Adatkezelési szabályzat
Bevezető:
Az APM Consulting Kft. az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), alapján, összhangban az egyéb vonatkozó jogszabályok rendelkezéseivel az alábbi szabályokat alkotja.
A szabályzat hatálya, célja:
Jelen adatkezelési szabályzat („Szabályzat”) azon személyes adatok kezelésére vonatkozik, amelyeket az APM Consulting Korlátolt Felelősségű Társaság (székhely: 7693 Pécs Malom út 8., bejegyezve a Fővárosi Törvényszéken a Cg. 02 09 070659 számon, adószám: 13693659-2-02, továbbiakban: APM), mint adatkezelő, a személyes adat jogosultjának rendelkezésre bocsátása alapján megfelelő jogalap megléte esetén rögzít és kezel.
Az APM semmilyen körülmények között sem kezel a GDPR 9. cikke szerinti személyes adatok különleges kategóriát, illetve az Infotv. 3. § 3. pontja szerinti különleges adatot, valamint nem szerez be és kér személyes adatokat olyan személyektől, akik azoknak nem jogosultjai.
Az APM az adatkezelési szabályzattal, annak értelmezésével kapcsolatos tájékoztatást elektronikus formában nyújt az apm@apmconsulting.hu e-mail címre elküldött kérelmek tekintetében.
Jelen Szabályzat hatálya nem terjed olyan adatok kezelése, amelyek alapján a személyes adat jogosultja nem azonosítható.
A szabályzat személyi hatálya kiterjed az APM-el:
- alkalmazotti, megbízási vagy más munkavégzésre irányuló egyéb jogviszonyban (hallgatói munkaszerződés, alvállalkozói szerződéses viszony, a továbbiakban együtt: más munkavégzésre irányuló egyéb jogviszony) álló,
A személyi hatály kiterjed továbbá azon személyekre, akik:
- Az APM-el szerződéses jogviszonyban álló vagy azt létesítő Megrendelőkre (legyen az természetes személy vagy jogi személy)
A szabályzat tárgyi hatálya kiterjed az APM:
- valamennyi adatkezelési és adatfeldolgozási tevékenységére
- által kezelt személyes, a közérdekű és a közérdekből nyilvános adatokra, függetlenül attól, hogy az adatkezelés automatizált eszközzel vagy manuális módon történik
Az APM személyes adatokra vonatkozó adatkezeléseit Adatkezelési nyilvántartása tartalmazza.
A szabályzat célja, hogy az APM által vezetett nyilvántartások, az adatok kezelése, védelme a jogszabályoknak megfelelően, biztonságosan történjen. Megakadályozva az adatokhoz való jogosulatlan hozzáférést, – megváltoztatást és – nyilvánosságra hozatalt.
Az Infotv. 3.§-ában meghatározottak szerint:
- érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
- személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
- különleges adat:
- a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
- az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűn-ügyi személyes adat;
- bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
- közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatás-körre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
- közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
- hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
- tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
- adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meg-határozza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
- adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, össze-hangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, írisz-kép) rögzítése;
- adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
- nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
- adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
- adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
- adatzárolás (adatkezelés korlátozása): az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
- adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
- adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik;
- adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását (tudomására jutott személyes adatok feldolgozását, tárolását és megőrzését kizárólag az adatkezelő nevében és rendelkezései szerint) végzi. Adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. Az adatkezelést érintő érdemi döntést nem hoz-hat, a tevékenységi körén belül felelős a személyes adatok feldolgozásáért, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért.
- adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzé-teendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;
- adatközlő: az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi és a közzététel meg-történtéről elektronikus levélben értesíti az adatfelelőst;
- adatállomány: az egy nyilvántartásban kezelt adatok összessége;
- harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adat-feldolgozóval;
- EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;
- harmadik ország: minden olyan állam, amely nem EGT-állam;
- kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja;
- adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés (el-vesztés) vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés. Tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adat-védelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
- Adatvédelem: a személyes adatok kezelésének szabályozása (szabályok, eljárások, esz-közök, módszerek összessége) az érintett jogainak érvényesítése érdekében.
