HungarEat Kft.
4363 Nyírmihálydi, Vasút u. 43.
HungarEat Kft.
4363 Nyírmihálydi, Vasút u. 43.
ADATKEZELÉSI SZABÁLYZAT
KÜLSŐ FELEK ÉS PARTNEREK RÉSZÉRE
Jelen Szabályzat a HungarEat Kft. (a továbbiakban Társaság) adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) – való megfelelés céljából.
A Szabályzat megállapítása és módosítása a vezető tisztségviselő(k) hatáskörébe tartozik.
Kelt, Debrecen, 2024. január 7. napján
I. CIKK
ÁLTALÁNOS RENDELKEZÉSEK
1. § Bevezetés
A Társaság kinyilvánítja, hogy adatkezelési tevékenységét – a megfelelő belső szabályok, technikai és szervezési intézkedések meghozatalával – úgy végzi, hogy az minden körülmények között megfeleljen AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
2. § A Szabályzat célja
(1) A Szabályzat célja azon belső szabályok megállapítása és intézkedések meghozatala, amelyek biztosítják, hogy a Társaság adatkezelő tevékenysége megfeleljen a Rendelet, és az Infotv. rendelkezéseinek.
(2) A Szabályzat célja továbbá, hogy a Rendeletnek, és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való a Társaság általi igazolására szolgáljon.
3. § A Szabályzat hatálya
E Szabályzat hatálya a természetes személyre vonatkozó személyes adatok a Társaság általi kezelésére terjed ki.
4. § Az adatkezelés alapelvei
Az adatkezelési tevékenységeit a Társaság úgy tervezi meg és hajtja végre, hogy minden körülmény között teljesüljenek az adatkezelés az Adatvédelmi Rendelet 5. cikke által elvárt alapelvei.
II. CIKK
SZERZŐDÉSHEZ KAPCSOLÓDÓ VAGY SZERZŐDÉS TELJESÍTÉSÉHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
5. § Szerződő partnerek – mint természetes személyek – adatainak kezelése, vevők, szállítók nyilvántartása
(1) A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói. A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év, vagy abban az esetben, ha a jogviszonyból jogvita származik, annak jogerős befejezését követő 5 év.
(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
6. § Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
(1) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója, beosztása.
(2) A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.
(3) A személyes adatok kezelésének a jogalapja: a Társaság jogos érdeke.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság azon munkavállalói, akik a szerződés teljesítésében részt vesznek.
(5) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 év.
(6) A Társaság jelen adatkezeléshez érdekmérlegelési tesztet végzett, mely alapján megállapította, hogy az adatkezelés szükséges és arányos, a Társaság jogos érdeke az adatkezelés jogalapjául szolgálhat.
7. § Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
(2) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Az adatkezelés jogalapja: az érintett hozzájárulása. A Pályázat elküldésével a Társaság a hozzájárulást megadottnak tekinti.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, munkahelyi vezető.
(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. A Társaság törli azok adatait is, akik jelentkezésüket, pályázatukat visszavonták.
(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat azok elbírálását követően 2 évig, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás megelőzően vagy annak lezárását követően kell kérni a jelentkezőktől (19. számú melléklet szerint).
8. § Online jelentkezés munkafelvételre
(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím.
(2) A személyes adatok kezelésének célja: az önéletrajz megküldése során megadott személyes adatokat a meghirdetett pozíció betöltése és a pozícióra megfelelő új munkavállaló kiválasztása céljából kezeli a Társaság. Az önéletrajzban szereplő személyes adatok megadása nem jogszabályon vagy szerződéses kötelezettségen alapul, nem előfeltétele szerződés megkötésének, tehát a jelentkező nem köteles ezen adatokat megadni. Az adatkezelésre vonatkozó tájékoztató a Társaság online felületén elérhető linken keresztül érhető el. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Az adatkezelés jogalapja: az érintett hozzájárulása. Az önéletrajz beküldésével a Társaság a hozzájárulást megadottnak tekinti.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, munkahelyi vezető, adatfeldolgozóként a Társaság IT szolgáltatója tárhelyszolgáltatást végző munkavállalói.
(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. A Társaság törli azok adatait is, akik jelentkezésüket, pályázatukat visszavonták.
(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat azok elbírálását követően 2 évig, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás megelőzően vagy annak lezárását követően kell kérni a jelentkezőktől. (19. számú melléklet)
9. Ki- és belépés a Társaság területére (nem munkavállalókra vonatkozó szabályok)
(1) A nem munkavállaló, vagy nem saját munkavállaló – a továbbiakban vendég – belépőkről nyilvántartást vezetnek. A vendégek adatait (név, fogadó, látogatás célja, belépés ideje, kilépés ideje, a fogadó aláírása) egy „Beléptető” nyomtatványon rögzítik.
(2) Az orvosi rendelőbe érkezők az „orvosi rendelő” kártyát kapják meg.
(3) A munkaügyre érkezők a „munkaügy” kártyát kapják meg.
(4) Az egyéb célból a gyár területére belépők a „visitor” kártyát kapják meg.
(5) A gyár területére tartós munkavégzés céljából belépő, de nem a társaság alkalmazottai a „zöld” kártyát kapják meg.
(6) Ha a Társaság vendége a gyártás területére is belép, akkor nyilatkoznia kell arról:
- szenved-e jelenleg, illetve az elmúlt 3 hónapban hasmenéssel, vagy egyéb gyomorbántalmi tünetekkel járó fertőző betegségben, vagy bármely egyéb, járványos megbetegedésben?
- Érintkezett-e a közelmúltban olyan személlyel, aki súlyos fertőző betegségben szenvedett, vagy annak potenciális kockázata állhatott fenn? (pl. csak egészségügyi védőoltást követhetően látogatható külföldi országban.)
- Szenvedett-e az elmúlt három hónapban bármilyen bőrbetegségben, ekcéma, bőrgyulladás, stb. Van-e elfertőződött seb a kezein, ujjain?
- Járt-e Európai Unión kívüli, illetve járvány sújtotta országban az utóbbi 3 hónapban?
- Érintkezett-e bárkivel, aki ételfertőzés okozta megbetegedésben szenvedett az elmúlt 3 hónapban?
(5) A kezelhető személyes adatok köre: a természetes személy neve, lakcíme, gépkocsi rendszáma, belépés, kilépés ideje, valamint a (6) bekezdésben megjelölt nyilatkozatok.
(6) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(7) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése, élelmiszer gyártástechnológiai szabályok betartása.
(8) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai, ellenőrzésre jogosult szakhatóság képviselői.
(9) A személyes adatok kezelésének időtartama: 24 óra, kivéve a „zöld” kártyával rendelkező vendégeket, akiknek az adatait a gyár területére történő utolsó belépésüktől számított 24 óráig kezelik.
10. § Teherportai belépésre vonatkozó szabályok (nem munkavállalókra vonatkozó szabályok)
(1) A Társaság területén dolgozó más vállalkozások dolgozóiról a portaszolgálat előzetes listát kap, amely a vállalkozás nevét, a belépő személy nevét és amennyiben gépkocsi is van, annak a rendszámát tartalmazza. Belépéskor a be,- illetve a kilépés tényét a biztonsági cég rögzíti.
