Nagy Csaba egyéni vállalkozó
(székhely: 3335 Bükkszék, Egri út 27., adószám: 61925531-1-30)
ADATVÉDELMI SZABÁLYZATA
Hatályba helyezte: Nagy Csaba
Tartalom:
1. ÁLTALÁNOS RENDELKEZÉSEK .................................................................................
4 1.1. A Szabályzat célja .......................................................................................................
4 1.2. A Szabályzat hatálya ...................................................................................................
4 1.3. A Szabályzat közzététele és módosítása ......................................................................
4 1.4. Alkalmazott alapfogalmak ...........................................................................................
5 1.5. Az adatkezelő adatai ....................................................................................................
7 1.6. Az adatvédelmi tisztviselő ...........................................................................................
7 2. AZ ADATKEZELÉS ÁLTALÁNOS SZABÁLYAI ........................................................
8 2.1. Az adatkezelés alapelvei ..............................................................................................
8 2.2. Adatbiztonság ..............................................................................................................
9 2.2.1. Az Adatkezelő által elvégzett adatvédelmi intézkedések ....................................
9 2.3. Automatizált döntéshozatal .......................................................................................
10 2.4. Adattovábbítás ...........................................................................................................
10 2.5. Az adatkezelésre vonatkozó szabályok munkavállaló általi megszegése..................
11 2.6. Külső szolgáltatók .....................................................................................................
11 2.6.1. Könnyviteli és bérszámfejtési szolgáltatások .....................................................
12 2.6.2. Honlap és webtárhely működését biztosító szolgáltatások ................................
12 3. NYILVÁNTARTÁSOK ..................................................................................................
13 3.1. Adatvédelmi nyilvántartások .....................................................................................
13 4. A KEZELT SZEMÉLYES ADATOK KÖRE .................................................................
13 4.1. A munkavállalók személyes adatainak kezelése .......................................................
14 4.2. A szerződéses partnerek és képviselőik személyes adatainak kezelése ....................
15 4.3. Álláshirdetések kapcsán érkezett önéletrajzot kezelése ............................................
16 4.4. Panaszkezelés ............................................................................................................
16 4.5. Ügyfélkapcsolat és névjegykártyák adatkezelése ......................................................
17 4.6. Bankkártya adatok és banki átutalás során keletkező adatok kezelése .....................
17 4.7. Kamerarendszer üzemeltetése ...................................................................................
18 5. AZ ÉRINTETTEK JOGAI ...............................................................................................
19 5.1. Az érintettek jogai .....................................................................................................
19 5.2. Tájékoztatáshoz való jog ...........................................................................................
19 5.3. A személyes adat helyesbítéséhez és kiegészítéséhez való jog
20 5.4. A személyes adatok törléséhez és korlátozásához való jog .......................................
20 5.5. Tiltakozás személyes adat kezelése ellen ..................................................................
21 3. oldal 5.6. Az adathordozhatósághoz való jog ............................................................................
21 6. A JOGOK ÉRVÉNYESÍTÉSE ........................................................................................
22 6.1. Eljárás az igény elutasítása esetén .............................................................................
22 6.2. Bírósági jogérvényesítés ............................................................................................
22 7. ADATVÉDELMI INCIDENS ÉS ANNAK KEZELÉSE ..............................................
. 22 8. MELLÉKLETEK .............................................................................................................