- Céges adatvédelmi felelős (adatvédelmi tisztviselő): a vállalkozás ügyvezetője által megbízott jogi, közigazgatási, informatikai vagy ezeknek megfelelő, ismeretekkel rendelkező személy. Továbbá szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatok ellátására való alkalmasság alapján kijelölt személy.
- Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek;
- az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- Betekintési és megismerési jogosultság: az a jogkör, amelynek birtokában a jogosult számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes és különleges adatok.
- Magáncélú felhasználás: személyes adatoknak minden olyan célra történő felhasználása, amely jelen szabályzat 4. §-ban meghatározott jogalap hiányában történik.
Az APM kiemelt figyelmet fordít a vele kapcsolatba kerülő személyek személyes adatainak védelmére, azok pontosságára és bizalmas jellegére, preventíven lép fel annak érdekében, hogy a rendelkezésére bocsátott személyes adatokat célhoz kötötten és a korlátozott tárolhatóság jegyében csak és kizárólag megfelelő jogalappal kezelje, illetve hogy az általa kezelt személyes adatokat kellő jogalap hiányában ne adja át harmadik személyek vagy szervezetek számára, ill. azokat a kezelés jogalapjának megszűnését követően törölje.
Az APM a fenti célkitűzéseire tekintettel mindent megtesz annak érdekében, hogy az alábbi, személyes adatok kezelésére vonatkozó alapelvek a személyes adatok kezelésének folyamata során teljes mértékben, korlátozás nélkül és minden esetben érvényesüljenek:
- A személyes adatkezelés fő alapelve a célhoz kötöttség.
- Jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
- Célhoz kötöttség elve: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon.
- Adattakarékosság elve: a személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
- Pontosság elve: a személyes adatoknak, pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
- Korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor.
- Integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
- Elszámoltathatóság elve: az adatkezelő felelős a fentiekben meghatározott alapelveknek megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
Az APM adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése során megfelelő jogalap megléte esetén rögzíti, kezeli, a lehető legszűkebb körben továbbítja, valamint a személyes adat jogosultja kérésére tekintettel – amennyiben az jogilag megalapozott – zárolja és törli a korábban rendelkezésére bocsátott személyes adatokat.
A személyes adatok kezelésének jogalapja az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabadáramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – továbbiakban: GDPR) 6. cikke szerinti jogalapok.
Az APM az ügyféli és munkáltatói-munkavállalói kapcsolatok létesítésére irányuló szerződések megkötése és teljesítése során, önkéntesen rendelkezésére bocsátott személyes adatokat jogszabályi és szerződési kötelezettségeink teljesítése érdekében rögzíti és kezeli a személyes adatok jogosultjának hozzájárulása alapján.
A személyes adatok jogosultjai az APM-el való kommunikációja során (pl.: levélben történő kommunikáció, e-mailben történő kommunikáció, Facebook stb.) önkéntesen megadott hozzájárulás alapján is az APM rendelkezésére bocsáthatják személyes adataikat.
Abban az esetben, ha a személyes adat jogosultja a személyes adatkezelésére vonatkozó hozzájárulását visszavonja, azonban az APM megalapozottan alkalmazhatja a GDPR 6. cikkében meghatározott jogosulti hozzájárulástól eltérő másik jogalapot, az APM a személyes adat jogosultjának hozzájárulása nélkül is áttérhet a GDPR által biztosított másik a személyes adat kezelését megalapozó jogalapra.
Az APM-n belül személyes adat jogalap nélkül nem kezelhető.
Az APM-n belül személyes adat akkor kezelhető, ha
- ahhoz az érintett írásban hozzájárult, vagy
- azt törvény illetve – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés),
Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése:
- az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
- az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érin-tett személyes adatai kezelhetőek.
Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – a törvény alapján – az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a fel-vett adatokat törvény eltérő rendelkezésének hiányában:
- a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
- az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti. (9) Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt, vagy nyilvánosságra hozatalra általa átadott személyes adatok tekintetében.
