2021. október 30 -i soproni programok
Jelenleg nincs programajánlatunk!
Amennyiben szeretne naprakész lenni iratkozzon fel hírlevelünkre az alábbi űrlap segítségével.
Adatvédelmi szabályzat
Adatvédelmi szabályzat
Cégnév: PRO KULTÚRA SOPRON Nonprofit Korlátolt Felelősségű Társaság
Cégjegyzékszám: 08-09-017481
Adatvédelmi Szabályzat
Hatályos: 2018. május 25.
BEVEZETÉS
A Pro Kultúra Sopron Nonprofit Kft. (a továbbiakban: Adatkezelő Kft.) tevékenysége során fokozottan ügyel a személyes adatok védelmére, a kötelező jogi rendelkezések betartására, a biztonságos és tisztességes adatkezelésre.
A cég neve: PRO KULTÚRA SOPRON Nonprofit Korlátolt Felelősségű Társaság, (a továbbiakban: Adatkezelő Kft.)
A cég székhelye: Liszt Ferenc Konferencia és Kulturális Központ, 9400 Sopron, Liszt Ferenc utca 1. (központi ügyintézés helye és levelezési cím)
Főbb telephelyei: Petőfi színház, Sopron, Petőfi tér 1., Gyermek- és Ifjúsági Központ, Sopron, Ady Endre út 10., Festőterem, Sopron, Petőfi tér 8.
Fióktelepe: Barlangszínház, Fertőrákos, Fő út 1.
A társaság a tevékenységét fő szabály szerint hazai környezetben végzi.
TEVÉKENYSÉG
A Kft. közhasznú feladatokat ellátó társaság. Az egyesülési jogról, a közhasznú jogállásról, valamint a civil szervezetek működéséről és támogatásáról szóló 2011. évi CLXXV. törvény értelmében a közhasznú minősítés elnyeréséhez az szükséges, hogy a szervezet jogszabályban rögzített közfeladatot lásson el. Az új törvény nem preferál tevékenységeket, így azok nincsenek felsorolva, hanem minden olyan tevékenységet közhasznú tevékenységnek tekint, amit valamilyen jogszabály közfeladatként definiál. A tágabb tevékenységi kör által leírt közfeladatokat a közhasznú szervezet közvetlenül vagy közvetve szolgálja.
Az alapcél szerinti tevékenység a létesítő okiratban meghatározott, a szervezet célja elérése érdekében végzett tevékenység (2011. évi CLXXV. Civil tv. 7. § (3)). A közcélú tevékenység az alapcélok között egy szűkebb kategóriát jelent, azok a tevékenységek, melyeket a szervezet egy tágabb közösség érdekében végez (2011. évi CLXXV. Civil tv. 2. § 16.). A közhasznú tevékenység az alapcélok között egy szintén szűkebb, speciális kategóriát jelent, amely konkrét közfeladat teljesítését közvetlenül vagy közvetve szolgálja, ezzel hozzájárulva a társadalom és az egyén közös szükségleteinek kielégítéséhez.