(2) A belépő késztermékszállítás miatt érkező kamionok a teherportai rendszerbe rögzítik, majd a raklap kísérőn a kamionra és a rakományra vonatkozó adatok mellett a sofőr nevét is rögzítik.
(3) A nyersáru beszállító kamionok esetében teherportai nyilvántartó rendszerben rögzítik a sofőr nevét is a rakomány adataival együtt.
(4) A teherportai mérlegelésre érkezett gépkocsi adatainak felvételekor felvételre kerül a sofőr neve is.
A nyilvántartásokat a biztonsági cég őrzi, a betelt nyomtatványtömböket és összesítő listákat az irattárba helyezik. Az irattár zárható helyen került kialakításra.
(5) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(6) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése.
(7) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai.
Az adatfeldolgozóként igénybevett szolgáltató:
(8) A személyes adatok kezelésének időtartama: 6 hónap.
11. § Szondáztatás (nem munkavállalókra vonatkozó szabályok)
(1) Szondás ellenőrzést kell foganatosítani mindazon esetekben, amikor a Társaság területére belépni szándékozó vagy az objektum területén tartózkodó személyére vonatkozóan alkoholos befolyásoltságra utaló gyanú merül fel.A szondás ellenőrzés a gyanú megerősítésére, bizonyítására vagy kizárására irányul. A szondás ellenőrzést kell továbbá alkalmazni a szándékos vagy gondatlan rongálást, illetőleg a Társaság területén balesetet szenvedett személy esetében is, amennyiben az elsősegélynyújtást követően a balesetet szenvedett állapota azt lehetővé teszi. Külsős cég foglalkoztatottja esetében az ellenőrzésnél az ellenőrzött munkáltatójának képviselője, vagy közvetlen vezetőjének jelenléte szükséges.
(2) A szondáztatáskor a nevet veszik nyilvántartásba. Amennyiben a mérés eredménye pozitív, jegyzőkönyv felvételére került sor. A jegyzőkönyvben rögzítésre kerül a név, a lakcím, a belépőkártya száma.
(3) Vitás esetben vérvétel is kérhető. Ebben az esetben a portaszolgálaton találhatóak az ehhez szükséges eszközök. A vérvétel azonban külső helyszínen található egészségügyi szolgáltatóban történik. Erről is minden esetben jegyzőkönyv készül.
(4) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(5) A személyes adatok kezelésének célja: vagyon- és személyvédelem.
(6) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság vezető tisztségviselői, külsős cég foglalkoztatja esetében az ellenőrzésnél az ellenőrzött munkáltatójának képviselője vagy közvetlen vezetője.
(7) A személyes adatok kezelésének időtartama: 6 hónap.
12. § Kamerás megfigyeléssel kapcsolatos adatkezelés
(1) A Társaság területén az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
A gyár területén elhelyezett kamerák felsorolását a jelen Szabályzat 11. számú melléklete tartalmazza.
(2) Ezen adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
(3) Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A tájékoztatás mintája jelen Szabályzat 4. számú mellékletét képezi.
(4) A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
(5) A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig lehet megőrizni. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni.
(6) Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
(7) Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
(8) Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
(9) Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
13.§ Munkáltatói visszaélés-bejelentési rendszerrel kapcsolatos adatkezelés
(1) A bejelentő személyazonosságát – ha az annak megállapításához szükséges adatokat megadta - a Társasága vizsgálat valamennyi szakaszában bizalmasan kezeli és biztosítja a bejelentő személyes adatai kezelésére vonatkozó jogszabályi előírások betartását.
(2) A Társaság a bejelentési rendszer keretei között a bejelentőnek és annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, vagy aki a bejelentésben foglaltakról érdemi információval rendelkezhet, a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatait - ideértve a különleges adatokat és a bűnügyi személyes adatokat is – kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezelheti és a bejelentővédelmi ügyvéd, illetve a bejelentés kivizsgálásában közreműködő külső szervezet részére továbbíthatja.
(3) Adatkezelés célja a visszaélés-bejelentési rendszeren keresztül érkezett panaszbejelentések kivizsgálása a Panasztv. 14. § (1) bekezdése alapján, valamint a 14. § (6) bekezdése szerint az érintett a panaszában megjelölt hátrányt szenvedett méltányolható jogos érdekének orvoslása. A bejelentésben érintett személy, valamint nyilvánvalóan rosszhiszemű bejelentés esetén esetleges munkajogi következmények meghatározása és alkalmazása.
(4) Adatkezelés jogalapja:
a. A bejelentő hozzájárulása: a bejelentő jogosult anonim módon megtenni bejelentését, ebben az esetben azonban a Társaság a Panasztv. alapján fenntartja a kivizsgálás mellőzésének jogát.
b. A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a személyes adatokat a Panasztv. rendelkezései alapján, kizárólag a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatokat - ideértve a különleges adatokat és a bűnügyi személyes adatokat is – a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezeli.
(5) Az adatkezelés időtartama
a. Ha a vizsgálat alapján a bejelentés nem megalapozott vagy további intézkedés megtétele nem szükséges, illetve a kivizsgálás mellőzése esetén a Társaság a bejelentésre vonatkozó adatokat a vizsgálat befejezését – mellőzés esetén a mellőzésről hozott döntést – követő 60 napon belül törli (kivéve a Fogyasztóvédelmi törvény szerinti panasz esetén a panasz dokumentációt, amelyet 5 évig őriz meg).
b. Ha a vizsgálat alapján intézkedés megtételére kerül sor - ideértve a bejelentő személlyel szemben jogi eljárás vagy fegyelmi intézkedés megtétele miatti intézkedést is - a Társaság a bejelentésre vonatkozó adatokat a bejelentési rendszerben legfeljebb a bejelentés alapján indított eljárások jogerős lezárásáig kezeli (kivéve a Fogyasztóvédelmi törvény szerinti panasz esetén a panasz dokumentációt, amelyet 5 évig őriz meg).
(6) Címzettek
a. A Panasztv. 15. § (2) bekezdése értelmében a nem anonim bejelentést tevő személy adatait a bejelentést kivizsgálókon kívül más nem ismerheti meg. A bejelentés során megadott személyes adatokat a 14.§ (1) bekezdése értelmében a kivizsgálásban közreműködő külső szervezet részére lehet továbbítani. Más személynek vagy szervezetnek a bejelentésbe foglalt személyes adatokat továbbítani az érintett hozzájárulásának hiányában nem lehet.
b. A bejelentő személyes adatai – az alábbi kivétellel - csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatóak át, ha e szerv annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához a bejelentő egyértelműen hozzájárult.
c. Ha nyilvánvalóvá vált, hogy a bejelentő rosszhiszeműen, döntő jelentőségű valótlan információt közölt és ezzel bűncselekmény vagy szabálysértés elkövetésére utaló körülmény merül fel, személyes adatait az eljárás lefolytatására jogosult szerv vagy személy részére át kell adni, alappal valószínűsíthető, hogy másnak jogellenes kárt vagy egyéb jogsérelmet okozott, személyes adatait az eljárás kezdeményezésére, illetve lefolytatására jogosult szervnek vagy személynek kérelmére át kell adni.
