötelezettségek.) A szabályzat visszavonásig érvényes.
- Kapcsolódó jogszabályok
A gazdasági társaságnak az adatkezelése során az alábbi jogszabályokban foglalt előírásoknak megfelelően kell eljárnia, a jelen belső szabályzatban foglaltak szerint:
– Az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR)
– az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.)
– a polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.)
– a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.)
– a személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény.
- évi C. törvény – a számvitelről (Számv. tv.);
- évi LIII. törvény – a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.);
- évi CCXXXVII. törvény – a hitelintézetekről és a pénzügyi vállalkozások-ról (Hpt.).
- Az eljárás leírása
- Lényeges fogalmak, meghatározások
Jelen Szabályzatban a GDPR rendelkezéseivel összhangban használt és meghatározott fogalmak:
- a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete
- adatkezelő : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- adatkezelés : a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- adatfeldolgozó : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- személyes adat : azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- különleges személyes adat: A személyes adatok kategóriáján belül a GDPR meghatároz továbbá egy alkategóriát, nevezetesen a Különleges személyes adatok kategóriáját, mely kategória a GDPR szerint magasabb védelmi szintet igényel az általános személyes adatokhoz képest. A GDPR szigorúbb feltételeket határoz meg a Különleges személyes adatokkal kapcsolatos adatkezelések esetére.
A Különleges személyes adatok különösen, de nem kizárólagosan az alábbiak:
- a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
- genetikai adat: Egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
biometrikus adat: Egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
- egészségügyi adat: Egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- gyermek személyes adatai: életévét be nem töltött gyermekre vonatkozó bármely információ, adat. Azonosítható az a 16. életévét be nem töltött gyermek, aki közvetlen vagy közvetett módon – különösen valamely azonosító, pl. név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
- harmadik fél : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
– érintett: Bármely személyes adat alapján azonosított vagy azonosítható természetes személy;
- az érintett hozzájárulása : az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- az adatkezelés korlátozása : a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- álnevesítés : a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- profilalkotás: Személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
- adattovábbítás: Ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
- nyilvántartási rendszer : a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- adatvédelmi incidens : a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- Az általános adatkezelés irányelvei
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („ jogszerűség, tisztességes eljárás és átláthatóság ”).
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („ célhoz kötöttség ”).
A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet („ adattakarékosság ”).
A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell („ pontosság ”).
A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik („ korlátozott tárolhatóság ”).
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („ elszámoltathatóság ”).
Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.
A szervezet adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
- Felelősségi- és hatáskörök
A Szabályzat végrehajtásáért felelős: a Társaság valamennyi személyes adatokat kezelő munkavállalója és vezetője.
A végrehajtás ellenőrzéséért és a szabályzat karbantartásáért felelős a Társaság adatvédelmi tisztviselője („ Adatvédelmi Tisztviselő ”). Az Adatvédelmi Tisztviselő egyebekben támogatja a Társaság valamennyi személyes adatokat kezelő munkavállalóját és vezetőjét az adatvédelmi elvárások szervezeti és szakmai teljesítése során.
- Adatvédelmi Tisztviselő jogállása, feladatköre
A Társaság munkavállalója köteles az Adatvédelmi Tisztviselőnek jelezni, amennyiben azt észleli, hogy az adatkezelésre vonatkozó szabályokat megsértették, vagy ennek a veszélye fenyeget. Ebben a jelzésben pontosan meg kell jelölni az érintett adatkört, valamint azt a személyt vagy folyamatot, ahol, vagy akinek a tevékenysége az adatvédelmi szabályokat sérti vagy veszélyezteti.