A Kft. hatályos, idevonatkozó tevékenységi körei (TEAOR 08):
Fő tevékenység: 90.01 Előadóművészet
Kiegészítő tevékenységek: 32.99 Egyéb máshova nem sorolt (továbbiakban m. n. s.) feldolgozóipari tevékenység, 49.39 m. n. s. egyéb szárazföldi személyszállítás, 49.41 közúti áruszállítás, 49.42 költöztetés, 55.90 egyéb szálláshely-szolgáltatás, 56.10 éttermi, mozgó vendéglátás, 58.11 könyvkiadás, 58.14 folyóirat, időszaki kiadvány kiadás, 58.19 egyéb kiadói tevékenység, 59.14 filmvetítés, 59.20 hangfelvétel készítése, kiadása, 68.20 saját tulajdonú, bérelt ingatlan bérbeadása, üzemeltetése, 60.10 Rádióműsor-szolgáltatás, 63.99 m. n. s. egyéb információs szolgáltatás, 73.11 reklámügynöki tevékenység, 73.12 médiareklám, 74.10 divat-, formatervezés, 77.39 egyéb gép, tárgyi eszköz kölcsönzése, 79.11 utazásközvetítés, 79.90 egyéb foglalás, 82.19 fénymásolás, egyéb irodai szolgáltatás, 82.30 konferencia, kereskedelmi bemutató szervezése, 82.99 m. n. s. egyéb kiegészítő üzleti szolgáltatás, 85.32 szakmai középfokú oktatás, 85.51 sport, szabadidős képzés, 85.52 kulturális képzés, 85.59 m. n. s. egyéb oktatás, 90.02 előadó-művészetet kiegészítő tevékenység, 90.03 alkotóművészet, 90.04 művészeti létesítmények működtetése, 91.03 történelmi hely, építmény, egyéb látványosság működtetése, 93.11 sportlétesítmény működtetése, 93.19 egyéb sporttevékenység, 93.29 m. n. s. egyéb szórakoztatás, szabadidős tevékenység, 94.99 m. n. s. egyéb közösségi, társadalmi tevékenység.
A nonprofit társaság az üzletszerű gazdasági tevékenységeit, a közhasznú tevékenység elősegítése érdekében, a társaság közhasznú céljait, közfeladatainak ellátását nem veszélyeztetve végzi.
A Pro Kultúra Sopron a rendelkezésére bocsátott személyes adatokat minden esetben a hatályos magyar és európai jogszabályoknak és etikai elvárásoknak eleget téve kezeli, minden esetben megteszi azokat a technikai és szervezési intézkedéseket, amelyek a megfelelő biztonságos adatkezeléshez szükségesek.
A jelen szabályzat a következő hatályos jogszabályok figyelembevételével készült:
- 1995. évi CXIX. tv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről
- 2001. évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
- 2008. évi XLVIII. tv. a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
- 2011. évi CXII. tv az információs önrendelkezési jogról és az információszabadságról
- 2016/679/EU Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről
Az adatkezelésnek az adatkezelés minden szakaszában meg kell felelnie a célhoz kötöttség, a tisztességesség, a pontosság, a törvényesség, az adatok teljességének követelményének. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
A Pro Kultúra Sopron vállalja a jelen szabályzat egyoldalú betartását. Az Adatkezelő fenntartja magának a jogot, hogy az adatvédelmi szabályzatát megváltoztassa. Amennyiben a szabályzat módosítására sor kerül, úgy annak aktualizált szövegét nyilvánosan közzéteszi.
ADATKEZELÉSI ALEPELVEK
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem üzleti célra irányul. A személyes megkeresésre a munka törvénykönyve szerinti munkaszüneti napon nem kerülhet sor.
Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés).
Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a célmegvalósulásához szükséges mértékben és ideig.
A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
Személyes adat az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.
Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg.
Törvény közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.
Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.
Az érintett a hozzájárulását az Adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét.
A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik.
Vannak olyan különösen érzékeny adatok, amelyeknek a kezelése mindenképpen speciális igényeket támaszt, például adatvédelmi tiszt alkalmazását és szigorú adatvédelmi intézkedéseket, a vállalkozás méretétől függetlenül. Ez a 9. cikkely szerint (2016./679. EU):
„A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.” Szakszervezeti tagok adatainak kezelése és üzemi tanács által kezelt információk.
Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen a rendeletnek.
Az Adatkezelő biztosítja, hogy minden, a személyes adatokhoz hozzáférő alkalmazottja alkalmazási jogviszonyának megszűnése esetén az adathoz való hozzáférési jogát 3 munkanapon belül megszünteti. Az Adatkezelő biztosítja a hozzáférés 3 munkanapon belüli megszüntetését akkor is, ha az adathoz hozzáférő alkalmazottjának feladatköre úgy változik, hogy többé már részére nem indokolt az adathoz való hozzáférést biztosítani. Továbbá, ha a személyes ügyféladat kezelésének szükségessége okafogyottá válik, akkor azt az információtartalmat 3 napon belül kivezeti és megsemmisíti a Kft. adatkezelő a rendszeréből.