Az érintett kérelmére, kezdeményezésére indult eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében a hozzájárulást vélelmezni kell.
Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
Az APM számára a személyes adatok jogosultjai által rendelkezésre bocsátott személyes adatok köre magába foglalja az ügyfelek, a munkavállalók, az APM-el elektronikus kommunikációt kialakítók (pl.: e-mailt küldők, Facebookon üzenők) által rendelkezésre bocsátott személyes adatok teljes körét, amely különös tekintettel az alábbiakat foglalja magába:
- Ügyfél kapcsolatai során: levelezési és állandó lakcím, személyi azonosító igazolvány szám, e-mail cím, telefonszám, adóazonosító szám – magánszemély esetén; adószám, cégjegyzékszám, székhely, képviselő neve – jogi személy esetén
- Elektronikus kommunikáció (pl.: e-mail) során: a kommunikációt folytató neve és e-mail címe, telefonszáma
- Munkáltató-munkavállalói kapcsolat: alkalmazottak levelezési és állandó lakcím, személyi azonosító igazolvány szám, e-mail cím, telefonszám, adóazonosító szám
Az APM a személyes adat jogosultja által adott hozzájárulása alapján kezelt személyes adatokat a hozzájárulásának visszavonásáig; a hozzájárulás visszavonásának hiányában általában a jogosulttal való kapcsolat megszűnését követően 5 évig kezeli. A személyes adat jogosultja hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
Olyan adatokat, amelyek olyan szerződés teljesítéséhez szükséges, amelyben az egyik érintett fél a személyes adat jogosultja, a másik pedig az APM; valamint ha az adatkezelés az APM-re vonatkozó jogi kötelezettség teljesítéséhez szükséges (pl.: a személyes adatokat tartalmazó iratok a könyvelést alátámasztó iratok részét képezik, például az APM és az ügyfél közötti szerződéskötéssel kapcsolatos dokumentumokban (pl megrendelésben) vagy a kiállított számlán szerepelnek) az APM főszabályként a Ptk. szerinti 5 éves elévülési határideig, ill. az adott iratokra vonatkozó ágazati szabályok szerint meghatározott időtartamban őrzi meg személyes adatot a személyes adat jogosultjának hozzájárulásától függetlenül (pl.: számviteli jogszabályok szerinti 8 éves megőrzési kötelezettség).
Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az Infotv., valamint az adatkezelésre vonatkozó külön törvények keretei között az APM, mint adatkezelő határozza meg.
Az APM az adatkezelési műveletekhez kapcsolódó technikai feladatok (rögzítés, kezelés, törlés, zárolás stb.) elvégzésére lehetőséget biztosít valamennyi munkatársa, mint adatfeldolgozók számára (jelenleg összesen 5 fő).
Mivel az APM olyan szolgáltatási kört végez az ügyfelek számára, melynek során a fent leírt adatok egy részét szükséges átadnia harmadik személy számára (generál tervezői szolgáltatás, engedélyezési ügyintézés, műszaki ellenőrzés, projektmenedzsment, így az Adattovábbítás pontban meghatározott módon és irányokban adatot továbbíthat.
Az APM az adatkezelés jogszerűségéért, mint adatkezelő felel. Az adatfeldolgozónak az adatkezelést érintő jogosítványait jelen Szabályzat tartalmazza, azokon semmilyen esetben sem terjeszkedhet túl, az adatkezelő a tudomására jutott személyes adatokat kizárólag az APM, mint adatkezelő rendelkezései és jelen Szabályzat iránymutatása szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az APM mint adatkezelő rendelkezései szerint köteles tárolni, megőrizni, ill. megfelelő jogalap megszűnése esetén törölni, valamint a jogosult ezirányú megalapozott kérelme esetén zárolni.
Adatkezelési tevékenységet az egyes munkatársak csak feladatkörük ellátásához szükséges mértékben folytathatnak. Az adatkezelési tevékenységet ellátó munkatárs köteles gondoskodni az általa kezelt adatok és iratok megőrzéséről.
az adatkezelési célok, valamint az adatkezelés időtartama és az adatokhoz való hozzáférésre jogosultak köre az alábbi táblázatban kerül bemutatásra.