23 4. oldal 1. ÁLTALÁNOS RENDELKEZÉSEK
1.1. A Szabályzat célja A Szabályzat célja, hogy biztosítsa az adatvédelemi alapelvek, az adatbiztonság követelményeinek érvényesülését, továbbá a Nagy Csaba e.v.-val (a továbbiakban: Egyéni Vállalkozás) kapcsolatba került, vagy kerülő személyek, továbbá az Egyéni Vállalkozás által foglalkoztatottak személyhez fűződő jogait, továbbá az Egyéni Vállalkozás által kezelt, illetve feldolgozott adatokat védje az adatokhoz való illetéktelen hozzáféréssel szemben, egyben szabályozza a személyes adatokra vonatkozóan az adatkezelés, adatfeldolgozás, adattovábbítás módját. Jogszabályi háttér: • • Magyarország Alaptörvénye • • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) • • az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR) • • A Polgári Törvénykönyvről 2013. évi V. törvény (a továbbiakban: Ptk.) • • A munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) • • A számvitelről szóló 2000. évi C törvény (a továbbiakban: Számvtv.) • • Az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény 1.2. A Szabályzat hatálya Személyi hatálya kiterjed mindazon személyekre, akik az Egyéni Vállalkozással munkaviszonyban vagy munkavégzésre irányuló egyéb jogviszonyban állnak, akik védett adatot kezelnek, feldolgoznak vagy annak bármilyen formában birtokába jutnak. Tárgyi hatálya kiterjed minden adatra és információra, különösen az Egyéni Vállalkozás által kezelt és feldolgozott adatokra és üzleti titokra, továbbá mindezek automatizált módon történő kezelésére, feldolgozására, valamint mindazon személyes adatok nem automatizált módon történő kezelésére, feldolgozására, amelyek az Egyéni Vállalkozás valamely nyilvántartási rendszerének részét képezik. Jelen Szabályzat területi hatálya kiterjed az Egyéni Vállalkozás székhelyére, továbbá telephelyére. A jelen egységes szerkezetbe foglalt Szabályzat 2018.05.07. napjától lép érvénybe. 1.3. A Szabályzat közzététele és módosítása Az Egyéni Vállalkozás adatkezeléseivel kapcsolatosan felmerülő adatvédelmi irányelvek folyamatosan elérhetők az Egyéni Vállalkozás székhelyén rendszeresített hirdetményfalon kifüggesztve. Jelen Szabályzatban foglaltakkal, vagy az adatkezeléssel kapcsolatosan bármely kérdéssel az Egyéni Vállalkozás vezető tisztségviselőjéhez fordulhat. Az Egyéni Vállalkozás fenntartja magának a jogot jelen Szabályzat egyoldalú módosítására. A módosított rendelkezések a módosításban leközölt dátummal válik hatályossá. 5. oldal 1.4. Alkalmazott alapfogalmak adathordozó: olyan fizikai eszköz, közeg, megoldás, mely alkalmas adatok megőrzésére, tárolására; személyes adat: az azonosított vagy azonosítható természetes személyre (érintettre) vonatkozó, vele kapcsolatba hozható információ - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered; biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását (Pl. az arckép vagy a daktiloszkópiai adat); egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról. üzleti titok: a Ptk. 2:47.§-a szerint meghatározott fogalom, üzleti titok tehát a gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli; adatállomány: az egy nyilvántartásban kezelt adatok összessége; érintett: bármely információ alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy; munkavállaló: minden személy, aki az adatkezelővel munkaviszonyban áll, vagy vele korábban munkaviszonyban állt, illetve vele munkaviszony létesítése céljából akár közvetlenül, akár közvetítőn keresztül kapcsolatba lépett, és ezzel összefüggésben személyes adatait az adatkezelő, vagy a közvetítő rendelkezésére bocsátotta; 6. oldal adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik; harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; adatvédelem: az összegyűjtött adatvagyon sérthetetlenségét, integritását, használhatóságát és bizalmasságát lehetővé tevő technológiák és szervezési módszerek összessége; adatvédelmi incidens: az adatbiztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; Az adatvédelmi incidens fajtái: titoktartási incidens: személyes adatok véletlen vagy felhatalmazás nélküli közlése vagy az ezekhez való hozzáférés; hozzáférhetőséggel kapcsolatos incidens: személyes adatok véletlen vagy jogtalan megsemmisülése/megsemmisítése vagy ezek elvesztése; sértetlenséggel kapcsolatos incidens: adatok véletlen vagy jogtalan megváltoztatása. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tagolása, tárolása, átalakítása vagy megváltoztatása, felhasználása, lekérdezése, közlése, továbbítása, terjesztése, vagy egyéb módon történő nyilvánosságra hozatala, illetve hozzáférhetővé tétele, összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. adatvédelmi tisztviselő: az adatvédelem megvalósulása és folyamatossága iránt, jelen szabályzatban meghatározottak szerint felelős személy. az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; 7. oldal hozzájárulás: az érintett akaratának önkéntes, határozott és egyértelmű kinyilvánítása, amely konkrét és megfelelő tájékoztatáson alapul, és amellyel az érintett nyilatkozat, vagy a megerősítést félreérthetetlenül kifejező cselekedet útján beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. Hozzájárulásnak minősül, ha az érintett valamely internetes honlap megtekintése során egy erre vonatkozó jelölőnégyzetet jelöl be, vagy erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet, amely az adott összefüggésben az érintett személyes adatainak tervezett kezeléséhez való hozzájárulását egyértelműen jelzi. kötelező adatkezelés: amennyiben az adatkezelést törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. 1.5. Az adatkezelő adatai A jelen Szabályzat 4. pontjában megjelölt szolgáltatások esetében adatkezelőnek minősül a Nagy Csaba e.v. (továbbiakban mint Egyéni Vállalkozás) Az Egyéni Vállalkozás magyar állampolgárságú természetes magánszemély egyéni vállalkozása, amelynek fontosabb gazdasági tevékenysége a robogó motor kereskedelem, motorkerékpár alkatrész kereskedelem illetve az egyéb gazdasági szolgáltatások. 1.6. Az adatvédelmi tisztviselő Az Egyéni Vállalkozásnál külön ilyen jellegű feladatkörrel kinevezett adatvédelmi tisztviselő nem működik, amelyet a GDPR 37. cikk (1) bekezdésének a) pontja (továbbá a 29-es adatvédelmi munkacsoport iránymutatása az adatvédelmi tisztviselőkkel kapcsolatban) indokol, tekintettel arra, hogy az Egyéni Vállalkozás nem közhatalmi szerv, vagy egyéb, közfeladatot ellátó szervezet, továbbá az adatkezelő vagy az adatfeldolgozó fő tevékenységei nem foglalnak magukban olyan adatkezelési műveleteket, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, illetve az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését nem foglalják magukban. Az Egyéni Vállalkozás működése során a természetes magánszemélyekkel kapcsolatosan kezelt adatok köre és számossága korlátozódik a törvényi előírások általi kötelezettségek elvégzéséhez (pl.: bérszámfejtés), továbbá mind földrajzilag, mind szakmai ágazati szempontból olyannyira behatároltak, hogy nem tesz lehetővé széles társadalmi befolyásolást. 8. oldal Az érintettek jogainak érvényesítése, valamint bármely további adatvédelmi kérdéskörben az Egyéni Vállalkozás vezető tisztségviselőjéhez lehet fordulni, akinek adatai: Név: Nagy Csaba Telefonszám: +36 30 9986 591 E-mail cím: csabamotor@hotmail.hu Az Egyéni Vállalkozás vezető tisztségviselője ezirányú feladatvégzését a GDPR 39. cikkének és a vonatkozó jogszabályoknak megfelelően látja el. 2. AZ ADATKEZELÉS ÁLTALÁNOS SZABÁLYAI 2.1. Az adatkezelés alapelvei Az Alaptörvény értelmében mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. Az Alaptörvényben biztosított jog mellett a Rendelet és az Infotv. az adatvédelem általános rendelkezéseit, fogalmait, elveit határozzák meg keretjogszabályokként. A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (jogszerűség, tisztességes eljárás és átláthatóság elve). A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet (célhoz kötöttség elve). A személyes adatok kezelésének céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk (adattakarékosság elve). A személyes adatok kezelésének pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék, vagy helyesbítsék (pontosság elve). Az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (korlátozott tárolhatóság elve). A személyes adatok kezelését olyan módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (integritás és bizalmas