(7) A bejelentési rendszer keretei között kezelt adatok közül a Társaság haladéktalanul törli a fenti követelményeknek nem megfelelő személyes adatokat. A bejelentési rendszer keretei között kezelt személyes adatok kezelésére – így különösen azok továbbíthatóságára – a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény rendelkezései irányadók.
(8) A bejelentésben érintett személyt a Társaság a vizsgálat megkezdésekor részletesen tájékoztatja a rá vonatkozó bejelentésről, a személyes adatai védelmével kapcsolatban őt megillető jogairól, valamint az adatai kezelésére vonatkozó szabályokról.
(9) A bejelentési rendszer kialakítására olyan módon került sor, hogy a nem névtelen bejelentő személyét a bejelentést kivizsgálókon kívül más nem ismerheti meg. A bejelentést kivizsgálók a vizsgálat lezárásáig vagy a kivizsgálás eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyekre vonatkozó információkat kötelesek titokban tartani, és azokat - a bejelentésben érintett személy tájékoztatása kivételével - nem oszthatják meg a Társaság egyetlen más szervezeti egységével vagy munkatársával sem.
III. CIKK
ADATBIZONSÁGI INTÉZKEDÉSEK ÉS ADATVÉDELMI INCIDENSEK
14. § Adatbiztonsági intézkedések
1. A Társaság a technológia mindenkori állását figyelembe véve, valamint a kezelt személyes adatok bizalmasságának, és a felmerülő kockázatok figyelembevételével korszerű technikai, szervezési intézkedésekkel biztosítja a kezelt személyes adatok bizalmasságának, pontosságának és rendelkezésre állásának sértetlenségét.
2. A Társaság által alkalmazott korszerű adatbiztonsági intézkedések mellett sem zárható ki teljességgel, hogy külső támadásból kifolyólag, vagy a Társaság vagy munkatársainak hibájából az érintett személyes adatait érintő adatvédelmi incidens történik. Ilyen incidensek - többek között, például - lehetnek:
• külső (hacker) támadások, adatlopás, adatszivárgás;
• jogosulatlan címzettnek történő elektronikus vagy postai levéltovábbítás; és/vagy
• adatok megsemmisülése, elérhetetlenné válása.
3. Az Adatvédelmi Rendelet 33. cikkének értelmében a valószínűsíthetően kockázattal járó adatvédelmi incidenseket a Társaság az észlelést követően a lehető leghamarabb, de legkésőbb 72 órán belül bejelenti a NAIH-nak. Az értesítésben a Társaság tájékoztatja a hatóságot az incidens jellegéről, az érintettek hozzávetőleges számáról, az incidensben érintett személyes adatok kategóriáiról, a valószínűsíthető következményeket, valamint az esetleges hátrányos következmények enyhítését célzó intézkedéseket.
4. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve (például vagyoni, vagy nem vagyon jellegű kára származhat az incidensből kifolyólag), vagy az értesítést hatóság elrendeli, úgy a Társaság az incidensben érintett személyeket is tájékoztatja az előző bekezdésben foglaltakról.
5. Amennyiben bármely érintett vagy munkatárs a saját, vagy más személy adatait érintő incidensről értesül, vagy arról tudomást szerez, ezen információt jelezheti az hungareat.logisztika@gmail.com címen.
IV. CIKK
AZ ÉRINTETT SZEMÉLY JOGAI
15. § Összefoglaló az érintett jogairól
Az egyes jogokhoz kapcsolódód részletszabályokat lentebb tartalmazza a Szabályzat!
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon (Rendelet 13-14. cikk).
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon (Rendelet 15. cikk). A Szabályzat 13. számú melléklete szerinti tartalommal és formában.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését (Rendelet 16. cikk). A Szabályzat 14. számú melléklete szerinti tartalommal és formában.
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben meghatározott indokok valamelyike fennáll (Rendelet 17. cikk)
A Szabályzat 15. számú melléklete szerinti tartalommal és formában.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a rendeltben meghatározott feltételek teljesülnek (Rendelet 18. cikk)
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről (Rendelet 19. cikk).
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta (Rendelet 20. cikk).
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség, Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (Rendelet 22. cikk).
Korlátozások
Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban (Rendelet 23. cikk).
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről (Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet (Rendelet 77. cikk).
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről (Rendelet 78. cikk).
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait (Rendelet 79. cikk).
V. CIKK
AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE,
AZ ADATKEZELŐ INTÉZKEDÉSEI
(1) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelet 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) egyszeri 5.000.-Ft összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
(6) Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
ADATKEZELÉSI SZABÁLYZAT
KÜLSŐ FELEK ÉS PARTNEREK RÉSZÉRE
Jelen Szabályzat a HungarEat Kft. (a továbbiakban Társaság) adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) – való megfelelés céljából.
A Szabályzat megállapítása és módosítása a vezető tisztségviselő(k) hatáskörébe tartozik.
Kelt, Debrecen, 2024. január 7. napján
I. CIKK
ÁLTALÁNOS RENDELKEZÉSEK
1. § Bevezetés
A Társaság kinyilvánítja, hogy adatkezelési tevékenységét – a megfelelő belső szabályok, technikai és szervezési intézkedések meghozatalával – úgy végzi, hogy az minden körülmények között megfeleljen AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
2. § A Szabályzat célja
(1) A Szabályzat célja azon belső szabályok megállapítása és intézkedések meghozatala, amelyek biztosítják, hogy a Társaság adatkezelő tevékenysége megfeleljen a Rendelet, és az Infotv. rendelkezéseinek.
(2) A Szabályzat célja továbbá, hogy a Rendeletnek, és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való a Társaság általi igazolására szolgáljon.
3. § A Szabályzat hatálya
E Szabályzat hatálya a természetes személyre vonatkozó személyes adatok a Társaság általi kezelésére terjed ki.
4. § Az adatkezelés alapelvei
Az adatkezelési tevékenységeit a Társaság úgy tervezi meg és hajtja végre, hogy minden körülmény között teljesüljenek az adatkezelés az Adatvédelmi Rendelet 5. cikke által elvárt alapelvei.
II. CIKK
SZERZŐDÉSHEZ KAPCSOLÓDÓ VAGY SZERZŐDÉS TELJESÍTÉSÉHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
5. § Szerződő partnerek – mint természetes személyek – adatainak kezelése, vevők, szállítók nyilvántartása
(1) A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói. A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év, vagy abban az esetben, ha a jogviszonyból jogvita származik, annak jogerős befejezését követő 5 év.
(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
6. § Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
(1) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója, beosztása.
(2) A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.
(3) A személyes adatok kezelésének a jogalapja: a Társaság jogos érdeke.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság azon munkavállalói, akik a szerződés teljesítésében részt vesznek.
(5) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 év.
