;

 ADATVÉDELMI TÁJÉKOZTATÓ ASTON PROFESSION KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG
– személyzeti szolgáltatásaira vonatkozóan – 

1. Bevezetés 

Az Aston Profession Korlátolt Felelősségű Társaság (székhelye: 2724 Újlengyel, Petőfi Sándor u. 48., a továbbiakban: Adatkezelő), magára nézve kötelezőnek ismeri el jelen adatvédelmi szabályzat tartalmát, valamint kötelezettséget vállal arra, hogy a személyzeti szolgáltatásaival összefüggő minden adatkezelés a jelen adatkezelési szabályzatban és a hatályos jogszabályokban meghatározottaknak megfelel, különös tekintettel az alábbiakra: 

az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Infotv.), 

az Európai Parlament és a Tanácsa a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló 2016/679/EU rendeletet (a továbbiakban: GDPR), 

a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.), 

az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény. 

Az Adatkezelő a jelen adatkezelési szabályzatával garanciát vállal arra, hogy a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, szervezési és technikai intézkedést, amely az adatok biztonságát megóvja. 

Adatkezelő fenntartja magának a jogot jelen adatvédelmi tájékoztató módosítására. A módosított, egységes szerkezetű tájékoztatót az Adatkezelő a weboldalán történő feltöltéssel teszi közzé, illetve szükség esetén a változásokról, esetleges módosításokról minden érintett kellő időben, megfelelő tájékoztatást kap. 

A jelen tájékoztató teljes terjedelmében folyamatosan elérhető az adatkezelés tényleges helyszínén, a 2536 Nyergesújfalu, Széchenyi u. 2/4. szám alatt. 

Adatkezelő elérhetőségei: 

Székhely: 2724 Újlengyel, Petőfi Sándor u. 48. 

Levelezési cím: 2724 Újlengyel, Petőfi Sándor u. 48. 

Cégjegyzékszám: 13-09-173725 

Adószám: 23520547-2-13 

Képviseli: Soós Péter ügyvezető 

Telefon: +36 33 788-218 

Fax: +36 33 788-219 

E-mail cím: info@astongroup.hu 

Weboldal: http://www.astongroup.hu 

2. Fogalmak 

Személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen és közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó, egy vagy több tényező alapján azonosítható.

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül, vagy közvetve – azonosítható természetes személy. 

Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok közléséhez. 

Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. 

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan, vagy másokkal együtt meghatározza. Amennyiben az adatkezelés céljait és eszközeit az uniós vagy tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó külön szempontokat az uniós vagy a tagállami jog is meghatározhatja. 

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. 

Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik. 

Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik. 

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. 

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. 

Harmadik fél: olyan természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak. 

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek. Az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak. 

Harmadik ország: minden olyan állam, amely nem EGT-állam. 

3. Az Adatkezelő adatkezelési alapelvei 

A személyes adatok kezelését jogszerűen, tisztességesen, valamint az érintett számára átlátható módon lehet végezzük, a gyűjtés, kezelés csak meghatározott, egyértelmű és jogszerű célból történik. Az adatkezelés a céljai szempontjából megfelelően és relevánsan történik, a szükséges mértékre korlátozódik.

Személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelünk, amely az adatkezelés minden szakaszára vonatkozik. Az adatoknak pontosnak és lehetőség szerint naprakésznek kell lenniük, a pontatlan személyes adatokat haladéktalanul töröljük vagy helyesbítjük. Tárolásuk csak a kezelés céljainak eléréshez szükséges ideig történik, kivéve, ha a hosszabb tárolást nemzeti vagy uniós jogszabály írja elő vagy engedi meg. 

Az adatkezelés technikailag oly módon történik, hogy a személyes adatok biztonsága biztosítva legyen. 

A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárul, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. 

Személyes adat (beleértve a különleges adatot is) az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. Az EGT-államokba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyarország területén belüli adattovábbításra kerülne sor. 

Bíróság, ügyészség és nyomozó hatóság, illetőleg jogszabályi felhatalmazás alapján más szervek megkereshetik az Adatkezelőt tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása céljából. A megkeresésben az adatkezelés pontos célját és a kért adatok körét meg kell jelölni. A megkeresés csak annyi és olyan személyes adatra vonatkozhat, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges. 

A személyes adatok módosítására az Adatkezelő fenti e-mail címén, vagy személyesen az Adatkezelő irodájában van lehetőség. Érintett a személyes adatok törlését az Adatkezelő fenti e-mail címén kérheti, amely kérelem az adatbázisból való törlést is jelenti egyben. 

Amennyiben az Adatkezelő az érintettek személyes adatait önkéntes hozzájárulásuk alapján kezeli, az érintetteknek bármikor joga van a hozzájárulásukat visszavonni, amely azonban nem érinti az Adatkezelőnek a hozzájárulásuk visszavonását megelőzően végzett adatkezelésének jogszerűségét. 

4. Adatkezelés 

Az Adatkezelő személyzeti szolgáltatásai körében végzett valamennyi adatkezelés adatvédelem hatálya alá tartozik. Adatkezelő személyes adatok vonatkozásában történő adatkezelésének pontos jogalapjai az alábbiak: 

a GDPR 6. cikk (1) bekezdés a) pontja szerint az érintett megfelelő tájékoztatáson alapuló önkéntes hozzájárulása az adatkezeléshez (a továbbiakban: Hozzájárulás), 

a GDPR 6. cikk (1) bekezdés b) pontja szerint az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a munkavállaló, mint érintett az egyik fél (a továbbiakban: Szerződés teljesítése), 

a GDPR 6. cikk (1) bekezdés c) pontja szerint az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (mint például számviteli, könyvviteli kötelezettség teljesítése – a továbbiakban: Jogi kötelezettség teljesítése), 

a GDPR 6. cikk (1) bekezdés f) pontja szerint az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (a továbbiakban: Jogos érdek).