jelleg elve). Az Egyéni Vállalkozás által kezelt vagy a más adatkezelő által az Egyéni Vállalkozás rendelkezésre bocsátott személyes adatok magáncélra való felhasználása, illetéktelenek számára hozzáférhetővé tétele szigorúan tilos. Amennyiben az Egyéni Vállalkozás tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos vagy nem naprakész, köteles azt kijavítani, illetve aktualizálni. Ha az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, vagy utóbb annak bizonyul, az ilyen adatokat törölni kell. Amennyiben az Egyéni Vállalkozás valamilyen általa kötött szerződéses jogviszony alapján, harmadik fél részére tesz hozzáférhetővé kezelésében lévő személyes adatokat, köteles a harmadik féllel a jelen szabályzat hatálya alá tartozó adatok védelmére vonatkozó titoktartási nyilatkozatot aláíratni. 9. oldal 2.2. Adatbiztonság Az adatbiztonság az adatok fizikai védelmét jelenti, elsősorban a jogosulatlan hozzáférések megakadályozására, valamint az adatkezelő gondatlanságából eredő károk elhárítására. Az adatbiztonság tárgya az adat. Az Adatkezelő a fentiekben megnevezett személyes adatokat az Egyéni Vállalkozás székhelyén, valamint külső szolgáltató szerverén tárolja. Az informatikai rendszerek működtetése során a szükséges jogosultságkezelési, belső szervezési és technikai megoldások biztosítja, hogy adatai illetéktelen személyek birtokába ne juthasson, illetéktelen személyek az adatokat ne tudják törölni, kimenteni a rendszerből, vagy módosítani. Az adatkezelő az adatvédelmi és adatbiztonsági követelményeket érvényre juttatja az adatfeldolgozókkal szemben is. Az Adatkezelő különös figyelmet fordít arra, hogy a saját adatvédelmi szabályzatát minden megbízottja és munkavállalója megismerje, és az abban foglaltaknak megfelelően végezze a személyes adatok kezelését. A személyes adatokhoz az adatkezelő érdekkörében eljáró azon személyek – így különösen megbízottak, munkavállalók – férnek hozzá, akiknek ez tevékenységük ellátásához szükséges, és akik az adatok kezelésével kapcsolatos kötelezettségekkel tisztában vannak, azokat ismerik. Az adatok kezelése során fokozott figyelmet kell fordítani az adatok biztonságára a megsemmisüléssel és megsemmisítéssel, a megváltoztatással, károsodással, valamint nyilvánosságra kerüléssel szemben, továbbá gondoskodni arról, hogy azokhoz jogosulatlan, illetéktelen személyek ne férjenek hozzá. Ennek érdekében megteszi, ellenőrzi és szükség esetén fejleszti a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében. 2.2.1. Az Adatkezelő által elvégzett adatvédelmi intézkedések Az Adatkezelő által foglalkoztatott munkavállalók, a munkavégzésre irányuló egyéb jogviszonyban álló magánszemélyek, valamint a külső szervezetek mindazon alkalmazottai, akik az Adatkezelő informatikai rendszereit használják, üzemeltetik, működtetik vagy fejlesztik, azaz az Adatkezelő adatvagyonához bármilyen módon hozzáférhetnek, a személyes adatok védelme érdekében kötelesek megtartani az alábbi előírásokat: • • a kezelt személyes adatok mennyiségét a minimálisra kell szorítani, • • az adatkezelési műveletek kialakításával biztosítani kell az érintettek magánszférájának védelmét, • • a munkavégzés, illetve a feladatellátás során keletkezett személyes adatot is tartalmazó dokumentumokat kizárólag a munkavégzés céljára szolgáló számítástechnikai eszközökön nyithatják meg, • • a munkavégzés, illetve a feladatellátás céljára szolgáló eszközök - amelyeken adatkezelés történik - hozzáférési kódjait a munkavállalók bizalmasan kötelesek kezelni, • • a munkavégzés, illetve a feladatellátás céljára szolgáló mobiltelefonokra érkező, személyes adatot is tartalmazó dokumentumot is tartalmazó levelek esetén a dokumentumot lehetőség szerint csak asztali számítógépen, vagy notebook-on lehet megnyitni. A munkavégzés illetve a feladatellátásra használt mobiltelefont, amelyen az Adatkezelő által kezelt, vagy feldolgozott személyes adat is megtalálható, minden esetben a mobiltelefonba épített ábrás, vagy kódos védelemmel kell használni, 10. oldal • • a munkavégzés illetve a feladatellátás céljára átadott notebook-ok és egyéb munkaállomások esetében az eszközöket csak az erre kijelölt felhasználók