(6) A Társaság jelen adatkezeléshez érdekmérlegelési tesztet végzett, mely alapján megállapította, hogy az adatkezelés szükséges és arányos, a Társaság jogos érdeke az adatkezelés jogalapjául szolgálhat.
7. § Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
(2) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Az adatkezelés jogalapja: az érintett hozzájárulása. A Pályázat elküldésével a Társaság a hozzájárulást megadottnak tekinti.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, munkahelyi vezető.
(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. A Társaság törli azok adatait is, akik jelentkezésüket, pályázatukat visszavonták.
(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat azok elbírálását követően 2 évig, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás megelőzően vagy annak lezárását követően kell kérni a jelentkezőktől (19. számú melléklet szerint).
8. § Online jelentkezés munkafelvételre
(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím.
(2) A személyes adatok kezelésének célja: az önéletrajz megküldése során megadott személyes adatokat a meghirdetett pozíció betöltése és a pozícióra megfelelő új munkavállaló kiválasztása céljából kezeli a Társaság. Az önéletrajzban szereplő személyes adatok megadása nem jogszabályon vagy szerződéses kötelezettségen alapul, nem előfeltétele szerződés megkötésének, tehát a jelentkező nem köteles ezen adatokat megadni. Az adatkezelésre vonatkozó tájékoztató a Társaság online felületén elérhető linken keresztül érhető el. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Az adatkezelés jogalapja: az érintett hozzájárulása. Az önéletrajz beküldésével a Társaság a hozzájárulást megadottnak tekinti.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, munkahelyi vezető, adatfeldolgozóként a Társaság IT szolgáltatója tárhelyszolgáltatást végző munkavállalói.
(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. A Társaság törli azok adatait is, akik jelentkezésüket, pályázatukat visszavonták.
(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat azok elbírálását követően 2 évig, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás megelőzően vagy annak lezárását követően kell kérni a jelentkezőktől. (19. számú melléklet)
9. Ki- és belépés a Társaság területére (nem munkavállalókra vonatkozó szabályok)
(1) A nem munkavállaló, vagy nem saját munkavállaló – a továbbiakban vendég – belépőkről nyilvántartást vezetnek. A vendégek adatait (név, fogadó, látogatás célja, belépés ideje, kilépés ideje, a fogadó aláírása) egy „Beléptető” nyomtatványon rögzítik.
(2) Az orvosi rendelőbe érkezők az „orvosi rendelő” kártyát kapják meg.
(3) A munkaügyre érkezők a „munkaügy” kártyát kapják meg.
(4) Az egyéb célból a gyár területére belépők a „visitor” kártyát kapják meg.
(5) A gyár területére tartós munkavégzés céljából belépő, de nem a társaság alkalmazottai a „zöld” kártyát kapják meg.
(6) Ha a Társaság vendége a gyártás területére is belép, akkor nyilatkoznia kell arról:
- szenved-e jelenleg, illetve az elmúlt 3 hónapban hasmenéssel, vagy egyéb gyomorbántalmi tünetekkel járó fertőző betegségben, vagy bármely egyéb, járványos megbetegedésben?
- Érintkezett-e a közelmúltban olyan személlyel, aki súlyos fertőző betegségben szenvedett, vagy annak potenciális kockázata állhatott fenn? (pl. csak egészségügyi védőoltást követhetően látogatható külföldi országban.)
- Szenvedett-e az elmúlt három hónapban bármilyen bőrbetegségben, ekcéma, bőrgyulladás, stb. Van-e elfertőződött seb a kezein, ujjain?
- Járt-e Európai Unión kívüli, illetve járvány sújtotta országban az utóbbi 3 hónapban?
- Érintkezett-e bárkivel, aki ételfertőzés okozta megbetegedésben szenvedett az elmúlt 3 hónapban?
(5) A kezelhető személyes adatok köre: a természetes személy neve, lakcíme, gépkocsi rendszáma, belépés, kilépés ideje, valamint a (6) bekezdésben megjelölt nyilatkozatok.
(6) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(7) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése, élelmiszer gyártástechnológiai szabályok betartása.
(8) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai, ellenőrzésre jogosult szakhatóság képviselői.
(9) A személyes adatok kezelésének időtartama: 24 óra, kivéve a „zöld” kártyával rendelkező vendégeket, akiknek az adatait a gyár területére történő utolsó belépésüktől számított 24 óráig kezelik.
10. § Teherportai belépésre vonatkozó szabályok (nem munkavállalókra vonatkozó szabályok)
(1) A Társaság területén dolgozó más vállalkozások dolgozóiról a portaszolgálat előzetes listát kap, amely a vállalkozás nevét, a belépő személy nevét és amennyiben gépkocsi is van, annak a rendszámát tartalmazza. Belépéskor a be,- illetve a kilépés tényét a biztonsági cég rögzíti.
(2) A belépő késztermékszállítás miatt érkező kamionok a teherportai rendszerbe rögzítik, majd a raklap kísérőn a kamionra és a rakományra vonatkozó adatok mellett a sofőr nevét is rögzítik.
(3) A nyersáru beszállító kamionok esetében teherportai nyilvántartó rendszerben rögzítik a sofőr nevét is a rakomány adataival együtt.
(4) A teherportai mérlegelésre érkezett gépkocsi adatainak felvételekor felvételre kerül a sofőr neve is.
A nyilvántartásokat a biztonsági cég őrzi, a betelt nyomtatványtömböket és összesítő listákat az irattárba helyezik. Az irattár zárható helyen került kialakításra.
(5) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(6) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése.
(7) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai.
Az adatfeldolgozóként igénybevett szolgáltató:
(8) A személyes adatok kezelésének időtartama: 6 hónap.
11. § Szondáztatás (nem munkavállalókra vonatkozó szabályok)
(1) Szondás ellenőrzést kell foganatosítani mindazon esetekben, amikor a Társaság területére belépni szándékozó vagy az objektum területén tartózkodó személyére vonatkozóan alkoholos befolyásoltságra utaló gyanú merül fel.A szondás ellenőrzés a gyanú megerősítésére, bizonyítására vagy kizárására irányul. A szondás ellenőrzést kell továbbá alkalmazni a szándékos vagy gondatlan rongálást, illetőleg a Társaság területén balesetet szenvedett személy esetében is, amennyiben az elsősegélynyújtást követően a balesetet szenvedett állapota azt lehetővé teszi. Külsős cég foglalkoztatottja esetében az ellenőrzésnél az ellenőrzött munkáltatójának képviselője, vagy közvetlen vezetőjének jelenléte szükséges.
(2) A szondáztatáskor a nevet veszik nyilvántartásba. Amennyiben a mérés eredménye pozitív, jegyzőkönyv felvételére került sor. A jegyzőkönyvben rögzítésre kerül a név, a lakcím, a belépőkártya száma.
(3) Vitás esetben vérvétel is kérhető. Ebben az esetben a portaszolgálaton találhatóak az ehhez szükséges eszközök. A vérvétel azonban külső helyszínen található egészségügyi szolgáltatóban történik. Erről is minden esetben jegyzőkönyv készül.
(4) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(5) A személyes adatok kezelésének célja: vagyon- és személyvédelem.