Az érintettel az adatkezelés megkezdése előtt közlésre kerül, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Kötelező adatkezelés esetén a tájékoztató a jogszabályi rendelkezésre való utalás nyilvánosságra hozatalával is megvalósul. Az érintett munkavállalók – egyértelműen és részletesen – az adatkezelés megkezdésekor, külön nyilatkozatban is tájékoztatva vannak az adataik kezelésével kapcsolatos minden releváns tényről, így különösen az adatkezelés céljáról és jogalapjáról az adatkezelésre jogosult személyről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatás kiterjed az érintettek adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. 

4.1. Munkaerő-kölcsönzés, illetve munkaerő-közvetítés során végzett adatkezelés 

Az Adatkezelő munkaerő-felvétel során az álláspályázatban szereplő úton vagy módon (pl. elektronikus vagy papír alapon) jogosult megismerni az Adatkezelő által meghirdetett pozícióra jelentkező természetes személy pályázati anyagában megadott, és általa e-mailben, vagy egyéb üzenetküldő szolágáltatás révén megküldött, illetve telefonon vagy személyesen szóban megadott személyes adatait, amelyeket közvetlenül vagy közvetve juttat el az Adatkezelőhöz. A jelentkező hozzájárulása akkor tekinthető jogszerűnek, ha 

önkéntes, 

álláspályázatának elbírálására vonatkozik, 

megfelelő tájékoztatáson alapul, és 

egyértelmű akaratnyilatkozat. 

Az Adatkezelő a munkaerő-felvételre jelentkezést, érintett általi adatküldést, információátadást minden esetben önkéntesnek és jogszerűnek tekinti, ennek esetleges jogellenességét az érintett köteles bizonyítani. A jelentkező a személyes adatainak kezelésére vonatkozó hozzájárulását az Adatkezelővel történő első személyes egyeztetése alkalmával, külön írásbeli nyilatkozatban is megerősíti. 

Adatkezelő a munkaerő-felvétel céljából közzétett hirdetésben jogosult megjelölni, hogy a meghirdetett pozícióra jelentkező személy a jelentkezés tényével tudomásul veszi azt, hogy a pályázati anyagában megjelölt személyes adatai vonatkozásában az Adatkezelő adatkezelést hajt végre, illetve, hogy a pályázati anyag megküldésével az érintett kifejezetten hozzájárul e személyes adatai Adatkezelő általi megismeréséhez és kezeléséhez. 

Az Adatkezelő a kapcsolatfelvételt célzó, vagy az érintett kapcsolatfelvétele során – a kapcsolatfelvétel módjától függően – szóban vagy írásban felhívja az érintett figyelmét arra, hogy a megküldött pályázati anyagában, e-mail üzenetében megjelölt, vagy szóban megadott személyes adatai vonatkozásában az Adatkezelő adatkezelést hajt végre, illetve, hogy írásban – ilyen tartalmú – válaszával vagy olvasási visszaigazolásával kifejezetten hozzájárul ahhoz, hogy az Adatkezelő e személyes adatait megismerje és kezelje, illetve szóbeli felhatalmazás esetén hozzájárulását köteles írásban is megerősíteni az első személyes kapcsolatfelvétel alkalmával. 

Az Adatkezelő az érintettek pályázati anyagában, üzenetében meghatározott, vagy szóban közölt személyes adatait kizárólag a munkaerő-felvétel céljából, a jelentkező alkalmasságának megállapítása érdekében ismerheti meg és kezelheti. A munkaerő-felvétel során (munkaerő-kölcsönzés, vagy munkaerő-közvetítés esetén is) kezelt adatok köre és célja: 

név 

azonosítás 

szül. hely, idő 

azonosítás 

lakcím 

kapcsolattartás, a jelentkező érintett számára megfelelő pozíció kiajánlásához szükséges 

telefonszám 

kapcsolattartás 

e-mail cím 

kapcsolattartás

megpályázott pozíció neve 

jelentkezés beazonosításához szükséges 

különleges adat (pl. egészségügyi adat) 

különleges adat kezelésére csak akkor kerül sor, ha az a pozíció betöltésének elbírálásához szükséges 

tapasztalatok – korábbi munkahely neve és az ott eltöltött időszak 

pozíció betöltésének elbírálásához szükséges a munkatapasztalat 

tapasztalatok – pozíció leírása 

pozíció betöltésének elbírálásához szükséges a munkatapasztalat 

iskolai végzettség 

pozíció betöltésének elbírálásához szükséges az iskolai végzettség 

idegen nyelvismeret, idegen nyelv és ismeret foka 

pozíció betöltésének elbírálásához szükséges az idegen nyelvismeret 

csatolt önéletrajz egyéb adatai 

pozíció betöltésének elbírálásához szükséges az önéletrajz, és annak munkakörhöz releváns adatai 

csatolt motivációs levél 

pozíció betöltésének elbírálásához szükséges a motivációs levél 

érintett által megjelölt fizetési igény 

pozíció betöltésének elbírálásához kerül felhasználásra 

érintett által önkéntesen becsatolt referencia levél 

pozíció betöltésének elbírálásához kerül felhasználásra 

érintett által önkéntesen becsatolt diploma, nyelvvizsga vagy más dokumentum másolata 

pozíció betöltésének elbírálásához kerül felhasználásra 

felmondási idő 

pozíció betöltésének elbírálásához kerül felhasználásra 

lehetséges munkába állás dátuma 

pozíció betöltésének elbírálásához kerül felhasználásra 

adatok jelentkezést követő 2 évig történő kezeléséhez való hozzájárulás jelzése, ha az érintett nem nyer felvételt 

ki nem választás esetén történő adatkezelés jogalapjához szükséges 

A fenti adatok kezelésének célja az álláspályázatra történő jelentkezés, valamint a kapcsolattartás. 

Az Adatkezelő a jelentkezőről – a pályázati anyagában megadott személyes adatokon túl – jogszerűen más munkaerő-közvetítők, álláshirdetési portálok adatbázisából is beszerezheti az érintettek által önkéntesen közzétett személyes adatait, ezen álláshirdetési portálokkal, munkaerő-közvetítőkkel kötött szerződése alapján, ezen források az alábbiak: CVOnline.hu (Russmedia Digital Kft.), Profession.hu (Profession.hu Kft.) és Jobline.hu (HVG Kiadó Zrt.). 