ADATKEZELÉS – ADATFELDOLGOZÁS – WEB - BIZTONSÁG
Az Adatkezelő a tevékenységei során a személyes adatok kezelése minden esetben törvényen vagy önkéntes hozzájáruláson alapul. Egyes esetekben az adatkezelés, hozzájárulás hiányában egyéb jogalapon vagy a 2011. évi CXII. törvény 6.§-án nyugszik.
Az Adatkezelő tevékenységéhez az alábbi Adatfeldolgozók közreműködését és szolgáltatásait veszi igénybe:
Cég neve: Soft Consulting Hungary Zrt.
Székhelye: 1012 Budapest, Márvány utca 16.
Cégjegyzékszáma: 01-10-046490
Adószáma: 14936322-2-43
Továbbított adatok köre: Bérszámfejtési adatoka „Babér“ rendszerben
Az adattovábbítás célja: Bérügyvitel, bérszámfejtés
Cég neve: InterTicket Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság
Székhelye: 1146 Budapest, Hungária krt. 179-187.
Cégjegyzékszáma: 01-09-736766
Adószáma: 10384709-2-42
Továbbított adatok köre: Jegyértékesítési adatok
Az adattovábbítás célja: Jegyeladás, jegyterjesztés, online jegyrendelés
Adatkezelő megbízásából működtetett weblap alapján a Pro Kultúra Sopron a megbízottja által üzemeltetett weboldalak látogatásakor sem a felhasználó IP címét, sem más személyes adatot nem rögzít.
Az Adatkezelő megbízásából üzemeltetett weboldal html kódja webanalitikai mérések céljából független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmazhat. A mérés kiterjed a konverziók követésére is. A webanalitikai szolgáltató személyes adatokat nem, csak a böngészéssel kapcsolatos, az egyes egyének beazonosítására nem alkalmas adatokat kezel.
Jelenleg a webanalitikai szolgáltatásokat, mint megnízott, a:
Cégnév: Feki Webstúdió Korlátolt Felelősségű Társaság végzi
Székhely: 9444 Fertőszentmiklós, Petőfi u. 44. a webes felület kezelés-szolgáltatással.
Cégjegyzékszám: 08−09−015591
Adószám: 14113291-2-08
Tevékenységi köre: TEÁOR 08 63.11 - Adatfeldolgozás, web-hosting szolgáltatás
Elektronikus cím: https://www.fekiwebstudio.hu
Adatvédelmi technikai megoldás leírása (kivonat):
„Személyes adatot csak az érintett felhatalmazása alapján kezelünk, előzetes tájékoztatást követően. Az érintettet - egyértelműen és részletesen - tájékoztatjuk az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatás kiterjed az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Az érintett a hozzájárulását a cégünkkel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződés tartalmaz minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmazza, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
A Pro Kultúra Sopron adatkezelésének minden szakaszában személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel. Kizárólag olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, és ezen esetekben is csak a cél megvalósulásához szükséges mértékben és ideig. A személyes adatot az érintett hozzájárulásával is csak akkor kezeli, ha törvényi kötelezettség teljesítéséhez, az érintett létfontosságú érdekek védelméhez, az érintett és a Kft. között létrejött szerződés teljesítéséhez, az Adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges.
A Kft. által kezelt személyes adatok felvétele és kezelése tisztességes és törvényes, továbbá e személyes adatok pontosak, teljesek és ha szükséges, időszerűek. A Kft. kiemelt figyelmet fordít arra, hogy az általa kezelt személyes adatok tárolásának módja alkalmas legyen arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. Az adatkezelése során nem alkalmaz korlátozás nélkül használható, általános és egységes személyazonosító jelet. Az egyes adatkezeléseket csak akkor kapcsolja össze, ha ahhoz az érintett előzetesen, kifejezetten hozzájárult.