(6) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság vezető tisztségviselői, külsős cég foglalkoztatja esetében az ellenőrzésnél az ellenőrzött munkáltatójának képviselője vagy közvetlen vezetője.
(7) A személyes adatok kezelésének időtartama: 6 hónap.
12. § Kamerás megfigyeléssel kapcsolatos adatkezelés
(1) A Társaság területén az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
A gyár területén elhelyezett kamerák felsorolását a jelen Szabályzat 11. számú melléklete tartalmazza.
(2) Ezen adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
(3) Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A tájékoztatás mintája jelen Szabályzat 4. számú mellékletét képezi.
(4) A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
(5) A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig lehet megőrizni. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni.
(6) Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
(7) Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
(8) Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
(9) Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
13.§ Munkáltatói visszaélés-bejelentési rendszerrel kapcsolatos adatkezelés
(1) A bejelentő személyazonosságát – ha az annak megállapításához szükséges adatokat megadta - a Társasága vizsgálat valamennyi szakaszában bizalmasan kezeli és biztosítja a bejelentő személyes adatai kezelésére vonatkozó jogszabályi előírások betartását.
(2) A Társaság a bejelentési rendszer keretei között a bejelentőnek és annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, vagy aki a bejelentésben foglaltakról érdemi információval rendelkezhet, a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatait - ideértve a különleges adatokat és a bűnügyi személyes adatokat is – kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezelheti és a bejelentővédelmi ügyvéd, illetve a bejelentés kivizsgálásában közreműködő külső szervezet részére továbbíthatja.
(3) Adatkezelés célja a visszaélés-bejelentési rendszeren keresztül érkezett panaszbejelentések kivizsgálása a Panasztv. 14. § (1) bekezdése alapján, valamint a 14. § (6) bekezdése szerint az érintett a panaszában megjelölt hátrányt szenvedett méltányolható jogos érdekének orvoslása. A bejelentésben érintett személy, valamint nyilvánvalóan rosszhiszemű bejelentés esetén esetleges munkajogi következmények meghatározása és alkalmazása.
(4) Adatkezelés jogalapja:
a. A bejelentő hozzájárulása: a bejelentő jogosult anonim módon megtenni bejelentését, ebben az esetben azonban a Társaság a Panasztv. alapján fenntartja a kivizsgálás mellőzésének jogát.
b. A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a személyes adatokat a Panasztv. rendelkezései alapján, kizárólag a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatokat - ideértve a különleges adatokat és a bűnügyi személyes adatokat is – a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezeli.
(5) Az adatkezelés időtartama
a. Ha a vizsgálat alapján a bejelentés nem megalapozott vagy további intézkedés megtétele nem szükséges, illetve a kivizsgálás mellőzése esetén a Társaság a bejelentésre vonatkozó adatokat a vizsgálat befejezését – mellőzés esetén a mellőzésről hozott döntést – követő 60 napon belül törli (kivéve a Fogyasztóvédelmi törvény szerinti panasz esetén a panasz dokumentációt, amelyet 5 évig őriz meg).
b. Ha a vizsgálat alapján intézkedés megtételére kerül sor - ideértve a bejelentő személlyel szemben jogi eljárás vagy fegyelmi intézkedés megtétele miatti intézkedést is - a Társaság a bejelentésre vonatkozó adatokat a bejelentési rendszerben legfeljebb a bejelentés alapján indított eljárások jogerős lezárásáig kezeli (kivéve a Fogyasztóvédelmi törvény szerinti panasz esetén a panasz dokumentációt, amelyet 5 évig őriz meg).
(6) Címzettek
a. A Panasztv. 15. § (2) bekezdése értelmében a nem anonim bejelentést tevő személy adatait a bejelentést kivizsgálókon kívül más nem ismerheti meg. A bejelentés során megadott személyes adatokat a 14.§ (1) bekezdése értelmében a kivizsgálásban közreműködő külső szervezet részére lehet továbbítani. Más személynek vagy szervezetnek a bejelentésbe foglalt személyes adatokat továbbítani az érintett hozzájárulásának hiányában nem lehet.
b. A bejelentő személyes adatai – az alábbi kivétellel - csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatóak át, ha e szerv annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához a bejelentő egyértelműen hozzájárult.
c. Ha nyilvánvalóvá vált, hogy a bejelentő rosszhiszeműen, döntő jelentőségű valótlan információt közölt és ezzel bűncselekmény vagy szabálysértés elkövetésére utaló körülmény merül fel, személyes adatait az eljárás lefolytatására jogosult szerv vagy személy részére át kell adni, alappal valószínűsíthető, hogy másnak jogellenes kárt vagy egyéb jogsérelmet okozott, személyes adatait az eljárás kezdeményezésére, illetve lefolytatására jogosult szervnek vagy személynek kérelmére át kell adni.
(7) A bejelentési rendszer keretei között kezelt adatok közül a Társaság haladéktalanul törli a fenti követelményeknek nem megfelelő személyes adatokat. A bejelentési rendszer keretei között kezelt személyes adatok kezelésére – így különösen azok továbbíthatóságára – a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény rendelkezései irányadók.
(8) A bejelentésben érintett személyt a Társaság a vizsgálat megkezdésekor részletesen tájékoztatja a rá vonatkozó bejelentésről, a személyes adatai védelmével kapcsolatban őt megillető jogairól, valamint az adatai kezelésére vonatkozó szabályokról.
(9) A bejelentési rendszer kialakítására olyan módon került sor, hogy a nem névtelen bejelentő személyét a bejelentést kivizsgálókon kívül más nem ismerheti meg. A bejelentést kivizsgálók a vizsgálat lezárásáig vagy a kivizsgálás eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyekre vonatkozó információkat kötelesek titokban tartani, és azokat - a bejelentésben érintett személy tájékoztatása kivételével - nem oszthatják meg a Társaság egyetlen más szervezeti egységével vagy munkatársával sem.
III. CIKK
ADATBIZONSÁGI INTÉZKEDÉSEK ÉS ADATVÉDELMI INCIDENSEK
14. § Adatbiztonsági intézkedések
1. A Társaság a technológia mindenkori állását figyelembe véve, valamint a kezelt személyes adatok bizalmasságának, és a felmerülő kockázatok figyelembevételével korszerű technikai, szervezési intézkedésekkel biztosítja a kezelt személyes adatok bizalmasságának, pontosságának és rendelkezésre állásának sértetlenségét.
2. A Társaság által alkalmazott korszerű adatbiztonsági intézkedések mellett sem zárható ki teljességgel, hogy külső támadásból kifolyólag, vagy a Társaság vagy munkatársainak hibájából az érintett személyes adatait érintő adatvédelmi incidens történik. Ilyen incidensek - többek között, például - lehetnek:
• külső (hacker) támadások, adatlopás, adatszivárgás;
• jogosulatlan címzettnek történő elektronikus vagy postai levéltovábbítás; és/vagy
• adatok megsemmisülése, elérhetetlenné válása.