A fentieken túl, az Adatkezelő a jelentkező közösségi médiaprofiljának vizsgálata során (Linkedin profilja és Facebook profilja) is beszerezheti az érintett jelentkezők önéletrajzát, továbbá olyan, bárki számára hozzáférhető, nyilvánosan megjelenő adatát, amely a jelentkező pályázati anyagából hiányzik, és az adott munkakör betöltése szempontjából releváns. Az Adatkezelő csak az érintettről a közösségi média felületeken nyilvánosan elérhető adatokat tekinti meg, zárt csoportokban vagy egyéb nem, vagy korlátozottan nyilvános helyeken nem kutat a jelentkezők után. Az Adatkezelő nem menti le és nem tárolja az érintettek közösségi média profiljait. Emellett az Adatkezelő az érintettek által a közösségi oldalakon, apróhirdetési felületeken önkéntesen közzétett személyes adatokat (név és telefonszám) szerezheti be a kapcsolat felvétele céljából. 

Adatkezelő emellett az érintettről az általa lefolytatott toborzási eljárás, megtartott interjúk és elvégzett alkalmassági feladatok, tesztek során is keletkező személyes adatokat is kezeli, amennyiben az álláshirdetést feladó, az Adatkezelővel szerződött munkáltató azt kéri. A 

szakmai tesztek, alkalmassági vizsgálatok részleteit, dokumentációját az Adatkezelő részéről annak elvégzésében eljárt szakemberek, és a jelentkezők, mint érintettek ismerhetik meg, az Adatkezelő ezeket nem továbbítja a munkáltatóknak, a munkáltató az Adatkezelőtől csak azt az információt kapja meg, hogy az adott álláshirdetésben megjelölt munkakör betöltésére az érintett alkalmas-e. 

Amennyiben az adott jelentkező vonatkozásában a munkaerő-felvétel sikertelen vagy az Adatkezelő által tett ajánlatot a jelentkező elutasítja, úgy az Adatkezelő – a hozzájárulási nyilatkozatot és annak adattartalmát leszámítva, amennyiben nem járul hozzá adatainak az Adatkezelő általi további kezeléséhez – a jelentkező valamennyi általa kezelt személyes adatát késedelem nélkül törölni köteles és erről köteles tájékoztatni a jelentkezőt. Ilyen esetben az Adatkezelő a hozzájárulási nyilatkozatot jogos érdekének védelme és érvényesítése érdekében az általános elévülési idő leteltéig megőrzi. 

Sikertelen munkaerő-felvétel esetén az Adatkezelő írásban, külön kéri a hozzájárulást az adatok további, a jelentkezést követő 2 évig történő kezeléséhez ugyanilyen vagy hasonló, vagy az érintett kompetenciáinak megfelelő álláspályázat ajánlása érdekében, amennyiben ilyen hozzájárulást az érintett korábban nem adott. 

Amennyiben a munkaerő-felvétel sikeres, úgy a jelentkező által megadott azon adatok, amelyeket az Adatkezelő vagy más munkáltató jogcím birtokában kezelhet, a munkavállalóról kezelt személyes adatok részét képezik azzal, hogy annak kezeléséhez a leendő munkavállaló – a munkaszerződés aláírását megelőzően – köteles hozzájárulni. 

A jelentkezők, mint érintettek az adatkezeléshez történő hozzájárulásukat bármikor visszavonhatják az Adatkezelő fenti e-mail címére megküldött e-mail üzenetben, vagy levélcímére megküldött postai levélben, ahol kötelezően megadandó adatok: név, születési idő és e-mail cím, annak érdekében, hogy az Adatkezelő azonosítani tudja, hogy melyik jelentkező adatait kell törölnie. 

A hozzájárulás visszavonása esetén az Adatkezelő a jelentkező összes kezelt adatát törli, így a jelentkező által megadott adatokat, az Adatkezelő által felkutatott adatokat és a más forrásból megszerzett adatokat is. A törlési kötelezettség az elektronikus és papír alapon tárolt adatokra egyaránt kiterjed, és vonatkozik az Adatkezelő által a Jelöltre vonatkozóan készített feljegyzésekre és levont következtetésekre is. 

Az Adatkezelő az egy adott álláshirdetésre jelentkező adatait, önéletrajzát akkor továbbítja más munkáltatónak, és akkor kezeli saját adatbázisában jövőbeli egyéb állásajánlatok küldése céljából, ha ehhez a jelentkező írásban külön hozzájárult. 

4.2. Munkavállalók adatainak nyilvántartása 

Adatkezelő a hatályos jogszabályok előírásai alapján köteles adatokat felvenni, és adatokat átadni az állami adóhatóság irányába biztosítási jogviszony, így munkaviszony létesítése, egyszerűsített foglalkoztatás vagy megbízási jogviszony esetén is. 

A jogviszony létesítése önkéntes hozzájáruláson alapul, azonban az adatszolgáltatás az állami adóhatóság felé, így az adatok felvétele, tehát az adatkezelés kötelező az adózás rendjéről szóló 2017. évi CL. törvény 1. sz. melléklet 3. pontja alapján. 

E kötelezettség minden érintettre vonatkozik, aki az Adatkezelővel munkaviszonyt, vagy egyéb jogviszonyt létesít, amellyel kapcsolatban az Adatkezelőnek bejelentési kötelezettsége fakad. 

Az Adatkezelő által kezelt, állami adó- és vámhatóság felé szolgáltatott adatok köre munkaviszony esetén: 

biztosított családi és utóneve*, adóazonosító jel*, születési idő*, biztosítási jogviszonyának kezdete*, kódja*, megszűnése*, a biztosítás szünetelésének időtartama*, a heti munkaidő*, a FEOR-szám*, a TAJ szám*, a végzettségét, szakképzettségét, szakképesítését, továbbá az ezt igazoló okiratot kibocsátó intézmény neve és az okirat száma*. Amennyiben a biztosított nem rendelkezik adóazonosító jellel, a születési családi és utónevét, születési helyét, anyja születési családi és utónevét és a biztosított állampolgárságát is kötelező bejelenteni*, bankszámlaszám, személyazonosító igazolvány száma, telefonszám, e-mail cím, érintett személyes képmása, idegen nyelv tudása, munkakör, munkaköri leírás, vezetői megbízások, gyakornoki idő, vizsga, próbaidő, fegyelmi eljárás, büntetés, felmentés, fizetési fokozat, munkában töltött idő, munkaviszonyba beszámítható idő, besorolással kapcsolatos adatok. 