Az adatkezelés megnevezése és célja | Az adatkezelés jogalapja | A kezelt adatok köre | Az adatkezelés időtartama | Kik férhetnek hozzá a személyes adatokhoz? |
Ügyfél-Megrendelői kapcsolatok során | Az Infotv. 6. § (5) bekezdés a) pontja, amelynek értelmében az APM az érintett hozzájárulásával felvett adatokat a rá vonatkozó jogi kötelezettség teljesítése céljából az érintett további külön hozzájárulása nélkül is kezelheti. | Magánszemély esetén: levelezési és állandó lakcím, személyi azonosító igazolvány szám, e-mail cím, telefonszám.
Jogi személy esetén: székhely címe, adószám, cégjegyzékszám, képviselő neve |
Az APM a szerződés teljesítését követően a Ptk. 6:22. § alapján 5 év múlva törli. Ha az adatokat az APM a számvitelről szóló 2000. évi C. törvény 169. § alapján köteles megőrizni, akkor az adatokat az APM az érintett hozzájárulásától függetlenül csak a szerződés teljesítését követően 8 év múlva törli. A gyakorlatban ilyen eset, ha az adatok a könyvelést alátámasztó iratok részét képezik, például az APM és az ügyfél közötti szerződéskötéssel kapcsolatos dokumentumokban (pl.: megrendelésben) vagy a kiállított számlán szerepelnek. | Az APM valamennyi munkatársa,
Továbbítás esetén: Az Ügyfelekkel leszerződött megbízás teljesítéséhez szükségesen bevont Alvállalkozók, Az APM-el leszerződött és az APM-nek pénzügyi szolgáltatást végző Könyvelő, Az APM-el leszerződött és az APM-nek jogi szolgáltatást végző Ügyvéd, |
Elektronikus kommunikáció (e-mail útján történő kommunikáció) | A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Grt.”) 6. § (1) – az érintett személy előzetes, egyértelmű és kifejezett hozzájárulása | e-mailben kapcsolatot tartók neve, e-mail címe és telefonszáma | Ha az érintett hozzájárulását visszavonja, ill. az e-mail cím törlésre kerül, akkor a személyes adatokat törölni kell. | Az APM valamennyi munkatársa,
Továbbítás esetén: Az Ügyfelekkel leszerződött megbízás teljesítéséhez szükségesen bevont Alvállalkozók,
|
Az APM a rendelkezésére bocsátott személyes adatokat főszabály szerint nem továbbítja harmadik személyek részére a jogosult írásban adott hozzájárulásának, vagy megfelelő jogalap – pl.: jogszabályi kötelezettsége teljesítése érdekében – hiányában.
Eltekintve a fenti főszabálytól az APM jogszabályi kötelezettségeinek teljesítése érdekében minden hónapban továbbítja könyvelője számára az ügyfelei részére kiállított számlákat, amely tartalmazza az ügyfél nevét, postai címét és adószámát.
Továbbá eltekintve a fenti főszabálytól az APM az ügyfél adatait továbbíthatja az Ügyféllel kötött szerződés alapján a szerződésben kikötött megbízás teljesítésének érdekében bevont Alvállalkozók részére.
Továbbá eltekintve a fenti főszabálytól az APM az ügyfél adatait továbbíthatja az Ügyféllel kötendő szerződés jogi vizsgálatának céljából az APM-el szerződött Cég-Jogi szakértő – Ügyvéd számára.
Kivételes esetben bírósági, ügyészi, nyomozó hatósági, szabálysértési hatósági, közigazgatási hatósági, NAIH általi megkeresésre, illetőleg jogszabály felhatalmazása alapján más szervek megkeresése esetén az APM köteles tájékoztatás adására, adatok közlésére, illetőleg iratok rendelkezésre bocsátására. Az APM ezen esetekben a megkereső szerv részére – amennyiben az a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
Az EGT tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor. Harmadik országba személyes adatot (beleértve a különleges adatot is) csak akkor lehet továbbítani, ha ahhoz az érintett kifejezetten hozzájárul és előtte tájékoztatták az adattovábbításból eredő esetleges kockázatokról, vagy törvény lehetővé teszi, fontos közérdekből szükséges, vagy teljesülnek a GDPR rendelet 49.cikkében és az Infotv.-ben írt feltételek és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.