3. Az Adatvédelmi Rendelet 33. cikkének értelmében a valószínűsíthetően kockázattal járó adatvédelmi incidenseket a Társaság az észlelést követően a lehető leghamarabb, de legkésőbb 72 órán belül bejelenti a NAIH-nak. Az értesítésben a Társaság tájékoztatja a hatóságot az incidens jellegéről, az érintettek hozzávetőleges számáról, az incidensben érintett személyes adatok kategóriáiról, a valószínűsíthető következményeket, valamint az esetleges hátrányos következmények enyhítését célzó intézkedéseket.
4. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve (például vagyoni, vagy nem vagyon jellegű kára származhat az incidensből kifolyólag), vagy az értesítést hatóság elrendeli, úgy a Társaság az incidensben érintett személyeket is tájékoztatja az előző bekezdésben foglaltakról.
5. Amennyiben bármely érintett vagy munkatárs a saját, vagy más személy adatait érintő incidensről értesül, vagy arról tudomást szerez, ezen információt jelezheti az hungareat.logisztika@gmail.com címen.
IV. CIKK
AZ ÉRINTETT SZEMÉLY JOGAI
15. § Összefoglaló az érintett jogairól
Az egyes jogokhoz kapcsolódód részletszabályokat lentebb tartalmazza a Szabályzat!
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon (Rendelet 13-14. cikk).
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon (Rendelet 15. cikk). A Szabályzat 13. számú melléklete szerinti tartalommal és formában.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését (Rendelet 16. cikk). A Szabályzat 14. számú melléklete szerinti tartalommal és formában.
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben meghatározott indokok valamelyike fennáll (Rendelet 17. cikk)
A Szabályzat 15. számú melléklete szerinti tartalommal és formában.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a rendeltben meghatározott feltételek teljesülnek (Rendelet 18. cikk)
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről (Rendelet 19. cikk).
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta (Rendelet 20. cikk).
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség, Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (Rendelet 22. cikk).
Korlátozások
Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban (Rendelet 23. cikk).
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről (Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet (Rendelet 77. cikk).
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről (Rendelet 78. cikk).
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait (Rendelet 79. cikk).
V. CIKK
AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE,
AZ ADATKEZELŐ INTÉZKEDÉSEI
(1) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelet 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) egyszeri 5.000.-Ft összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
(6) Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
ADATKEZELÉSI SZABÁLYZAT
KÜLSŐ FELEK ÉS PARTNEREK RÉSZÉRE
Jelen Szabályzat a HungarEat Kft. (a továbbiakban Társaság) adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) – való megfelelés céljából.
A Szabályzat megállapítása és módosítása a vezető tisztségviselő(k) hatáskörébe tartozik.
Kelt, Debrecen, 2024. január 7. napján
I. CIKK
ÁLTALÁNOS RENDELKEZÉSEK
1. § Bevezetés
A Társaság kinyilvánítja, hogy adatkezelési tevékenységét – a megfelelő belső szabályok, technikai és szervezési intézkedések meghozatalával – úgy végzi, hogy az minden körülmények között megfeleljen AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
2. § A Szabályzat célja
(1) A Szabályzat célja azon belső szabályok megállapítása és intézkedések meghozatala, amelyek biztosítják, hogy a Társaság adatkezelő tevékenysége megfeleljen a Rendelet, és az Infotv. rendelkezéseinek.
(2) A Szabályzat célja továbbá, hogy a Rendeletnek, és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való a Társaság általi igazolására szolgáljon.
3. § A Szabályzat hatálya
E Szabályzat hatálya a természetes személyre vonatkozó személyes adatok a Társaság általi kezelésére terjed ki.
4. § Az adatkezelés alapelvei
Az adatkezelési tevékenységeit a Társaság úgy tervezi meg és hajtja végre, hogy minden körülmény között teljesüljenek az adatkezelés az Adatvédelmi Rendelet 5. cikke által elvárt alapelvei.
II. CIKK
SZERZŐDÉSHEZ KAPCSOLÓDÓ VAGY SZERZŐDÉS TELJESÍTÉSÉHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
5. § Szerződő partnerek – mint természetes személyek – adatainak kezelése, vevők, szállítók nyilvántartása
(1) A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói. A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év, vagy abban az esetben, ha a jogviszonyból jogvita származik, annak jogerős befejezését követő 5 év.
(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
6. § Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
(1) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója, beosztása.
(2) A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.
(3) A személyes adatok kezelésének a jogalapja: a Társaság jogos érdeke.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság azon munkavállalói, akik a szerződés teljesítésében részt vesznek.
(5) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 év.
(6) A Társaság jelen adatkezeléshez érdekmérlegelési tesztet végzett, mely alapján megállapította, hogy az adatkezelés szükséges és arányos, a Társaság jogos érdeke az adatkezelés jogalapjául szolgálhat.
7. § Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
(2) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Az adatkezelés jogalapja: az érintett hozzájárulása. A Pályázat elküldésével a Társaság a hozzájárulást megadottnak tekinti.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, munkahelyi vezető.
(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. A Társaság törli azok adatait is, akik jelentkezésüket, pályázatukat visszavonták.
(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat azok elbírálását követően 2 évig, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás megelőzően vagy annak lezárását követően kell kérni a jelentkezőktől (19. számú melléklet szerint).
8. § Online jelentkezés munkafelvételre
(1) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím.
(2) A személyes adatok kezelésének célja: az önéletrajz megküldése során megadott személyes adatokat a meghirdetett pozíció betöltése és a pozícióra megfelelő új munkavállaló kiválasztása céljából kezeli a Társaság. Az önéletrajzban szereplő személyes adatok megadása nem jogszabályon vagy szerződéses kötelezettségen alapul, nem előfeltétele szerződés megkötésének, tehát a jelentkező nem köteles ezen adatokat megadni. Az adatkezelésre vonatkozó tájékoztató a Társaság online felületén elérhető linken keresztül érhető el. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Az adatkezelés jogalapja: az érintett hozzájárulása. Az önéletrajz beküldésével a Társaság a hozzájárulást megadottnak tekinti.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, munkahelyi vezető, adatfeldolgozóként a Társaság IT szolgáltatója tárhelyszolgáltatást végző munkavállalói.
(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. A Társaság törli azok adatait is, akik jelentkezésüket, pályázatukat visszavonták.
(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat azok elbírálását követően 2 évig, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás megelőzően vagy annak lezárását követően kell kérni a jelentkezőktől. (19. számú melléklet)
9. Ki- és belépés a Társaság területére (nem munkavállalókra vonatkozó szabályok)
(1) A nem munkavállaló, vagy nem saját munkavállaló – a továbbiakban vendég – belépőkről nyilvántartást vezetnek. A vendégek adatait (név, fogadó, látogatás célja, belépés ideje, kilépés ideje, a fogadó aláírása) egy „Beléptető” nyomtatványon rögzítik.
(2) Az orvosi rendelőbe érkezők az „orvosi rendelő” kártyát kapják meg.
(3) A munkaügyre érkezők a „munkaügy” kártyát kapják meg.
(4) Az egyéb célból a gyár területére belépők a „visitor” kártyát kapják meg.