A *-gal jelölt adatok kezelése és elsőfokú adóhatóság felé történő bejelentése a 2017. évi CL. törvény 1. melléklet 3. pontja alapján kötelező. 

Amennyiben a személyes adatot közokirat (pl. hatósági igazolvány) tartalmazza, úgy a kérelmező köteles felmutatni, illetve másolatban az Adatkezelő részére átadni a személyes adat tartalmát igazoló közokiratot. 

A jelen alpontban rögzített adatkezelés célja a jogszabályok szerinti kötelezettségek teljesítése. Adatkezelő az adatokat az érintett munkavállaló kilépésének naptári éve végétől számított 5 évig tartja nyilván, azzal, hogy a munkaügyi-, bér- és társadalombiztosítási nyilvántartásokat leselejtezni tilos. 

Az Adatkezelő az érintettet minden esetben tájékoztatja, hogy az adóhatóság felé, törvényen alapuló bejelentési kötelezettsége van a kötelezően megadandó adatok vonatkozásában, amelyet az érintett írásban tudomásul vesz. Amennyiben érintett nem kívánja tudomásul venni a törvényi kötelezettségek teljesítését, azokhoz nem járul hozzá, vele munkaviszony, egyszerűsített foglalkoztatási jogviszony vagy megbízási jogviszony nem létesíthető. 

Adatkezelő a törvényi kötelezettségeket teljesítendő, a kötelezően megadandó adatokat a saját adóazonosító számának, nevének, elnevezésének, székhelyének, telephelyének és adószámának közlésével, az illetékes elsőfokú állami adóhatóságnak elektronikus úton vagy az erre a célra rendszeresített nyomtatványon történő bejelentéssel adja át. 

A jelen alpont szerinti adatkezelés során az adatokat az Adatkezelőnek kizárólag azon munkatársai kezelik, akiknek az egyes, szükséges műveletek végzése során az adatkezelése elengedhetetlen, és akik jelen Adatvédelmi Tájékoztató tartalmát megismerték. 

Munkaviszony esetén az Adatkezelő írásban, külön kéri a hozzájárulást a fenti személyes adatok további, a jelentkezést követő 2 évig történő kezeléséhez ugyanolyan vagy hasonló, vagy az érintett kompetenciáinak megfelelő álláspályázat ajánlása érdekében, amennyiben ilyen hozzájárulást az érintett korábban nem adott. Ebben az esetben az adatkezelés az érintettek önkéntes hozzájárulásán alapul. 

4.3. HR Tanácsadási feladatokkal kapcsolatos adatkezelés 

Adatkezelő a személyzeti szolgáltatásai között HR tanácsadást is nyújt szerződéses partnerei számára. A tanácsadáson történő részvétel önkéntes hozzájáruláson alapul, és minden természetes személyt érint, aki részt vesz az Adatkezelő által nyújtott tanácsadáson. A tanácsadással összefüggésben kezelt adatok köre és célja:

név* 

azonosítás 

telefonszám 

kapcsolattartás 

e-mail cím* 

kapcsolattartás 

szolgáltatás, tanácsadás részletei* 

válaszadás, tanácsadás 

tanácsadás során feltárt személyes adatok 

válaszadás, tanácsadás 

időpont* 

azonosítás 

A fenti adatok kezelésének célja a tanácsadási szolgáltatás elvégzése, melynek során az Adatkezelő az érintett számára az előre leegyeztetett időpontban megválaszolja az érintett felmerülő kérdéseit és részletes tanácsadást nyújt az érintett számára adott szakterülettel kapcsolatban. Adatkezelő, szükség esetén írásbeli tanácsadással egészíti ki a szóbeli tanácsadást. 

Adatkezelőt a rá vonatkozó jogi és szakmai etikai szabályok alapján üzleti titoktartás köti. A jelen alpontban szabályozott adatkezelés időtartama azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan adatok vonatkozásában pedig, amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a számvitelről 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 évig. 

4.4. Megállapodások megkötésével kapcsolatos adatkezelés 

Adatkezelő az egyes személyzeti szolgáltatásainak (munkaerő-kölcsönzés és közvetítés, HR tanácsadás) nyújtását a szükséges megállapodások előzetes megkötéséhez, mint feltételhez köti, amely által az adott természetes vagy jogi személy az Adatkezelő megbízó szerződéses partnerévé válik. 

A megállapodás megkötése önkéntes hozzájáruláson alapul, a GDPR alkalmazásában az adatkezelés jogalapja a szerződés megkötése, amelynek érintettje minden természetes személy – ideértve a különféle társasági formák képviselőit is – aki az Adatkezelővel személyes adatainak megadása mellett megállapodást köt az Adatkezelő szolgáltatásainak igénybevételére. Az adatkezeléssel érintett adatok köre és célja: 

név* 

azonosítás 

telefonszám* 

kapcsolattartás 

e-mail cím* 

kapcsolattartás 

szolgáltatás tárgya, tartalma 

szerződés tartalmi eleme 

díjazás 

szerződés tartalmi eleme 

jogok és kötelezettségek 

szerződés tartalmi eleme 

Az adatkezelés célja az érintett azonosítása, az érintett vagy az általa képviselt szervezet számára megfelelő szolgáltatás nyújtása a megállapodás rendelkezéseinek megfelelően, valamint a kapcsolattartás. 

Az érintettek a szerződés megkötéséhez önkéntesen és befolyásmentesen adják meg az Adatkezelő számára a személyes adataikat. Az adatkezelés időtartama azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan adatok vonatkozásában pedig, amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 évig.