Személyes adatot a Kft. Magyarországról az Európai Unió tagállamába vagy az Európai Unión kívüli harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbít, ha ahhoz az érintett kifejezetten hozzájárult. Azok a külföldi együttműködő partnerek, amelyek az Európai Unión kívüli harmadik országban találhatók, vállalják, hogy az átadott adatok kezelése, illetőleg feldolgozása során biztosítják a személyes adatok megfelelő szintű védelmét. A Kft. pl. az Amerikai Egyesült Államokba csak akkor továbbít adatot, ha az ottani adatkezelő szerepel az ún. Safe Harbour listán, mely az európai adatvédelmi szabályoknak megfelelő szervezeteket sorolja fel.
Amennyiben valamely hatóság jogszabályi felhatalmazás alapján megkeresi a Kft.-t, a hatóság részére személyes adat csak annyi és olyan mértékben adható ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges, és amilyen adatkérésre a megkereső hatóságot törvény felhatalmazza.
Az adatok védelme különösen biztosított a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket tesz cégünk, mint adatfeldolgozó a személyes adatok hálózaton történő továbbítása kapcsán.”
(https://www.fekiwebstudio.hu/hu/adatvedelmi_nyilatkozat.html)
Az Adatkezelő az általa üzemeltetett honlapok hírleveleire való feliratkozóknak (más néven VIP tagoknak) általában havonta, de hetente legfeljebb két alkalommal újdonságokat, híreket és üzleti ajánlatokat tartalmazó online hírleveleket és elektronikus úton direkt marketing üzeneteket kézbesít. A hírlevélre való feliratkozáshoz a név és e-mail cím megadása kötelező, ami elengedhetetlen az üzenetek kézbesítéséhez. Ezt az érintett a „Feliratkozom“ gomb megnyomásával hagyja jóvá.
Az adatokat mindaddig kezeljük, ameddig azok törlését az érintett nem kéri. A leiratkozás lehetőségét minden hírlevélben egy közvetlen link biztosítja. A megadott személyes adatok valódiságáért a felhasználó felel (pl. www.prokultura.hu, www.fertorakosikofejto.hu).
Az Adatkezelő az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Az Adatkezelő a szerver üzemeltetőivel együtt olyan technikai, szervezési és szervezeti intézkedésekkel gondoskodik az adatok biztonságáról, ami az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
Technikai és szervezési intézkedések körén belül az adatvédelem korunkra elsősorban (de nem kizárólag) technikai kérdés. A következő összefoglalásból egy egyszerű ellenőrzőlista mutatja be, hogy a vállalkozás mely intézkedéseket teheti meg. Mivel a rendelet nem ír elő kifejezett technológiákat, amiket alkalmaznunk kell, csupán azt mondja meg, hogy az elérhető megoldások közül a kockázatoknak megfelelőt kell alkalmazni.
Zárható iratszekrény és iroda |
Biztonsági őr |
Jelszóval védett WiFi (WPA2-PSK vagy jobb titkosítással) |
Iratmegsemmisítő használata |
Felhasználónév és jelszóval védett számítógépek |
Csak definiált felhasználói csoport által elérhető adattároló |
Tűzfal a vállalati hálózat és az internet között |
Titkosított adattároló |
Fizikai beléptető rendszer |
Elzárt szerverek |
IT biztonsági oktatás |
Hozzáférés kezelés (pl. Active Directory) |
Vírusirtók |
Auditálás |
Operációs rendszer frissítések |
Biztonsági másolat (backup) |
Jelszóval vagy biometrikus azonosítóval védett mobil eszközök |
Egyéb: |
Adatkezelési incidens nyilvántartás
A rendelet előírja, hogy az illetékes hatóságot (NAIH) az esetek többségében értesíteni kell az incidensekről, továbbá ezekről az incidensekről nyilvántartást kell vezetnünk. Ilyen incidens lehet, ha az adatokat ellopják, azokat elveszítjük vagy megsemmisülnek.