Személyes adatok a nemzetközi jogsegélyről, az adóügyi információcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzet-közi szerződésben meghatározott célból, feltételekkel és adatkörben továbbíthatók harmadik országba.
Olyan adatkezelés esetén, amelynél számolni kell külföldre irányuló adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni.
A külföldre irányuló adatszolgáltatással kapcsolatos tényeket, körülményeket a 2. melléklet szerint dokumentálni kell, melynek egyik példányát az adatkezelés helyén kell őrizni tíz évig, majd levéltárba adni.
16 éven aluli személyek kifejezett szülői engedély hiányában nem adhatnak meg magukról személyes adatot.
A személyes adatok rendelkezésre bocsátója kijelenti és szavatolja, hogy kifejezetten jelen Szabályzatban foglaltakra figyelemmel jár el, cselekvőképessége az információk rendelkezésre bocsátásával kapcsolatban semmilyen mértékben sem korlátozott.
Abban az esetben, ha a személyes adat rendelkezésre bocsátója az érintett személyes adat rendelkezésére bocsátására önállóan nem jogosult, köteles arra, hogy az érintett harmadik személy jogosult (pl.: törvényes vagy ügyleti képviselő, gondnok, gyám, vagy egyéb személy, akinek a nevében és érdekében eljár) írásbeli beleegyezését beszerezze, vagy a rendelkezésre bocsátott személyes adatok kezelésére más jogalapot biztosítson.
Az APM mindenkor jogosult arra, hogy ellenőrizze a személyes adatok kezelésére megjelölt jogalap megfelelősségét. Erre tekintettel az APM kérheti az ügyben eljáró személy teljes bizonyító erejű okiratba foglalt meghatalmazását és/vagy az érintett személyes adat jogosultjának megfelelő adatkezelési hozzájárulását az adott ügyre vonatkozóan.
Az APM elkötelezett annak érdekében, hogy törlésre kerüljön minden olyan személyes adat, amely kezelésének megszűnt a jogalapja, illetve amelyet jogosulatlanul bocsátottak a rendelkezésére.
Ezen elköteleződés keretében az APM a fentieken túl vállalja, hogy mindent megtesz annak érdekében, hogy jogalap nélkül kezelésében lévő személyes adatok semmilyen módon se kerüljenek általa történő felhasználására, valamint illetéktelen harmadik személyek irányában továbbításra.
APM felhívja a kezelésében lévő személyes adatok jogosultjait arra, hogy késedelem nélkül jelezzék számára azt, ha a személyes adat jogosultja azt tapasztalja, hogy harmadik személy jogosulatlanul bocsátotta az APM rendelkezésére a jogosultat megillető személyes adatot, ill. ha 16 aluli gyermek személyes adata került szülői hozzájárulás hiányában az APM birtokába.
Az APM megfelelő biztonsági intézkedéseket foganatosít annak érdekében, hogy a kezelésében lévő személyes adatok ne kerüljenek semmilyen körülmények között nyilvánosságra hozatalra, törlésre, elvesztésre vagy megsemmisülésre.
Ezen adatbiztonsági intézkedések követelmények érvényre juttatása érdekében az APM a személyes adatok kezelésére szolgáló informatikai környezetet oly módon hozta létre, hogy az megfeleljen a következő körülményeknek:
- Az informatikai rendszer alkalmas a kezelt adathoz történő hozzáférés korlátozására, ennek értelmében az adatok illetéktelen harmadik személytől (így a jogosulatlan hozzáféréstől, megváltoztatástól, továbbítástól, nyilvánosságra hozataltól, törléstől, megsemmisítéstől) védettek.