4.5. Hírlevél-küldő szolgáltatással kapcsolatos adatkezelés 

Adatkezelő leendő és meglévő szerződéses partnerei, mint érintettek az Adatkezelő szolgáltatásainak igénybevétele előtt vagy során, vagy egyéb más módon a nevük/cégnevük és e-mail címük megadásával iratkozhatnak fel az Adatkezelő hírlevelére. 

A hírlevélre történő feliratkozás önkéntes hozzájáruláson alapul, amely minden természetes vagy jogi személyt érint, aki az Adatkezelő céges szolgáltatásairól rendszeresen értesülni kíván, ezért neve/cégneve és e-mail címe megadásával a hírlevél szolgáltatásra feliratkozik. 

A hírlevél küldéssel kapcsolatos adatkezelés célja a címzett teljes körű általános, vagy személyre szabott tájékoztatása az Adatkezelő személyzeti szolgáltatásairól. 

Hírlevél kiküldése kizárólag az érintett előzetes hozzájárulásával történik. A kezelt adatok köre kizárólag az érintett nevére/cégnevére és e-mail címére terjed ki. Az Adatkezelő, és az Adatkezelő adatfeldolgozója kizárólag addig kezeli az ebből a célból felvett személyes adatokat, amíg az érintett le nem iratkozik a hírlevél listáról. Az érintett a hírlevélről bármikor leiratkozhat, az elektronikus levelek alján, valamint az Adatkezelő fenti e-mail címére küldött lemondási kérelem útján, vagy postai úton az Adatkezelő levelezési címére küldött levélben. 

Az Adatkezelő a hírlevél listát háromévente felülvizsgálja, és a hírlevél küldéshez három év után megerősítő hozzájárulást kér. Annak az érintettnek az adatait, aki nem ad megerősítő hozzájárulást az Adatkezelő törli az adatállományból. 

4.6. Közösségi oldalakon való jelenléttel és marketinggel kapcsolatos adatkezelés 

Adatkezelő elérhető a Facebook közösségi portálon, valamint más közösségi oldalakon. A közösségi oldalak, azon belül is különösen a Facebook oldal használata és az azon keresztül, az Adatkezelővel történő kapcsolatfelvétel, kapcsolattartás, és egyéb, a közösségi oldal által megengedett művelet önkéntes hozzájáruláson alapul. 

Az adatkezelés érintettje azok a természetes személyek, akik az Adatkezelő közösségi oldalait, különösen facebook.com közösségi oldalán lévő oldalt vagy azon megjelenő tartalmakat önként követik, megosztják, kedvelik. 

A jelen alpont alapján kezelt adatok köre és célja: 

érintett publikus neve 

azonosítás 

publikus fotója 

azonosítás 

publikus e-mail címe 

kapcsolattartás 

érintett közösségi oldalon keresztül küldött üzenete 

kapcsolattartás, válaszadás alapja 

érintett általi értékelés, vagy más művelet eredménye 

minőségjavítás, vagy egyéb művelet célja 

Adatkezelő az érintettekkel a közösségi oldalon keresztül kizárólag akkor kommunikál, és így a kezelt adatok körének célja akkor válik lényegessé, ha az érintett a közösségi oldalon keresztül keresi meg az Adatkezelőt. 

A közösségi portálokon, különösen a Facebook-on történő jelenlét és az azzal kapcsolatos adatkezelés célja a weboldalon található tartalmak közösségi oldalon történő megosztása, publikálása, marketingje. A közösségi oldal segítségével az érintett tájékozódhat az Adatkezelő aktuális állásajánlatairól is.

A közösségi oldalakon, különösen Facebook oldalon található üzenő falon közzétett hírfolyamra az érintett az oldalon található „like”/„tetszik” linkre kattintva, önként feliratkozhat, és az ugyanitt található „dislike”/”nem tetszik” linkre kattintva iratkozhat le, illetve az üzenő fal beállításai segítségével törölheti a nem kívánt, az üzenő falon megjelenő hírfolyamokat. Az érintett az adott közösségi oldal adatkezeléséről tájékoztatást az adott közösségi oldalon kaphat, ennek megfelelően a Facebook oldal adatkezeléséről szóló tájékoztatás a www.facebook.com címen érhető el. 

A jelen alpont szerinti adatkezelés időtartama az érintett kérésére történő törlésig tart. 

5. Adatfeldolgozás, adattovábbítás 

Adatkezelő adatkezelési tevékenységei során kizárólag technikai jellegű feladatok ellátására az Adatfeldolgozókat vesz igénybe, az alábbiak szerint: 

adatfeldolgozó neve: Varga Bíborka

címe: 5700 Gyula, Eminescu u. 52/B.

nyilvántartási száma: 52069420 

adatfeldolgozás célja: callcenter, kapcsolattartás, toborzás

adatfeldolgozó neve: Perfekt Torim Kft.

címe: 1225 Budapest, Úttörők útja 5/B.

cégjegyzékszám: 01-09-992365

adatfeldolgozás célja: bérszámfejtés

adatfeldolgozó neve: Con-Ceptus Kft.

címe: 2112 Veresegyház, Margaréta u. 24.

cégjegyzékszám: 13-09-145252

adatfeldolgozás célja: könyvelés

adatfeldolgozó neve: STEINER STONY Kft.

címe: 2800 Tatabánya, Sárberki ltp. 124. fszt. 2.

cégjegyzékszáma: 11-09-016897

adatfeldolgozás célja: munka-, tűz-, balesetvédelmi dokumentáció előállítása, vizsgálatok lefolytatása

Az adatfeldolgozók az adatkezelést az Adatkezelő utasításai szerint végzik, az adatkezelést érintő érdemi döntést nem hozhatnak, a tudomásukra jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatják fel. Saját céljaikra adatfeldolgozást nem végezhetnek, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint kötelesek tárolni és megőrizni. 

A jogszabályi kötelezettségekkel kapcsolatos adattovábbításon (könyvelési, számviteli kötelezettségek stb.) túl, munkaerő-kölcsönzés, illetve munkaerő-közvetítés során az Adatkezelő, amennyiben az érintett önkéntesen hozzájárult az adatok továbbításához, vagy az adattovábbítás lehetősége más jogalapon (pl. Jogos érdek) nyugszik, az érintett adatait továbbítja az álláshirdetést feladók, valamint az Adatkezelővel szerződött munkáltató partnerek felé. Adatkezelő alapvetően az érintett önkéntes hozzájárulását kéri az adattovábbításhoz, más jogalap alkalmazása esetén arról az érintettet írásban tájékoztatja.