Amennyiben a Társaság munkavállalójában kétség merül fel abban a kérdésben, hogy egy eljárás, tevékenység sérti-e az adatvédelmi szabályokat, vagy az adott kérdés kapcsán a jelen szabályzat nem tartalmaz szabályokat, akkor köteles a Társaság Adatvédelmi Tisztviselőjét megkérdezni és tőle állásfoglalást kérni. Az állásfoglalásig az adott eljárás vagy tevékenység nem folytatható illetve nem kivitelezhető. Az Adatvédelmi Tisztviselő állásfoglalásának illetve iránymutatásának megfelelően köteles a Társaság alkalmazottja eljárni – akkor is, ha azt az Adatvédelmi Tisztviselő egy konkrét kérdés vagy ügy kapcsán adta ki illetve akkor is, ha azt általános érvénnyel, iránymutatásként teszik közzé.
Az adatvédelmi szabályok megszegése felelősségre vonást, illetve munkajogi következményeket vonhat maga után (pl. a munkaviszony megszüntetése).
Az Adatvédelmi Tisztviselő feladatai közé elsősorban az alábbiak tartoznak:
– közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
– ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
– kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
– elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;
– vezeti a belső adatvédelmi nyilvántartást;
– gondoskodik az adatvédelmi ismeretek oktatásáról
4.5. Adatkezelőre, adatfeldolgozóra vonatkozó szabályok
4.5.1. Adatkezelő – Adatfeldolgozó elhatárolása
Adatkezelő lehet természetes személy, jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv. Adatfeldolgozó szintén lehet természetes személy, jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, azonban az Adatkezelőtől elkülönült személynek, vagy szervezetnek kell lennie.
Az Adatkezelő határozza meg (önállóan vagy másokkal együtt) a Személyes adatok kezelésének céljait és eszközeit. Az Adatfeldolgozó ezeket nem határozhatja meg.
Az Adatkezelő mindig a saját nevében jár el, az Adatfeldolgozó az Adatkezelő nevében jár el.
Az Adatkezelő a saját döntései szerint jár el, az Adatfeldolgozó az Adatkezelő utasításai szerint jár el (kivéve, ha az adatfeldolgozóra vonatkozó uniós vagy tagállami jog az adatfeldolgozóra is adatkezelést ír elő), az Adatfeldolgozó a Személyes adatokkal logikai műveleteket nem végez.
4.5.2. Az Adatkezelő feladatai
Az Adatkezelőnek az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából (lásd: elszámoltathatóság elve), hogy a személyes adatok kezelése a GDPR-ral összhangban történjen.
Ilyen intézkedések többek között:
- belső adatvédelmi szabályok alkalmazása (amely tágabb kategória, mint belső adatvédelmi szabályzat megalkotása);
- hatásvizsgálat elkészítése a valószínűsíthetően magas kockázattal járó új adatkezelések megkezdése előtt;
- alapértelmezett és beépített adatvédelem elvének következetes érvényesítése;
- megfelelő adatvédelmi incidenskezelés;
- adatvédelmi tisztviselő (szakterület vagy személy) helyének kialakítása a szervezetben, összeférhetetlenség, függetlenség biztosítása, stb.
Ezeket az intézkedéseket legalább évente felül kell vizsgálni és naprakészen kell tartani.
4.5.3. Adatfeldolgozó igénybevétele
Ha az Adatkezelő az adatkezeléshez Adatfeldolgozót vesz igénybe, az csak olyan személy lehet, aki vagy amely
- megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfelelése érdekében;
- az érintettek jogainak védelmét biztosító megfelelő technikai és szervezési intézkedések végrehajtására képes, és ezek megvalósítására megfelelő garanciákat is nyújt.
Az Adatfeldolgozó további adatfeldolgozót igénybe vehet, ennek azonban feltétele: az adatkezelő előzetes és írásban tett, eseti vagy általános felhatalmazása.
Általános írásbeli felhatalmazás esetén az Adatfeldolgozónak tájékoztatnia kell az Adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva az Adatkezelőnek azt, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
Az Adatfeldolgozó tevékenységéért az Adatkezelő tartozik felelősséggel. A további Adatfeldolgozó tevékenységéért az őt megbízó Adatfeldolgozó teljes felelősséggel tartozik. A további Adatfeldolgozó kötelezettségei ugyanazok, mint az Adatkezelővel szerződött Adatfeldolgozóé.