használhatják, ennek megfelelően hozzátartozóik, vagy más személy számára nem engedélyezett azok használata, • • a munkavállaló munkaviszonya, megbízása, egyéb feladatellátásra szolgáló jogviszonya megszűnése esetén minden személyes adatot is tartalmazó papír alapú és elektronikus iratot, adatot köteles a foglalkoztatásának utolsó napját megelőzően az Adatkezelő részére visszaszolgáltatni, azokról másolatot nem tarthat magánál, • • a magánhasználatú eszközön tilos személyes adatot tárolni, kivéve, ha a tárolás a munkavégzéshez elengedhetetlenül szükséges és a tárolást a munkavégzést követően haladéktalanul megszüntetik, • • minden munkavállaló köteles az általa használt munkaterületet olyan módon használni, hogy azon az Adatkezelő kezelésében vagy feldolgozásában lévő, személyes adatot is tartalmazó dokumentumok szabadon ne legyenek hozzáférhetők, • • személyes adatok csak biztonságos kommunikációs csatorna alkalmazásával, vagy megfelelő titkosítási megoldással adhatók át más személynek. Ellenkező jelzésig az Adatkezelő belső levelezési rendszerén belüli adatáramlás biztonságos kézbesítési csatornának tekintendő, • • amennyiben az Adatkezelő más Adatkezelőtől, az adathoz kapcsolódó rendelkezéssel fogad személyes adatot, valamennyi, az adattal érintkező felhasználónak kötelessége az adattovábbító rendelkezéseit figyelembe venni, • • biztosítani kell, hogy a különböző nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők, kivéve, ha törvény erre lehetőséget biztosít, • • berendezések, információk, illetve szoftverek előzetes engedély nélkül nem vihetőek ki az Egyéni Vállalkozás székhelyéről, telephelyéről. 2.3. Automatizált döntéshozatal Kizárólag automatizált módon nem hozható egyedi ügyben olyan döntés (ideértve a profilalkotást is), amely az érintettre nézve joghatással járna, vagy őt hasonlóképpen jelentős mértékben érintené. A fenti szabály alól kivételt képeznek mindazon döntések, amelyek • • az érintett és az Egyéni Vállalkozás közötti szerződés megkötése vagy teljesítése érdekében szükségesek, • • meghozatala jogszabály alapján kötelező, • • az érintett kifejezett hozzájárulásán alapulnak. 2.4. Adattovábbítás Adatok továbbítására minden esetben csak az érintett hozzájárulása vagy törvény felhatalmazása alapján kerül sor. Az Egyéni Vállalkozás jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amely személyes adat továbbítására az Egyéni Vállalkozást jogszabály vagy jogerős bírósági (hatósági) határozat kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt az Egyéni Vállalkozás nem tehető felelőssé. 11. oldal Az Egyéni Vállalkozás rendszeres adatszolgáltatást jogszabályban meghatározott szervek irányába végez, így különösen az adóhatóság vagy a társadalombiztosító szervei felé. Amennyiben az Egyéni Vállalkozás a munkavállalók adatai kezelésével más szervezetet/személyt bíz meg, ennek tényéről a munkavállalót tájékoztatni köteles. Az adatkezeléssel megbízott szervezet csak e tájékoztatást és a munkavállaló hozzájárulását követően kezdheti meg a személyes adatok kezelését. Adattovábbítás külföldre az Infotv. 8. §-ában foglaltakra tekintettel, az Európai Unió területén kívüli harmadik országokba a Rendelet 44-46. cikkeire figyelemmel történhet. Külön engedély nélkül történhet adattovábbítás olyan harmadik országba, nemzetközi szervezet számára, vagy harmadik ország olyan meghatározott területére, amelyre tekintettel az Európai Bizottság megállapította, hogy az megfelelő védelmi szintet biztosít (megfelelőségi határozat). Amennyiben megfelelőségi határozat nem áll rendelkezésére, adattovábbítás csak akkor eszközölhető, ha az adatkezelő vagy adatfeldolgozó – különösen a Rendelet 46. cikk (2)-(3) bekezdéseiben foglalt – megfelelő garanciákat nyújtott, és az érintett(ek) számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Az Egyéni Vállalkozás az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatásának biztosítása céljából adattovábbítási nyilvántartást vezet. Az Egyéni Vállalkozás csak olyan személyes adatokat továbbíthat, amelyeknek az adatkezelője. Amennyiben más szerv az adatkezelő, az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely szervtől igényelheti. 