Az adatkezelés célja az Adatkezelő partnerével kötött szerződés teljesítése az adatvédelmi követelmények teljesítésével, amelynek időtartama azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli. Az adattovábbítás minden munkavállalót érint, akinek adatát az Adatkezelő továbbítja megbízó partnere számára. 

6. Az érintettek jogai személyes adataikat illetően 

Azokat a természetes személyeket, akinek a személyes adatait az Adatkezelő – bármely oknál fogva – kezeli, az Adatkezelő adatkezelését illetően a következő jogosultságok illetik meg: 

tájékoztatáshoz való jog, 

helyesbítéshez való jog, 

elfeledtetéshez való jog, 

adatkezelés korlátozásához való jog, 

adathordozhatósághoz való jog, 

tiltakozáshoz való jog. 

A személyes adat jogosultja a jelen pontban meghatározott jogait az Adatkezelőhöz eljuttatott kérelmével gyakorolhatja. A személyes adat jogosultja kérelmét elektronikusan, papír alapon egyetemes postai szolgáltatás igénybevételével, vagy papír alapon az Adatkezelő székhelyén az Adatkezelő képviseletére jogosult vezető tisztségviselőjének, munkavállalójának vagy az Adatkezelővel foglalkoztatásra irányuló jogviszonyban álló egyéb személynek történő átadással terjesztheti elő. 

A kérelem átvételére jogosult személy a kérelmet a beérkezését következően haladéktalanul köteles továbbítani az Adatkezelő Adatvédelmi felelősének ügyintézés céljából. 

Az Adatkezelő Adatvédelmi felelőse a kérelmet – annak kézhezvételét követően haladéktalanul megvizsgálja – és amennyiben azt állapítja meg, hogy az nyilvánvalóan alaptalan vagy jogosulatlan személytől érkezett, úgy annak érdemi megvizsgálását elutasítja. 

Amennyiben a kérelem nem nyilvánvalóan alaptalan, illetve jogosult személy terjesztette elő, az adatvédelmi felelős a kérelmet érdemben megvizsgálja. Az Adatvédelmi felelős a kérelem kézhezvételétől számított legkésőbb 15 napon belül értesíti a kérelmet előterjesztőt a kérelem elbírálásáról (a kérelem elutasításáról vagy a kérelem teljesítéséről), illetve a megtett, illetve kezdeményezett intézkedésekről. 

Az Adatkezelő a helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. 

Az adatkezelő továbbá az érintett külön kérésére 15 napon belül tájékoztatja az érintettet az őt érintő adatkezelés céljáról, jogalapjáról a kezelt adatok köréről, az adatkezelés időtartamáról, valamint adatainak esetleges továbbításáról. 

6.1. Helyesbítéshez való jog 

Amennyiben az Adatkezelő pontatlanul vagy hiányosan kezeli a személyes adat jogosultjának valamely személyes adatát, úgy a jogosult kérheti az Adatkezelőt, hogy a pontatlanul kezelt személyes adatot haladéktalanul helyesbítse, illetve a hiányosan kezelt személyes adatot haladéktalanul egészítse ki a jogosult által szolgáltatott és igazolt adatok alapján. 

A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a helyesbítés iránti kérelmét nyilatkozat megtételével és az Adatkezelő részére történő 

12 

megküldésével terjesztheti elő. Amennyiben a személyes adatot közokirat (pl. hatósági igazolvány) tartalmazza, úgy a kérelmező köteles felmutatni, illetve másolatban az Adatkezelő részére átadni a személyes adat tartalmát igazoló közokiratot. 

6.2. Elfeledtetéshez való jog 

A személyes adatok jogosultja jogosult az Adatkezelőtől kérni személyes adatainak törlését az Adatkezelő valamennyi nyilvántartásából. Az Adatkezelő e kérelem beérkezését követően haladéktalanul törli a törölni kért személyes adatokat, ha az alábbi indokok egyike fennáll: 

a személyes adatra nincsen szükség abból a célból, amely az adatkezelés alapját képezte, 

a személyes adatok jogosulja az Adatkezeléshez hozzájáruló nyilatkozatát visszavonta, és az adatkezelésnek nincs egyéb jogalapja, 

bebizonyosodik, hogy a személyes adatokat az Adatkezelő jogellenesen kezelte, 

jogszabályi kötelezettségnél fogva az Adatkezelő köteles a személyes adatok törlésére. 

A személyes adat jogosultja a törlés iránti kérelmét nyilatkozat megtételével és az Adatkezelő részére történő megküldésével terjesztheti elő. Az Adatkezelő a személyes adat törlését megtagadhatja, amennyiben a GDPR 17. cikk (3) bekezdésében meghatározott körülmények valamelyike fennáll. 

6.3. Adatkezelés korlátozásához való jog 

A személyes adatok jogosultja jogosult kérni az Adatkezelőt, hogy személyes adataira vonatkozó adatkezelést korlátozza amennyiben: 

a személyes adatok jogosultja vitatja az Adatkezelő által gyűjtött és tárolt személyes adatai pontosságát, ezen adatok pontosságának vizsgálatára vonatkozó időtartamra, vagy 

az Adatkezelő által végzett adatkezelés jogellenes, és a személyes adatok jogosultja a gyűjtött és tárolt személyes adatainak törlését ellenzi, vagy 

az adatkezelés célja megszűnt, és az Adatkezelőnek nincs szüksége a gyűjtött és tárolt személyes adatokra, de a személyes adatok jogosultja jogi igénye előterjesztése, érvényesítése vagy védelme érdekében kéri a további (korlátozott) adatkezelést, vagy 

a személyes adatok jogosultja tiltakozási jogával él, a tiltakozási jog jogszerűségének kivizsgálásának idejére. 