Amennyiben a Társaság valamely adatkezelés kapcsán adatfeldolgozónak minősül jelen pontban, az adatfeldolgozó tekintetében meghatározott rendelkezések a Társaságra is megfelelően alkalmazandók.
4.6. Az adatkezelések lehetséges jogalapja
A Társaság adatkezelése a következő jogalapokon történhet:
- Érintett hozzájárulása : az Érintett önkéntes, konkrét, kifejezett, tájékoztatáson alapuló, és egyértelmű hozzájárulását adhatja nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az Érintett személyes adatainak kezeléséhez hozzájárult.
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely egyidejűleg más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulásának az egyes ügyek vonatkozásában jól elkülöníthetőnek kell lennie.
A hozzájáruló nyilatkozat bármely olyan része, amely a GDPR rendelkezéseibe ütközik, érvénytelen. Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
- Szerződés teljesítése : az adatkezelés szerződés teljesítése jogalap alapján történhet, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
- Jogszabályi kötelezettség teljesítése : az adatkezelés jogszabályi kötelezettség teljesítése jogalap alapján történhet, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Jogi kötelezettség alatt az uniós vagy tagállami jogszabályi rendelkezéseket kell érteni.
- Jogos érdek: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A jogos érdeken alapuló adatkezelés meghatározása előtt el kell végezni az ún. érdekmérlegelési tesztet , amelynek során először azonosítani kell az adatkezelő, vagy harmadik személy jogos érdekét, a súlyozás ellenpontját képező adatalanyi érdeket és az érintetti alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.
Jogos érdek, és így érdekmérlegelés alapján Személyes adat kezelésére az Érintett külön hozzájárulása nélkül valamint többek között hozzájárulásának a visszavonását követően kerülhet sor az alábbi feltételek fennállása esetén: az adatkezelésre az adatkezelőre vonatkozó jogszabályi felhatalmazás alapján kerül sor; vagy az adatkezelésre az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából kerül sor, feltéve, hogy megállapításra került, hogy ezen érdek érvényesítése a személyes adatok védelméhez
- Létfontosságú érdek: az adatkezelés az érintett életének vagy más természetes személy létfontosságú érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. (Létfontosságú érdekre hivatkozással történhet pl. az adatkezelés humanitárius katasztrófák esetében, ideértve, azt az esetet is, ha arra a járványok és terjedéseik nyomon követéséhez van szükség.)
- Közérdekű adatkezelés : az adatkezelés közérdekű jogalapból történhet, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
4.7. Gyermekek személyes adatainak kezelésére vonatkozó szabályok
A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte, vagy kezelésére jogszabály alapján, vagy a gyermek jogos érdekeinek védelme érdekében van szükség.
Az Adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
Tekintettel arra, hogy a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.
Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.
4.8. A személyes adatok különleges kategóriáinak kezelése
A különleges adat fogalmát általánosságban nem határozza meg a GDPR, csupán egyes kategóriáit említi (faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok), vagy defíniálja külön.
Főszabály szerint a különleges adatok kezelése tilos!
Ehhez képest a GDPR kivételeket állapít meg, tehát az általános tilalom ellenére lehet különleges adatot keze l ni, ha:
- az érintett kifejezett hozzájárulását adta az említett személyes adatok meghatározott célból történő kezeléséhez, és uniós vagy tagállami jog nem tiltja a hozzájárulás-adást;
- az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
- az adatkezelés az érintett létfontosságú érdekeinek védelméhez szükséges, feltéve, hogy az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
- az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
- az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;
- az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
- az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében;
- az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
A Különleges személyes adatokat a Személyes adatokhoz képest a Társaság eltérő módon kezeli. Így a Különleges személyes adatok védelmét a Társaság speciális hozzáférési jogosultság beállításokkal szabályozza, azokat a Személyes adatoktól logikailag elkülönítetten tárolja.