A nyilvántartás elemei:
- Dátum, időpont
- Incidens leírása
- Érintettek csoportja és száma
- Valószínűsíthető következmények az érintettekre nézve
- Hatósági tájékoztatás történt-e / mikor
- Az adat alanyok tájékoztatása szükséges-e, ha igen, mikor milyen formában történt ez meg
- A hasonló incidens jövőben elkerüléséhez tett intézkedések
A fenti tényeket excel fájlban tartjuk nyilván a következő formában:
INCIDENS NYILVÁNTARTÁS |
||||
Adatkezelő adatai: |
||||
Név: |
||||
Cím: |
||||
E-mail: |
||||
Telefonszám |
||||
|
||||
Incidens dátuma év/hó/nap/h |
Incidens időtartama |
Incidens leírása |
Érintett személyes adatok kategóriája |
Érintettek száma, köre |
|
|
|
|
|
Adatok mennyisége |
Kapcsolattartó |
Lehetséges következmény, kockázat |
Intézkedések |
Értesítések |
|
|
|
|
|
|
|
|
|
|
ADATKEZELÉS JOGALAPJAI – ÉRINTETTEK JOGAI
Hatásvizsgálat
A Rendelet (2016/679. EU) meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. A Kft. nem esik a magas kockázatú tevékenységet folytató szervezetek tevékenységi körébe, amelyek a következők:
- természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
- a személyes adatok különleges kategóriái (Rendelet 9. cikk), vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok (Rendelet 10. cikk) nagy számban történő kezelése; vagy
- nyilvános helyek nagymértékű, módszeres megfigyelése.
Ezen túlmenően is hatásvizsgálatot kell végezni minden olyan adatkezelés tekintetében, amelyek valószínűsíthetően magas kockázattal járnak az érintettekre nézve. Annak eldöntése során tehát, hogy szükséges-e adatvédelmi hatásvizsgálatot végezni elsődlegesen azt kell vizsgálni, hogy mit jelent a Rendelet vonatkozásában a "kockázat", illetve a "magas kockázat" fogalma. Tehát a Kft. nem esik a magas kockázatú tevékenységet folytató szervezetek tevékenységi körébe.
Különleges adatkezelési esetek
A személyes adatok különleges kategóriáinak kezelése a Kft.-ben
- A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
- Az (1) bekezdés nem alkalmazandó abban az esetben, ha – többek között - az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára.
- Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelölhet ki minden olyan esetben, amikor az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat. Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára (37. cikk), az adott szervek szervezeti felépítésének és méretének figyelembevételével. A közérdekű feladat teljesítése céljából közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek, illetve magánfél szervezetek birtokában lévő hivatalos dokumentumokban szereplő személyes adatokat az adott szerv vagy szervezet az uniós joggal vagy a szervre vagy szervezetre alkalmazandó tagállami joggal összhangban nyilvánosságra hozhatja annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztesse a személyes adatok e rendelet szerinti védelméhez való joggal.
Az adatkezelés időtartama
Az Adatkezelő a személyes adatot törli, ha
- a kezelése jogellenes. Amennyiben kiderül, hogy az adatok kezelése jogellenesen történik, az Adatkezelő a törlést haladéktalanul végrehajtja.
- az érintett kéri (a jogszabályon alapuló adatkezelések kivételével). Az érintett önkéntes hozzájárulása alapján kezelt adatok törlését az érintett kérheti. Ez esetben az Adatkezelő az adatokat törli. A törlés csak akkor tagadható meg, ha az adatok kezelésére jogszabály felhatalmazást ad. A törlési kérelem megtagadásáról, és az adatkezelést lehetővé tevő jogszabályról az Adatkezelő minden esetben tájékoztatást ad.
- az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki.
- az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt. Mivel az érintett részére az Adatkezelő folyamatos szolgáltatást nyújt, a felek kapcsolata időhatárhoz nem kötött. Mindezek alapján – az érintett kérésének hiányában – az Adatkezelő mindaddig kezeli az adatokat, amig az Adatkezelő és az érintett közötti kapcsolat fennáll, és ameddig az Adatkezelő az érintett számára szolgáltatást nyújthat. Minden egyéb adatot az Adatkezelő töröl, ha nyilvánvaló, hogy az adatok felhasználására a jövőben nem kerül sor, vagyis az adatkezelés célja megszűnt. A Pmt.-ben (Pénzmosásról szóló tv.) meghatározott adatokat az Adatkezelő a Pmt. 56. § (2) bek. alapján az az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított nyolc év elteltével nem kezeli tovább. Az Sztv. 169. § (2) bek alapján számviteli bizonylatnak minősülő iratokat, adatokat az Adatkezelő nyolc évig köteles visszakereshető módon megőrizni.
- azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte. Amennyiben bíróság vagy a Nemzeti Adatvédelmi és Információszabadság jogerősen elrendeli az adatok törlését, a törlést az Adatkezelő végrehajtja. Törlés helyett az Adatkezelő – az érintett tájékoztatása mellett – zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Az Adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. A jogszabály által elrendelt adatkezelések esetében az adatok törlésére a jogszabály rendelkezése az irányadó. A törlés esetén az Adatkezelő az adatokat személyazonosításra alkalmatlanná teszi. Amennyiben jogszabály azt előírja, az Adatkezelő a személyes adatot tartalmazó adathordozót megsemmisíti.
Az adatkezelés lehetséges jogalapjai
A rendelet megköveteli, hogy a személyes adatok kezelése során mindig meg tudjunk nevezni jogalapot. Ezek listája, a sor elején a leggyakoribb és legjobb jogalapokkal:
- Szerződés teljesítése. Ilyen lehet a munkáltatói szerződés, de egy vásárlás a webshopban is. A legkevesebb problémával járó jogalap.
- Jogi kötelezettség teljesítése. Ilyen lehet a számviteli törvény (mennyi ideig tartjuk meg a számlákat) vagy más helyi rendelkezés.
- Hozzájárulás alapján. Azaz az adat alany, valamikor, valamilyen bizonyítható módon hozzájárult az adatkezeléshez. Tudnunk kell bizonyítani, hogy ez megtörtént.
- Jogos érdek alapján. A vállalkozás azonosít valamilyen jogos érdeket (azaz a vállalkozás érdekét), amit mérlegelés után erősebbnek ítél az adat alany érdekeinél.
- Létfontosságú érdek, például a személy biztonsága, életvédelme kapcsán kezelt adat.
- Közérdekű vagy közhatalmi jogosítvány gyakorlásához kapcsolódó adatkezelés.
GDPR jogok elérhetővé tétele
A rendelet legfontosabb újdonsága, hogy az adatalanyoknak (azaz a természetes személyeknek) számos jól meghatározott új joga van és az adatkezelőnek felelőssége, hogy ezeket a jogokat érvényesíteni tudják. A GDPR jogok, röviden összefoglalva, arról szólnak, hogy az adatalany a tulajdonosa a róla szóló adatoknak. Ennél fogva, kérheti, hogy mutassuk meg (hozzáférési jog), milyen információink vannak róla, elrendelheti azok helyesbítését. Bizonyos esetekben kérheti azok törlését (amennyiben ez lehetséges) vagy éppen az adatkezelés felfüggesztését, illetve tiltakozhat az adatkezelés ellen. A következőkben részletezem.
Hozzáférési jog
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha igen, jogosult továbbá arra, hogy a személyes adatokhoz és az lejjebb olvasható információkhoz hozzáférést kapjon. Ez sok tekintetben hasonló a rendelkezésre bocsátandó információkhoz, de azt az adatkezelés kezdetekor tesszük elérhetővé az adatalanynak, míg ezeket az adatokat, külön az ő kérésére állítjuk össze. Ez lehet eseti válasz a megkeresésre, vagy egy automatizált folyamat, amit például egy weboldalon regisztrált felhasználó, egy menüpont segítségével elérhet. A hozzáférési jog gyakorlása során az előző részben tárgyalt összes információt rendelkezésre kell bocsátani, az adatkezelési célokról, elérhetőségekről, jogokról. Ezen felül, hozzáférést kell adnunk az adatkezelés tárgyát képező személyes adatok másolatához. Azaz a jogot érvényesítő ember számára világossá tesszük, mit tárolunk róla. Például nevét és címét és hogy mit vett, ha vásárolt tőlünk valamit. Ha a kérelmet elektronikus úton nyújtották be, akkor ezt könnyen olvasható elektronikus módon bocsátjuk rendelkezésre, például weboldalon vagy PDF dokumentumban.