A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a korlátozás iránti kérelmét nyilatkozat megtételével és az Adatkezelő részére történő megküldésével terjesztheti elő. 

A korlátozás alá eső személyes adatot az Adatkezelő kizárólag tárolni jogosult. A korlátozás alá eső személyes adaton adatkezelést végrehajtani az Adatkezelő kizárólag a jogosult előzetes írásbeli hozzájárulása vagy jogi érdekének előterjesztése, érvényesítése vagy védelme érdekében, továbbá az Európai Unió vagy tagállama fontos közérdekéből jogosult. 

Amennyiben a személyes adat korlátozásának feltételei nem állnak fenn, úgy az Adatkezelő a korlátozást feloldja, és erről előzetesen köteles tájékoztatni a személyes adatok jogosultját. 

6.4. Adathordozhatósághoz való jog 

Az olyan személyes adat vonatkozásában, amelyet az Adatkezelő a személyes adat jogosultjának hozzájárulása alapján automatizált módon kezel, a személyes adat jogosultja kérheti az Adatkezelőt, hogy az általa rendelkezésre bocsátott személyes adatait az Adatkezelő elektronikus formátumban – a GDPR 20. cikk (1) bekezdésében meghatározottak szerint – bocsássa rendelkezésére. 

Az Adatkezelő a gyűjtött és tárolt személyes adatok elektronikus formában történő átadásánál köteles figyelemmel lenni arra, hogy a személyes adatok jogosultja az elektronikus formában átadott gyűjtött és tárolt személyes adatait jogosult átadni másik adatkezelőnek, vagy az Adatkezelőt felkérni arra, hogy e személyes adatokat közvetlenül küldje meg másik adatkezelőnek. 

A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) az adathordozás iránti kérelmét nyilatkozat megtételével és az Adatkezelő részére történő megküldésével terjesztheti elő. 

6.5. Tiltakozáshoz való jog 

A személyes adat jogosultja tiltakozhat a személyes adatainak Adatkezelő általi adatkezelése ellen, amennyiben az Adatkezelő az adatkezelést az Adatkezelő vagy harmadik fél jogos érdekének érvényesítése érdekében hajtja végre. 

A személyes adat jogosultja (vagy képviseletében eljáró és igazolt meghatalmazottja) a tiltakozás iránti kérelmét nyilatkozat megtételével és az Adatkezelő részére történő megküldésével terjesztheti elő. 

A tiltakozó nyilatkozat Adatkezelő általi elfogadását követően az Adatkezelő nem jogosult az érintett személyes adatot az Adatkezelő vagy harmadik fél jogos érdekének érvényesítése érdekében kezelni, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos ok igazolja, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyik jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik. 

7. A személyes adatok tárolása, biztonsága 

Az Adatkezelő számítástechnikai rendszere és más adatmegőrzési helye a 2536 Nyergesújfalu, Széchenyi u. 2/4. szám alatt található. Az Adatkezelő az informatikai eszközeinek kiválasztásakor, beszerzésekor és üzemeltetésekor figyelembe veszi, biztosítja, hogy a kezelt személyes adat csak a feljogosítottak számára legyen hozzáférhető, eredete igazolható, hiteles legyen. 

Az Adatkezelő informatikai rendszere és hálózata egyaránt védelemmel van ellátva a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen, valamint az Adatkezelő a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik. 

Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen: 

  • a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem), 

az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés), 

az adatállományok vírusok elleni védelméről (vírusvédelem),

az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem). 

Az Adatkezelő tájékoztatja az érintetteket, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő az Adatkezelő megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen és bizonyítékkal szolgálhasson. 

Az Adatkezelő az adatkezelési, valamint ezzel kapcsolatos szervezési tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot garantáló technológiát alkalmazza a természetes személyek jogainak és szabadságainak védelme érdekében. 

8. Adatvédelmi incidens esetén követendő protokoll 

Adatvédelmi incidens – a GDPR 4. cikk 12. pontjával összhangban – a biztonság olyan sérülése, amely lehet: 

a bizalmasság sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat jogosulatlan közlése vagy az ahhoz való jogosulatlan hozzáférés, 

a hozzáférés sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat véletlen vagy jogellenes megsemmisítése, elvesztése, 

az integritás sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat megváltoztatása. 

Amennyiben az Adatkezelő munkavállalója, illetve az Adatkezelővel foglalkoztatásra irányuló jogviszonyban álló egyéb személy azt tapasztalja, hogy az Adatkezelő által gyűjtött, tárolt személyes adatok vonatkozásában fennállhat a biztonság sérülésének a lehetősége, haladéktalanul köteles az ügyvezetőt erről tájékoztatni (a továbbiakban: Jelzés). 

Biztonság sérülése minden olyan körülmény, amelynek eredményeként az Adatkezelő rendszerében, nyilvántartásaiban sérülés következik be az adatbiztonsági rendelkezésekkel ellentétes módon. A biztonság sérülése nem jelenti feltétlenül adatvédelmi incidens bekövetkeztének a tényét is. Az ügyvezető (a továbbiakban: Adatvédelmi felelős) a Jelzést megtételét követően haladéktalanul köteles megvizsgálni és értékelni a helyzetet. A vizsgálatnak ki kell terjedni a biztonság sérülésének lehetőségeként jelzett körülmény valamennyi elemére, illetve a Jelzéssel érintett valamennyi nyilvántartás, így személyes adatok helyzetének vizsgálatára. 

Az Adatvédelmi felelős vizsgálata során elsődlegesen azt köteles megállapítani, hogy a biztonság sérülése ténylegesen megtörtént-e. Amennyiben az Adatvédelmi felelős azt állapítja meg, hogy a biztonság nem sérült, úgy eljárását megszünteti és a vizsgálata eredményéről jelentést készít. 

Amennyiben az Adatvédelmi felelős azt állapítja meg, hogy a biztonság megsérült, úgy másodsorban köteles megvizsgálni, hogy adatvédelmi incidens történt-e. Amennyiben az Adatvédelmi felelős azt állapítja meg, hogy adatvédelmi incidens nem történt, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít.