(5) A gyár területére tartós munkavégzés céljából belépő, de nem a társaság alkalmazottai a „zöld” kártyát kapják meg.
(6) Ha a Társaság vendége a gyártás területére is belép, akkor nyilatkoznia kell arról:
- szenved-e jelenleg, illetve az elmúlt 3 hónapban hasmenéssel, vagy egyéb gyomorbántalmi tünetekkel járó fertőző betegségben, vagy bármely egyéb, járványos megbetegedésben?
- Érintkezett-e a közelmúltban olyan személlyel, aki súlyos fertőző betegségben szenvedett, vagy annak potenciális kockázata állhatott fenn? (pl. csak egészségügyi védőoltást követhetően látogatható külföldi országban.)
- Szenvedett-e az elmúlt három hónapban bármilyen bőrbetegségben, ekcéma, bőrgyulladás, stb. Van-e elfertőződött seb a kezein, ujjain?
- Járt-e Európai Unión kívüli, illetve járvány sújtotta országban az utóbbi 3 hónapban?
- Érintkezett-e bárkivel, aki ételfertőzés okozta megbetegedésben szenvedett az elmúlt 3 hónapban?
(5) A kezelhető személyes adatok köre: a természetes személy neve, lakcíme, gépkocsi rendszáma, belépés, kilépés ideje, valamint a (6) bekezdésben megjelölt nyilatkozatok.
(6) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(7) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése, élelmiszer gyártástechnológiai szabályok betartása.
(8) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai, ellenőrzésre jogosult szakhatóság képviselői.
(9) A személyes adatok kezelésének időtartama: 24 óra, kivéve a „zöld” kártyával rendelkező vendégeket, akiknek az adatait a gyár területére történő utolsó belépésüktől számított 24 óráig kezelik.
10. § Teherportai belépésre vonatkozó szabályok (nem munkavállalókra vonatkozó szabályok)
(1) A Társaság területén dolgozó más vállalkozások dolgozóiról a portaszolgálat előzetes listát kap, amely a vállalkozás nevét, a belépő személy nevét és amennyiben gépkocsi is van, annak a rendszámát tartalmazza. Belépéskor a be,- illetve a kilépés tényét a biztonsági cég rögzíti.
(2) A belépő késztermékszállítás miatt érkező kamionok a teherportai rendszerbe rögzítik, majd a raklap kísérőn a kamionra és a rakományra vonatkozó adatok mellett a sofőr nevét is rögzítik.
(3) A nyersáru beszállító kamionok esetében teherportai nyilvántartó rendszerben rögzítik a sofőr nevét is a rakomány adataival együtt.
(4) A teherportai mérlegelésre érkezett gépkocsi adatainak felvételekor felvételre kerül a sofőr neve is.
A nyilvántartásokat a biztonsági cég őrzi, a betelt nyomtatványtömböket és összesítő listákat az irattárba helyezik. Az irattár zárható helyen került kialakításra.
(5) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(6) A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése.
(7) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, adatfeldolgozóként a Társaság vagyonvédelmi megbízottjának foglalkoztatottjai.
Az adatfeldolgozóként igénybevett szolgáltató:
(8) A személyes adatok kezelésének időtartama: 6 hónap.
11. § Szondáztatás (nem munkavállalókra vonatkozó szabályok)
(1) Szondás ellenőrzést kell foganatosítani mindazon esetekben, amikor a Társaság területére belépni szándékozó vagy az objektum területén tartózkodó személyére vonatkozóan alkoholos befolyásoltságra utaló gyanú merül fel.A szondás ellenőrzés a gyanú megerősítésére, bizonyítására vagy kizárására irányul. A szondás ellenőrzést kell továbbá alkalmazni a szándékos vagy gondatlan rongálást, illetőleg a Társaság területén balesetet szenvedett személy esetében is, amennyiben az elsősegélynyújtást követően a balesetet szenvedett állapota azt lehetővé teszi. Külsős cég foglalkoztatottja esetében az ellenőrzésnél az ellenőrzött munkáltatójának képviselője, vagy közvetlen vezetőjének jelenléte szükséges.
(2) A szondáztatáskor a nevet veszik nyilvántartásba. Amennyiben a mérés eredménye pozitív, jegyzőkönyv felvételére került sor. A jegyzőkönyvben rögzítésre kerül a név, a lakcím, a belépőkártya száma.
(3) Vitás esetben vérvétel is kérhető. Ebben az esetben a portaszolgálaton találhatóak az ehhez szükséges eszközök. A vérvétel azonban külső helyszínen található egészségügyi szolgáltatóban történik. Erről is minden esetben jegyzőkönyv készül.
(4) Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
(5) A személyes adatok kezelésének célja: vagyon- és személyvédelem.
(6) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság vezető tisztségviselői, külsős cég foglalkoztatja esetében az ellenőrzésnél az ellenőrzött munkáltatójának képviselője vagy közvetlen vezetője.
(7) A személyes adatok kezelésének időtartama: 6 hónap.
12. § Kamerás megfigyeléssel kapcsolatos adatkezelés
(1) A Társaság területén az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely kép-, hang-, vagy kép- és hangrögzítést is lehetővé tesz, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
A gyár területén elhelyezett kamerák felsorolását a jelen Szabályzat 11. számú melléklete tartalmazza.
(2) Ezen adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
(3) Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A tájékoztatás mintája jelen Szabályzat 4. számú mellékletét képezi.
(4) A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) kép és hangfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
(5) A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig lehet megőrizni. Felhasználásnak az minősül, ha a rögzített kép-, hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni.
(6) Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
(7) Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
(8) Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
(9) Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője és helyettese, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
13.§ Munkáltatói visszaélés-bejelentési rendszerrel kapcsolatos adatkezelés
(1) A bejelentő személyazonosságát – ha az annak megállapításához szükséges adatokat megadta - a Társasága vizsgálat valamennyi szakaszában bizalmasan kezeli és biztosítja a bejelentő személyes adatai kezelésére vonatkozó jogszabályi előírások betartását.
(2) A Társaság a bejelentési rendszer keretei között a bejelentőnek és annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, vagy aki a bejelentésben foglaltakról érdemi információval rendelkezhet, a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatait - ideértve a különleges adatokat és a bűnügyi személyes adatokat is – kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezelheti és a bejelentővédelmi ügyvéd, illetve a bejelentés kivizsgálásában közreműködő külső szervezet részére továbbíthatja.
(3) Adatkezelés célja a visszaélés-bejelentési rendszeren keresztül érkezett panaszbejelentések kivizsgálása a Panasztv. 14. § (1) bekezdése alapján, valamint a 14. § (6) bekezdése szerint az érintett a panaszában megjelölt hátrányt szenvedett méltányolható jogos érdekének orvoslása. A bejelentésben érintett személy, valamint nyilvánvalóan rosszhiszemű bejelentés esetén esetleges munkajogi következmények meghatározása és alkalmazása.