A munkavállalók különleges adatainak kezelésére kizárólag a munkahelyi vezető jogosult, míg a partnerek, vásárlók, vendégek különleges adatait a szerződés teljesítésével kapcsolatban eljáró munkavállalók jogosultak azzal, hogy az adott szerződés teljesítését követően – kérésre – a Gerbeaud Kft haladéktalanul törli a különleges adatokat.
- Adatkezelések
A gazdasági társaság csak olyan személyes adatokat rögzít, melyeket az érintett önkéntesen ad meg. Az érintett személyes adatai megadásával hozzájárul ahhoz, hogy személyes adatai az Adatkezelő adatbázisába a jelen Szabályzattal összhangban bekerüljenek.
A Társaság az alábbi adatkezeléseket végzi:
- Asztalfoglalások rögzítése : A telefonon, e-mailen, online asztalfoglalási rendszerünkön keresztül, illetve személyesen történő asztalfoglalás esetén a gazdasági társaság az Érintettek alábbi személyes adatait kezeli az azonosítás, asztalfoglalás rögzítésecéljából:
(1) az érintett neve;
(2) az érintett e-mail címe;
(3) az érintett telefonszáma;
(4) az érintett által a „Megjegyzés” rovatban vagy egyéb módon megadott egyéb személyes adat
(5) ételallergiára vagy ételérzékenységre vonatkozó adat;
(6) A www.gerbeaud.hu, www. onyxretaurant.hu, és a www.emile.hu weboldal látogatása során az érintett számítógépének IP-címe; az érintett weboldallal kapcsolatos aktivitására vonatkozó adatok (például a banner kattintások számának követése, bejelentkezési hely és időtartam, kiszolgáló adatok, cookiek).
Az adatkezelés jogalapja: (1)-(4) pontban szereplő személyes adatok tekintetében a GDPR 6. cikk (1) bekezdés b) pontja alapján szerződés teljesítése céljából kezeli; míg az (5) pontban szereplő személyes adatok tekintetében a GDPR 9. cikk (2) bekezdés a) pontja alapján az érintett kifejezett hozzájárulása, a (6) pontban meghatározott személyes adatokat a Társaság a GDPR 6. cikk (1) bekezdése f) pontja alapján érdekeinek érvényesítése céljából kezeli.
Az asztalfoglalás érdekében végzett adatkezelés az ÁSZF szerinti foglalási megállapodás teljesítése, de legkésőbb a foglalással érintett napot követő 90 napig tart.
- Hírlevélre történő feliratkozás : A Társaság aktuális ajánlatairól hírlevél formájában értesítést küld az aktuális ajánlatairól történő tájékoztatás érdekében.
Az Adatkezeléssel kapcsolatban a Társaság az érintett alábbi adatait kezeli:
(1) az érintett neve;
(2) az érintett e-mail címe.
Az adatkezelés jogalapja: GDPR GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett hozzájárulása.
A hírlevélre történő feliratkozás során megadott adatok kezelése a hírlevélről történő leiratkozás, de legkésőbb az érintett által az adatkezeléshez történő hozzájárulása visszavonásáig tart.
- Szolgáltatások igénybevétele, termékek megvásárlása: Az Adatkezeléssel kapcsolatban a Társaság az érintett alábbi adatait kezeli:
(1) esetenként az érintett neve;
(2) esetenként az érintett bankkártyáján szereplő adatok;
(3) esetenként az érintett aláírása.
(4) számla igénylése esetén a mindenkori jogszabályoknak megfelelő számla kiállításához szükséges egyéb adat (pl. az érintett lakcíme).
Az adatkezelés jogalapja: A Társaság a személyes adatokat a GDPR 6. cikk (1) bekezdés b) pontja alapján szerződés teljesítése céljából kezeli.
A gazdasági társaság szolgáltatásainak igénybevételével, termékeinek megvásárlásával kapcsolatos adatkezelés az érintett és a gazdasági társaság közötti szerződés megszűnését követő 90 napig, illetve a gazdasági társaságot terhelő jogszabályi kötelezettségek teljesítéséig tart.