2.5. Az adatkezelésre vonatkozó szabályok munkavállaló általi megszegése A vezető tisztviselő jogosult a jelen szabályzatban foglalt rendelkezések érvényesülését, továbbá az adatkezelés, adattovábbítás és adatfeldolgozás előírásszerűségének betartását ellenőrizni. Az ellenőrzésről jegyzőkönyvet készít. A vezető tisztviselő intézkedhet a munkavállalóval szembeni hátrányos jogkövetkezmények alkalmazása iránt. Amennyiben az ellenőrzés során bebizonyosodik, hogy a munkavállaló az adatvédelmi szabályzatban foglalt rendelkezéseket nem sértette meg, vele szemben hátrányos jogkövetkezmény alkalmazására nem kerülhet sor. 2.6. Külső szolgáltatók Az Egyéni Vállalkozás a gazdasági tevékenysége körében végzett szolgáltatások teljesítéséhez kapcsolódóan külső szolgáltatókat (a továbbiakban: Külső Szolgáltató) vehet igénybe, amely Külső Szolgáltatókkal az Egyéni Vállalkozás együttműködik. A Külső Szolgáltatók rendszereiben kezelt személyes adatok tekintetében a Külső Szolgáltatók saját adatvédelmi tájékoztatójában foglaltak az irányadók. Az Egyéni Vállalkozás minden tőle telhetőt megtesz annak érdekében, hogy a Külső Szolgáltató a részére továbbított személyes adatokat a jogszabályoknak megfelelőn kezelje, és azokat kizárólag az érintett által meghatározott vagy a jelen Szabályzatban alább rögzített célra használja fel. Az Egyéni Vállalkozás a Külső Szolgáltatók számára végzett adattovábbításról a jelen Szabályzat keretében tájékoztatja az érintettet. 12. oldal 2.6.1. Könnyviteli és bérszámfejtési szolgáltatások Az Egyéni Vállalkozás bérszámfejtés, könyvelés céljából a munkavállalói személyes adatait, továbbá szerződéses partnerei adatait továbbítja külső félnek, aki kizárólag ezen célból kezelheti a munkavállalók adatait. A bérszámfejtést, könyvelést végző szerződött partner neve: Korózs Györgyi e.v. kapcsolattartója: Korózs Györgyi székhelye: 3300 Eger, Hétvezér út 6. telefonszáma: +36 30 279 9811 e-mail címe: korozs.gyorgyi@t-online.hu. A bérszámfejtő, könyvelő adatfeldolgozónak minősül, az adatok továbbítása és feldolgozása a munkavállalók munkaviszonya tekintetében az irányadó jogszabályok által előírt bejelentési, bevallási, adófizetési és egyéb kötelezettségek teljesítése végett történik. A szerződéses partnerek esetében pedig a könyvelési feladatok ellátása érdekében történik a személyes adatok kezelése. 2.6.2. Honlap és webtárhely működését biztosító szolgáltatások Az Egyéni Vállalkozás a gazdasági tevékenységének weben történő folyamatos megjelenítéséhez weboldal programozói, elektronikus levelezési szerver és webtárhely szolgáltatási feladatok ellátására az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése alapján külső szolgáltatóval szerződik. Az Egyéni Vállalkozással kapcsolatban álló összes érintettről tárolt valamennyi személyes adatot továbbíthatja a külső szolgáltatónak. Az elektronikus levelezési szerver és webtárhely szolgáltatást végző szerződött partner neve: 3 in 1 Hosting Bt. kapcsolattartója: Szabó Tamás székhelye: 2310 Szigetszentmiklós, Dévai utca 10/A telefonszáma: +36 21 200 0040 e-mail címe: admin@megacp.com A weboldal programozói, elektronikus levelezési szerver és webtárhely szolgáltató adatfeldolgozónak minősül, az adatok továbbítása és feldolgozása az érintettek esetében az Egyéni Vállalkozás velük kapcsolatos infokommunikációs tevékenységek teljesítése végett történik. 13. oldal 3. NYILVÁNTARTÁSOK 3.1. Adatvédelmi nyilvántartások Belső adatvédelmi nyilvántartás: A belső adatvédelmi nyilvántartás az alábbi nyilvántartásokat foglalja magában, amelyet a vezető tisztviselő köteles vezetni: • • A vezető tisztviselő a személyes adatokra vonatkozóan nyilvántartást vezet a személyes adataik kezeléséről tájékoztatást kérő személyekről. • • A vezető tisztviselő a harmadik személy felé illetve külföldre továbbított adatokról nyilvántartást vezet. • • A vezető tisztviselő nyilvántartást vezet a személyes adatokkal kapcsolatos tájékoztatáskérés elutasításáról. Az elutasított kérelmekről az adatkezelő az adatvédelmi hatóságot évente tárgyévet követő év január 31-ig értesíti. • • Az adatvédelmi incidenssel kapcsolatos nyilvántartás is vezetésre kerül, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A