- A személyes adatok automatizált feldolgozása során a jogosulatlan adatbevitel megakadályozása, az adatfeldolgozó rendszerek illetéktelen személyek általi használata, az adatátviteli berendezés segítségével történő használat megakadályozása, az adatbevitellel kapcsolatos információk (pl. ki, mikor), illetve az adat továbbítással kapcsolatos ellenőrizhetőség és megállapíthatóság biztosítása érdekében az adatok valamennyi módosítása a módosítás időpontjának megjelölésével kerül sor.
- Az automatizált feldolgozás során fellépő hibákról hibajelentés készül, a hibás adatok törlésre kerülnek.
- Annak érdekében, hogy az adatok a véletlen megsemmisülés és sérülés valamint az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen védettek, illetve üzemzavar esetén helyreállíthatóak legyenek az adatokról biztonsági mentés készül.
- Az APM az általa alkalmazott biztonsági intézkedések hatékonyságának érvényre juttatása érdekében nyilvántartási rendszert működtet az adattovábbítás, adatkezelés-megszüntetés, adatvédelmi incidensek, jogosulti és hatósági megkeresések ill. az arra adott válaszok nyilvántartása, ügyféladatbázis tekintetében.
Az APM informatikai rendszere a személyes adatok kezelése során az elvárt védelmi szintet nyújtja és védett a számítógéppel kapcsolatos bűncselekmények ellen. Az üzemeltető a biztonságról jelszavas védelem, tűzfal, szerver biztonsági eljárásokkal gondoskodik.
A személyes adatokat tartalmazó iratokat zárt helyen kell őrizni. A munkatársak irodai helyiségüket és az irat és adattárolásra használt berendezéseket munkaidőben fokozott gondossággal kötelesek őrizni, munkaidő végén a számítógépet kikapcsolni és az irodahelyiség ajtaját bezárni. A munkatársak kötelesek a számítógépet és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg.
Az APM a nyomtatott formában őrzött adatokat (szerződések, számlák, teljesítési igazolások, tervdokumentációk stb.) biztonságos módon elzárt irattároló szekrényben őrzi. A tárolóhoz csak az arra jogosult személyeknek van hozzáférésük.
Az adatokat tartalmazó nyomtatott dokumentumokat a megőrzési idő lejártakor az APM iratmegsemmisítővel semmisíti meg.
Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek és jogi személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a jogszabályi követelményeknek való megfelelést.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét.
Az érintett személy kérelmezheti az adatkezelőnél:
- személyes adatai kezeléséről való tájékoztatását,
- személyes adataiban fennálló hiba esetén azok helyesbítését, valamint
- személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását.
Az érintett személy ezen felül tiltakozhat személyes adatainak kezelése ellen.
Az APM az erre irányuló kérelem beérkezésétől számított ésszerű határidő alatt, de legfeljebb 25 napon belül köteles írásban közérthető tájékoztatást adni a kérelemben foglaltak teljesítésére vonatkozóan. Amennyiben az APM a kérelemben foglaltakat nem teljesíti, a kérelem beérkezésétől számított 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli elutasításának ténybeli és jogi indokait.
Az Infotv. 21. §-ban meghatározott esetekben az érintett személy tiltakozhat személyes adatainak kezelése ellen. Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.
Ha az APM a tiltakozás megalapozottságát megállapítja, az adatkezelést megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
A fenti kérelmek elutasítása esetén az APM tájékoztatja a személyes adat jogosultját a bírósági jogorvoslat lehetőségéről, további a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről:
- Az érintett a jogainak megsértése esetén, valamint az Infotv. 21. §-ban meghatározott esetekben a személyes adat jogosultja az adatkezelő ellen bírósághoz fordulhat. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
- A Nemzeti Adatvédelmi és Információszabadság Hatóságnál (http://naih.hu/; 1530 Budapest, Pf.: 5.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu) bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.
Az adatkezeléssel kapcsolatos részletes jogokat és jogorvoslati lehetőségeket részletesen az Infotv. 13-17. és 30. alfejezetei tartalmazzák.
Pécs, 2018. május 25.
Frissítve: 2022.08.16.
Dr. Németh István
ügyvezető igazgató