- A munkaviszony létesítésekor és a munkaviszony alatt, azzal összefüggésben a gazdasági társaság munkáltatóként az alábbi személyes adatokat kezeli:
személyi ig., lakcím-, taj-, adókártya, TB kiskönyv, előző munkahelyről kilépési papírok, bankszámlaszerződés, bizonyítvány – legmagasabb végzettség és szakmai képesítés (2016-tól kötelező!), érvényes tüdőszűrő lelet (1 évnél nem régebbi), eü. könyv. családi kedvezmény jogosultság, tartozási nyilatkozat, magánnyugdíjpénztár tagsági okirat, nyilatkozat tagság fenntartásról(ha fennmaradt a tagság) , munkabér, munkaidő, betegállomány, képzés, dolgozói események
nyugdíjas: igazolás a nyugdíj folyósításáról (nyugdíjazás dátuma)
kölcsönzött munkaerő: név, adószám vagy lakcím
Az Adatkezelőnek a munkaügyi adatkezelések tekintetében az adatvédelmi előírásokat az Mt. és egyéb speciális munkajogi szabályok rendelkezéseivel összhangban kell értelmeznie és alkalmaznia. A munkaügyi adatkezelések tekintetében jelen Szabályzat általános rendelkezésein túl a munkaügyi tárgyú belső szabályzatok és dokumentumok (pl. személyes adatkezelési tájékoztató.) rendelkezései is irányadóak. Egyes speciális munkaügyi adatkezelésekkel kapcsolatos előírásokat más érintett szakterületek szabályzatai is tartalmazhatnak (pl.: a munkáltató által személyes használatra adott mobileszközök használatának szabályai, elektronikus levelezőrendszer használatára vonatkozó előírások, e-mail-ek szűrése, munkavállalók ellenőrzése).
A munkavállalók személyes adatai kizárólag célhoz kötötten, a munkaviszony létesítésével, teljesítésével (fenntartásával) vagy megszűnésével kapcsolatban kezelhetők. Új belépő munkavállalót munkába állásának napján egyértelműen és részletesen írásban tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, hogy kik ismerhetik meg az adatokat.
Az adatkezelés jogalapja: A Társaság a munkavállalók adatait a GDPR 6. cikk (1) bekezdés b) pontja alapján szerződés teljesítése céljából kezeli.
A munkaviszonyból eredő vagy ahhoz kapcsolódó adatkezelés időtartama a munkaviszony megszűntéig, illetve a munkáltatót terhelő jogszabályi kötelezettségek teljesítéséig tart.
- Álláspályázatok, önéletrajzok
Az Adatkezelő az álláspályázatokkal kapcsolatosan tudomására jutott adatokat, kizárólag az álláspályázathoz kapcsolódó célból, annak elbírálása céljából kezeli. Az adatkezelés jogalapja az Érintett önkéntes hozzájárulása, melyet egyoldalú jognyilatkozatával bármikor megszüntethet. Az álláspályázattal kapcsolatosan megküldött dokumentumokban szereplő személyes adatokat a Gerbeaud Kft, mint adatkezelő, illetőleg illetékes munkatársai, a pályázat elbírálásában esetlegesen részt vevő megbízottai és adatfeldolgozói ismerhetik meg.
Az álláspályázatok során a Társaság tudomására jutott különleges adatokat a Társaság HR vezetője kizárólag az álláspályázathoz kapcsolódó célból, annak elbírálása céljából kezeli.
Az álláspályázatra jelentkezések, önéletrajzok kezelése tekintetében az Adatkezelő munkaügyi tárgyú szabályzatainak, egyéb dokumentumainak a rendelkezései az irányadók.
4.10. Tájékoztatás
4.10.1. Általános követelmények
Az érintett részére adott tájékoztatásnak, tömörnek, átláthatónak, érthetőnek és könnyen hozzáférhetőnek kell lennie. Írásban, vagy más módon, világos és közérthető formában kell megfogalmazni, különösen a gyermekeknek címzett bármilyen információ esetén. Az elszámoltathatóság (bizonyíthatóság) érdekében ajánlott az írásbeli forma.