belső adatvédelmi nyilvántartásában az Egyéni Vállalkozás minden olyan adatkezeléséről információt tartalmaz, amely során személyes adatok kezelése történik. Az egyes adatkezelésekkel kapcsolatos nyilvántartás az alábbi információkat tartalmazza: • • adatkezelés megnevezése; • • célja, rendeltetése; • • jogalapja, jogszerűsége; • • a nyilvántartott adatok köre; • • az adatok forrása (maga az érintett vagy más adatkezelés/adatfeldolgozás); • • az adatok fellelhetőségi helye (adatbázis, alkalmazás megnevezése); • • az adatfeldolgozó neve, címe, valamint az adatfeldolgozás helye, módszere (manuális, számítógépes); • • adattovábbítás esetén az adatfajta megnevezése, az adattovábbítás jogalapja, mely szerv részére, milyen okból történik, az adattovábbítás módja, időpontja; • • adatok megőrzésének, illetve törlésének ideje; A vezető tisztviselő az általa kezelt belső adatvédelmi nyilvántartásokat megkeresés alapján az adatvédelmi hatóság rendelkezésére bocsátja. 4. A KEZELT SZEMÉLYES ADATOK KÖRE Az Egyéni Vállalkozás az alábbiakban jelzett személyek személyes adatait kezeli: • • munkavállalók személyes adatait. • • szerződéses partnerek és képviselőinek személyes adatait, • • álláshirdetésre jelentkezők adatait, • • panaszt tevők adatait, • • ügyfelek adatai, kapott névjegykártyán szereplő adatok, • • bankkártya adatok és banki átutalás során keletkező adatok, • • biztonsági kamera rendszeren rögzített érintettek adatait. 14. oldal Az Egyéni Vállalkozás személyes adatokat jogszerűen csak az alábbi alapokon kezelhet: • • az érintett hozzájárulásával; • • jogszabályi felhatalmazás alapján, jogszabályban meghatározott módon és mértékben (az Egyéni Vállalkozásra vonatkozó jogi kötelezettség teljesítése érdekében); • • ha az adatkezelés közérdekű vagy közfeladat ellátása érdekében szükséges; • • amennyiben az Egyéni Vállalkozásra, mint szerződő félre vonatkozó szerződéses kötelezettség teljesítéséhez szükséges, e célból, vagy ha ez a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; • • ha az adatkezelés az Egyéni Vállalkozás, mint adatkezelő vagy harmadik személy jogos érdekeinek érvényesítéséhez szükséges, amennyiben az így okozott érdeksérelemmel az adatkezelő vagy harmadik személy jogos érdekei arányosak; • • az érintett vagy más természetes személy létfontosságú érdekeinek védelme érdekében. Jogszabályi felhatalmazás, valamint az fenti utolsó öt bekezdésben foglalt jogalapok hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatáson alapuló, önkéntes, írásbeli hozzájárulása szolgálhat, amelyben egyértelmű beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő megnevezését az adatkezelést elrendelő jogszabály határozza meg. Az Egyéni Vállalkozás az anyagi és eljárási jogszabályok által meghatározott adatkörbe tartozó – ezen adatkezelés céljának megvalósulásához elengedhetetlen –, a cél elérésére alkalmas személyes adatokat csak a cél megvalósulásához szükséges mértékben és ideig kezelheti. 4.1. A munkavállalók személyes adatainak kezelése Az Egyéni Vállalkozás munkavállalóinak (a továbbiakban: munkavállaló) személyes adatainak adatkezelése kiterjed a munkaviszonnyal összefüggő valamennyi adatkezelésre: a fennálló és már megszűnt munkaviszonnyal kapcsolatos adatkezelésekre, továbbá a munkaviszony létesítését megelőzően végzett adatkezelésre is. Adatkezeléssel érintett adatok köre neve; születési neve; születési helye; születési ideje; anyja születési neve; lakóhelye; tartózkodási helye (amennyiben eltérő a lakóhelytől); adóazonosító jele; társadalombiztosítási azonosító jele (TAJ szám); nyugdíjas törzsszám (nyugdíjas munkavállaló esetén); személyi igazolvány száma; lakcímet igazoló hatósági igazolvány száma; pénzforgalmi számlaszáma; végzettséget igazoló okmány másolati példánya; állampolgársága; gyermekek száma; gyermekek TAJ száma Adatkezelés célja • • Az Mt.-ben foglalt kötelezettségek teljesítése, a munkaviszony létesítésének, valamint a munkavállalók foglalkoztatásának lehetővé tétele. • • Az Egyéni Vállalkozásra, mint munkáltatóra irányadó egyéb hatályos jogszabályok követelményeinek megtartása, az általuk előírt kötelező adatszolgáltatás teljesítése.