Amennyiben az Adatvédelmi felelős azt állapítja meg, hogy a biztonság sérülésével egy időben adatvédelmi incidens is történt, úgy köteles harmadsorban megvizsgálni, hogy az adatvédelmi incidens az érintett személyes adatok jogosultjainak jogaira és szabadságaira kockázatot jelent-e. Amennyiben azt állapítja meg, hogy ilyen kockázatot az adatvédelmi incidens nem jelent, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít. 

Amennyiben az Adatvédelmi felelős azt állapítja meg, hogy a biztonság sérülésével egy időben az adatvédelmi incidens kockázatot jelent az érintett személyes adat jogosultjainak jogai és szabadságaira, úgy az Adatvédelmi felelős azt köteles megvizsgálni, hogy ez a kockázat milyen mértékű. Amennyiben az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni, illetve a NAIH, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni. 

Amennyiben az Adatvédelmi felelős vizsgálata azt állapítja meg, hogy az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira magas kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni, illetve a NAIH, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni, továbbá az érintett személyes adatok jogosultjait az adatvédelmi incidensről tájékoztatni. 

Az Adatkezelő az Adatvédelmi felelős útján bejelentési kötelezettségét indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens tudomására jutásától számított 72 órán belül köteles teljesíteni. Az Adatkezelő akkor jut az adatvédelmi incidens tudomására, amikor az Adatvédelmi felelős kellő bizonyossággal meg tudja állapítani a biztonság sérülésének tényét. Az Adatvédelmi felelős a biztonság sérülése ténye megállapítását követően haladéktalanul köteles értékelni a helyzetet. 

Amennyiben az Adatvédelmi felelős 72 órán belül nem tudja lefolytatni vizsgálatát, úgy köteles a határidőn belül megtenni a bejelentését, illetve tájékoztatását, és vizsgálatát köteles tovább folytatni. Amennyiben a vizsgálat eredménye az Adatvédelmi felelős rendelkezésére áll, úgy arról kiegészítő bejelentést/kiegészítő tájékoztatást vagy módosító bejelentést/módosító tájékoztatást köteles tenni. 

Az Adatvédelmi felelős az Adatkezelő képviseletében legalább a GDPR rendelet 33. cikk (3) bekezdésében felsorolt információkat, adatokat köteles megadni bejelentésében. 

Az Adatvédelmi felelős nem köteles bejelentést tenni, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira. A kockázat fennállására vonatkozó értékelést az Adatvédelmi felelős az eset összes körülményének figyelembevételével köteles teljesíteni. Azt a körülményt, hogy az adatvédelmi incidens a természetes személyek jogaira és szabadságaira kockázattal nem jár, bizonyítani és jelentésbe foglalni, valamint a biztonság helyreállítása érdekében szükséges intézkedéseket megtenni köteles. 

Az Adatvédelmi felelős a következőkről köteles tájékoztatni a személyes adat jogosultjait: 

az adatvédelmi incidens ténye, jellege; 

az Adatvédelmi felelős neve és elérhetőségei; 

az adatvédelmi incidens lehetséges következményei; 

az adatvédelmi incidens eredményeként elállt magas kockázat mérséklésére és az incidens előtti állapot helyreállítására az Adatkezelő által igénybe vett eszközök. 

Az Adatvédelmi felelős a tájékoztatását a személyes adatok jogosultjai által (köz)érthető és egyszerű megfogalmazással, releváns nyelven és késedelem nélkül köteles megtenni olyan kommunikációs csatornán, amelyen az Adatvédelmi felelős értékelése alapján a tájékoztatás a leghamarabb megérkezik a személyes adatok jogosultjaihoz. Az Adatvédelmi felelős egyszerre akár több kommunikációs formát is igénybe vehet a tájékoztatási kötelezettség teljesítése érdekében. 

Az Adatvédelmi felelős a személyes adatok jogosultjainak szóló tájékoztatást akkor mellőzheti, ha 

az adatvédelmi incidens a személyes adatok jogosultjainak jogaira és szabadságaira magas kockázatot nem jelent, mert például a jogosulatlan harmadik személlyel közölt személyes adathoz e személy hozzáférni (titkosítás okán) nem tud, és az adatkezelő birtokában van az érintett személyes adatokról másolat; 

az adatvédelmi incidens lehetőségéről való tudomásszerzést követően haladéktalanul megtett intézkedések eredményeként a magas kockázat lehetősége fel sem került; 

az adatvédelmi incidens eredményeként előállt kockázat egyéb okból nem tekinthető magasnak. 

Az adatvédelmi incidensekről nyilvántartást kell vezetni. 

9. Jogorvoslat 

Amennyiben a személyes adat jogosultja a személyes adatai kezelése vonatkozásában azt tapasztalja, hogy az Adatkezelő megsérti az adatvédelmi jogszabályokban meghatározottakat, úgy jogai védelme érdekében jogorvoslati kérelemmel fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz: 

Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c. 

Honlap: http://naih.hu 

Postacím: 1530 Budapest, Pf.: 5. 

E-mail: ugyfelszolgalat@naih.hu 

Telefonszám: +36 (1) 391-1400 

Az érintett – választása szerint – bírósági úton is érvényesítheti igényét. A per elbírálása törvényszék hatáskörébe tartozik, amely – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható. 

10. Felelősségvállalás 

A személyes adatoknak az érintettek általi, önkéntes hozzájáruláson alapuló átadása során megadott személyes adatok tekintetében az érintetteket terheli a felelősség, hogy azok megfelelnek a valóságnak, ezért felelősséggel tartoznak minden olyan kárért, melyek az Az adatkezelőt a személyes adatok valótlansága, pontatlansága vagy hiányossága miatt éri. 

11. Egyebek 

A jelen Adatvédelmi Tájékoztató 2018. május 26. napjától hatályos. A Szabályzatot a hatályba lépését követően keletkező, illetve olyan már fennálló jogviszonyokra kell alkalmazni, amelyekben adatkezelés 2018. május 26. napját követően történik. 

A jelen Adatvédelmi Tájékoztatóban nem meghatározott kérdésekben a GDPR, valamint az Infotv. szabályai az irányadók.