4.10.2. Tájékoztatás, ha a személyes adatok az érintettől származnak (előzetes tájékoztatás)
Ha a személyes adatok az Érintettől származnak a Társaság, mint Adatkezelő a Személyes adatok megszerzésének időpontjában köteles az Érintett rendelkezésére bocsátani az alábbi információkat (előzetes tájékoztatás):
- az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei (Adatkezelő neve; postai címe, e-mail címe, telefonszám;
- az adatvédelmi tisztviselő kiléte és elérhetőségei (neve, e-mail címe, telefonszáma);
- a tervezett adatkezelés célja (konkrét, pontos megjelölés, valós célok elfedése nélkül), valamint az adatkezelés jogalapja;
- jogos érdeken alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;
- adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái;
- harmadik országba, nemzetközi szervezethez történő adattovábbítás ténye és garanciái;
- a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- az Érintetti jogok ismertetése, miszerint kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
- hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonási joga;
- a felügyeleti hatósághoz címzett panasz benyújtásának joga;
- arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
- automatizált döntéshozatal ténye (ideértve a profilalkotást is), logikája, és hogy ennek milyen következményei lehetnek az Érintettre vonatkozóan.
Az előzetes tájékoztatástól annyiban el lehet tekinteni, amennyiben az Érintett már rendelkezik az adott információval.
A tájékoztatás módját tekintve, az adatkezelés megkezdésekor a tájékoztatás történhet papír alapon, elektronikus formában, vagy szóbeli tájékoztatás útján is.
Az Adatkezelési Tájékoztatót a személyesen jelen lévő ügyfél/egyéb érintett kérésére nyomtatott formában át kell adni.
- Az adatkezeléssel kapcsolatos jogok
- Hozzáféréshez és tájékoztatáshoz való jog
Az érintett kérelmére az Adatkezelő tájékoztatást ad arról, hogy adatainak kezelése folyamatban van-e. Amennyiben igen, az Adatkezelő a hozzáférés biztosítása mellett tájékoztatja az érintettet a kezelt adatok kategóriáiról, az adatkezelés céljáról, az adatkezelés címzettjeiről, vagy a címzettek kategóriájáról, az adatok tárolásának időtartamáról, vagy az időtartam meghatározásának szempontjairól, az érintteti jogok gyakorlásáról, a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) történő panasz bejelentési jogról, az adatok forrásáról, valamint az automatizált döntéshozatal tényéről, ideértve a profilalkotást is. Az Európai Unión, illetve az Európai Gazdasági Térségen kívülre történő adattovábbítás esetén az érintett tájékoztatást kap az adattovábbítással kapcsolatban biztosított megfelelő garanciákról is.
- Helyesbítéshez való jog
Az érintett jogosult arra, hogy adatai helyesbítését kérje az Adatkezelőtől azok pontatlansága esetén.
Amennyiben az Adatkezelő által kezelt Személyes Adatok helyesbítése szükséges, úgy az érintett írásban (postai úton, vagy e-mailen keresztül) kérheti az adatok helyesbítését a helyes adat megjelölésével.
Az érintett köteles az Adatkezelő által kezelt bármely Személyes Adatában bekövetkezett változást az Adatkezelőnek írásban (postai úton vagy e-mailen keresztül) haladéktalanul, de legkésőbb a változást követő 5 napon belül bejelenteni. Jelen értesítés elmaradása vagy késedelmes teljesítése miatti kárfelelősség az adatkezelőt terheli.
- Törléshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje a GDPR-ban (17. cikk) meghatározott esetekben.
Abban az esetben, ha az Adatkezelő nyilvánosságra hozta a Szemelyes Adatokat, vagyis azokat harmadik személyek részére továbbította, az érintett törléshez való jogának gyakorlása esetén az Adatkezelő megteszi az ésszerűen elvárható lépéseket, hogy tájékoztassa azokat a további adatkezelőket, akik részére a Személyes Adatok továbbította, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
- Az adatkezelés korlátozhatóságához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha
· az érintett vitatja a személyes adatok pontosságát;
· az adatkezelés jogellenes; · az adatkezelőknek már nincs szüksége a személyes adatokra az adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; · az érintett tiltakozott az adatkezelés ellen. |
- Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, ha:
- az adatkezelés hozzájáruláson alapul; és
- az adatkezelés automatizált módon történik.