(4) Adatkezelés jogalapja:
a. A bejelentő hozzájárulása: a bejelentő jogosult anonim módon megtenni bejelentését, ebben az esetben azonban a Társaság a Panasztv. alapján fenntartja a kivizsgálás mellőzésének jogát.
b. A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a személyes adatokat a Panasztv. rendelkezései alapján, kizárólag a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatokat - ideértve a különleges adatokat és a bűnügyi személyes adatokat is – a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezeli.
(5) Az adatkezelés időtartama
a. Ha a vizsgálat alapján a bejelentés nem megalapozott vagy további intézkedés megtétele nem szükséges, illetve a kivizsgálás mellőzése esetén a Társaság a bejelentésre vonatkozó adatokat a vizsgálat befejezését – mellőzés esetén a mellőzésről hozott döntést – követő 60 napon belül törli (kivéve a Fogyasztóvédelmi törvény szerinti panasz esetén a panasz dokumentációt, amelyet 5 évig őriz meg).
b. Ha a vizsgálat alapján intézkedés megtételére kerül sor - ideértve a bejelentő személlyel szemben jogi eljárás vagy fegyelmi intézkedés megtétele miatti intézkedést is - a Társaság a bejelentésre vonatkozó adatokat a bejelentési rendszerben legfeljebb a bejelentés alapján indított eljárások jogerős lezárásáig kezeli (kivéve a Fogyasztóvédelmi törvény szerinti panasz esetén a panasz dokumentációt, amelyet 5 évig őriz meg).
(6) Címzettek
a. A Panasztv. 15. § (2) bekezdése értelmében a nem anonim bejelentést tevő személy adatait a bejelentést kivizsgálókon kívül más nem ismerheti meg. A bejelentés során megadott személyes adatokat a 14.§ (1) bekezdése értelmében a kivizsgálásban közreműködő külső szervezet részére lehet továbbítani. Más személynek vagy szervezetnek a bejelentésbe foglalt személyes adatokat továbbítani az érintett hozzájárulásának hiányában nem lehet.
b. A bejelentő személyes adatai – az alábbi kivétellel - csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatóak át, ha e szerv annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához a bejelentő egyértelműen hozzájárult.
c. Ha nyilvánvalóvá vált, hogy a bejelentő rosszhiszeműen, döntő jelentőségű valótlan információt közölt és ezzel bűncselekmény vagy szabálysértés elkövetésére utaló körülmény merül fel, személyes adatait az eljárás lefolytatására jogosult szerv vagy személy részére át kell adni, alappal valószínűsíthető, hogy másnak jogellenes kárt vagy egyéb jogsérelmet okozott, személyes adatait az eljárás kezdeményezésére, illetve lefolytatására jogosult szervnek vagy személynek kérelmére át kell adni.
(7) A bejelentési rendszer keretei között kezelt adatok közül a Társaság haladéktalanul törli a fenti követelményeknek nem megfelelő személyes adatokat. A bejelentési rendszer keretei között kezelt személyes adatok kezelésére – így különösen azok továbbíthatóságára – a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény rendelkezései irányadók.
(8) A bejelentésben érintett személyt a Társaság a vizsgálat megkezdésekor részletesen tájékoztatja a rá vonatkozó bejelentésről, a személyes adatai védelmével kapcsolatban őt megillető jogairól, valamint az adatai kezelésére vonatkozó szabályokról.
(9) A bejelentési rendszer kialakítására olyan módon került sor, hogy a nem névtelen bejelentő személyét a bejelentést kivizsgálókon kívül más nem ismerheti meg. A bejelentést kivizsgálók a vizsgálat lezárásáig vagy a kivizsgálás eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyekre vonatkozó információkat kötelesek titokban tartani, és azokat - a bejelentésben érintett személy tájékoztatása kivételével - nem oszthatják meg a Társaság egyetlen más szervezeti egységével vagy munkatársával sem.
III. CIKK
ADATBIZONSÁGI INTÉZKEDÉSEK ÉS ADATVÉDELMI INCIDENSEK
14. § Adatbiztonsági intézkedések
1. A Társaság a technológia mindenkori állását figyelembe véve, valamint a kezelt személyes adatok bizalmasságának, és a felmerülő kockázatok figyelembevételével korszerű technikai, szervezési intézkedésekkel biztosítja a kezelt személyes adatok bizalmasságának, pontosságának és rendelkezésre állásának sértetlenségét.
2. A Társaság által alkalmazott korszerű adatbiztonsági intézkedések mellett sem zárható ki teljességgel, hogy külső támadásból kifolyólag, vagy a Társaság vagy munkatársainak hibájából az érintett személyes adatait érintő adatvédelmi incidens történik. Ilyen incidensek - többek között, például - lehetnek:
• külső (hacker) támadások, adatlopás, adatszivárgás;
• jogosulatlan címzettnek történő elektronikus vagy postai levéltovábbítás; és/vagy
• adatok megsemmisülése, elérhetetlenné válása.
3. Az Adatvédelmi Rendelet 33. cikkének értelmében a valószínűsíthetően kockázattal járó adatvédelmi incidenseket a Társaság az észlelést követően a lehető leghamarabb, de legkésőbb 72 órán belül bejelenti a NAIH-nak. Az értesítésben a Társaság tájékoztatja a hatóságot az incidens jellegéről, az érintettek hozzávetőleges számáról, az incidensben érintett személyes adatok kategóriáiról, a valószínűsíthető következményeket, valamint az esetleges hátrányos következmények enyhítését célzó intézkedéseket.
4. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve (például vagyoni, vagy nem vagyon jellegű kára származhat az incidensből kifolyólag), vagy az értesítést hatóság elrendeli, úgy a Társaság az incidensben érintett személyeket is tájékoztatja az előző bekezdésben foglaltakról.
5. Amennyiben bármely érintett vagy munkatárs a saját, vagy más személy adatait érintő incidensről értesül, vagy arról tudomást szerez, ezen információt jelezheti az hungareat.logisztika@gmail.com címen.
IV. CIKK
AZ ÉRINTETT SZEMÉLY JOGAI
15. § Összefoglaló az érintett jogairól
Az egyes jogokhoz kapcsolódód részletszabályokat lentebb tartalmazza a Szabályzat!
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon (Rendelet 13-14. cikk).
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon (Rendelet 15. cikk). A Szabályzat 13. számú melléklete szerinti tartalommal és formában.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését (Rendelet 16. cikk). A Szabályzat 14. számú melléklete szerinti tartalommal és formában.
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben meghatározott indokok valamelyike fennáll (Rendelet 17. cikk)
A Szabályzat 15. számú melléklete szerinti tartalommal és formában.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a rendeltben meghatározott feltételek teljesülnek (Rendelet 18. cikk)
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről (Rendelet 19. cikk).
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta (Rendelet 20. cikk).
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség, Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (Rendelet 22. cikk).
Korlátozások
Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban (Rendelet 23. cikk).
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről (Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet (Rendelet 77. cikk).
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről (Rendelet 78. cikk).
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait (Rendelet 79. cikk).
V. CIKK
AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE,
AZ ADATKEZELŐ INTÉZKEDÉSEI
(1) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelet 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) egyszeri 5.000.-Ft összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
(6) Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.