- Tiltakozáshoz való jog
Az érintett tiltakozhat a személyes adatai közvetlen üzletszerzés érdekében történő kezelése ellen. Ebben az esetben a Személyes Adatok a továbbiakban e célból nem kezelhetők tovább.
Az érintett a fentiekben felsorolt jogai gyakorlásával kapcsolatban jogosult az Adatkezelőkhöz fordulni.
Az Adatkezelő elérhetőségei:
Név: Gerbeaud Kft.
Székhely: 1051 Budapest, Vörösmarty tér 7-8.
Cégjegyzékszám: 01-09-730963
A bejegyző bíróság megnevezése: Fővárosi Bíróság
Adószám: 13353779-2-41
Telefonszám: +361 429 9000
E-mail: gerbeaud@gerbeaud.hu
- Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és Információszabadság Hatóság
Postacím: 1530 Budapest, Pf.: 5.
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
Az érintett a jogainak megsértése esetén az adatátvevő az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
- Adatvédelmi incidensek kezelése
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között személyes adataik feletti rendelkezés elvesztését vagy jogaik korlátozását, hátrányos megkülönböztetést, személyazonosság lopást vagy személyazonossággal való visszaélést, pénzügyi veszteséget, jó hírnév sérelmét, szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Az Adatkezelő a tudomására jutott adatvédelmi incidenst indokolatlan késedelem nélkül, de legkésőbb 72 órán belül bejelenti a hatóságnak. Amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az adatvédelmi incidenst nem kell a hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Amennyiben az adatvédelmi incidens hatóság számára történő bejelentése szükséges, úgy a bejelentésben:
- a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell a gazdasági társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a gazdasági társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásban az érintettel világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell:
- a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
b)ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
c) ismertetni kell a gazdasági társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
- a) a gazdasági társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- b) a gazdasági társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Amennyiben a gazdasági társaság adatfeldolgozót alkalmaz, úgy az adatfeldolgozó szerződésben ki kell kötni, hogy az adatfeldolgozó köteles a nála bekövetkezett adatvédelmi incidenst haladéktalanul bejelenteni a gazdasági társaságnak.
- Adatbiztonság
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
Az adatbiztonság megtervezésekor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.
7. Oktatás, képzés
A Társaság, mint Adatkezelő köteles gondoskodni arról, hogy valamennyi vezető állású személye, alkalmazottja az adatvédelmi jogszabályi rendelkezéseket, valamint a jelen Szabályzatban foglaltakat megismerje és betartsa, az adatvédelmi kötelezettségekkel, illetve az adatkezelési célokkal tisztában legyen és szükség esetén a GDPR-ban, az Infotv-ben valamint a jelen Szabályzatban rögzítetteknek megfelelően járjon el.
8. Záró és kiegészítő rendelkezések
Jelen Szabályzat 2018. május 25. napján lép hatályba.
A Szabályzatban nem szabályozott kérdésekben a mindenkor hatályos jogszabályokban foglaltaknak megfelelően kell eljárni. A Szabályzat előírásai együttesen alkalmazandók a Társaság által kiadott kötelező szabályzatok, valamint eljárásrendek előírásaival. Az eljárásrendek előírásai nem lehetnek ellentétesek a jelen Szabályzatban foglaltakkal.
A Társaság, és munkavállalói kötelesek a jelen Szabályzatban foglaltaknak megfelelően eljárni, a Szabályzatban foglaltakat vezető állású személyeivel, alkalmazottaival, munkavégzésre irányuló egyéb jogviszonyban állókkal megismertetni és a benne foglaltakat betartatni.
Készítette: a Társaság adatvédelmi tisztviselője.
A jelen szabályzat karbantartásáért a Társaság adatvédelmi tisztviselője felelős.