Természetesen az adatok összegyűjtése, ha nem automatizált módon történik, időigényes lehet. A rendelet alapvetően azt írja elő, hogy ezt a szolgáltatást ingyenesen kell biztosítani, de ha a költségek indokolhatók akár a komplexitás vagy egyszerűen csak az ismétlődő adatigénylés miatt, akár díjat is számíthatunk fel.
A személyes adatokat annak adjuk ki, aki valóban az adattulajdonos. Egy weboldal esetén az elektronikus azonosítás elég lehet (korábbi felhasználónév / jelszó regisztráció), de egy foglalkoztatással összefüggő adatkezelés esetén (Kft.) elvárhatjuk azt, hogy az igénylő hitelt érdemlően bizonyítsa személyazonosságát.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Például, ha valaki észreveszi, hogy pontatlan cím szerepel a nyilvántartásunkban, kérheti annak korrekcióját. Hasonlóan a hozzáférési joghoz, nagy léptékű rendszer esetén indokolt lehet ezt automatizálni, míg egyéb esetekben elég, ha valaki ezt manuális teszi meg.
Törléshez való jog
A rendelet alapján, amikor adatot kezelünk, annak mindig szilárd jogalapja van. Egyúttal azt is kéri a rendelet, hogy csak a meghatározott céllal és ideig tartsuk meg az adatokat. Ha ennek megfelelünk, akkor adat törlésről tulajdonképpen nem beszélhetünk, hisz szilárd indokunk van, ami miatt az nem törölhető. Az érintettek kérhetik a róluk szóló adatok törlését, de azt csak abban az esetben kell megtennünk, ha az alábbi indokok valamelyike fennáll:
- A személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy kezelték.
- Ha hozzájárulás alapján kezeltük az adatot, az érintett visszavonja a hozzájárulását.
Az adatok jelentős részét nem hozzájárulás alapján kezeljük, hanem például szerződés teljesítéséhez vagy jogi megfeleléshez. Ezzel kapcsolatban nem lehet hozzájárulást visszavonni. Ha hozzájárulás alapján kezeltük is az adatokat, a hozzájárulás megszűnésével még mindig lehet más jogalap, például jogi előírás, ami miatt az adat nem törölhető. - Az érintett tiltakozik az adatkezelés ellen, mivel azokat közvetlen üzletszerzés céljából használják (direct marketing) vagy más sajátos indok miatt, ami erősebb, mint az adatkezelő indoka az adatkezelés folytatása mellett. A sajátos indok nem különösebben definiált a rendeletben, lehet bármilyen személyes helyzettel kapcsolatos ok, ami miatt erre a döntésre jut az adat alany. Ha az adatkezelő úgy dönt, hogy nem törli az adatot, akkor bizonyítania kell, hogy a törlés jogos okokból nem történt meg.
- Az adatokat jogellenesen kezelik.
- Jogi kötelezettség miatt törölni kell azokat.
A rendelet a törlés kapcsán, amennyiben valamelyik fenti feltétel helytálló, az adatkezelő oldalán ésszerűen elvárható mennyiségű erőfeszítést feltételez. Ha az adatok tárolásának jellege ezt különösképpen megnehezíti, akkor a törléstől el lehet tekinteni, de ezt alaposan indokolni kell.
Továbbá figyelni kell arra, hogy ha az adatok tovább lettek adva, akkor a további adatfeldolgozókat is – ésszerű kereteken belül – informálni kell az adattörlési kérelemről.
Gyakran előfordul, hogy az adatokat eleve csak jogi megfelelés keretein belül tároljuk, például a vevő elérhetősége vásárlás és garanciális ügyintézés esetén, számlainformációk, stb. Ha ilyen jogalapokat azonosítunk az adatkezelésnél, a törlésről semmilyen esetben nem eshet szó, így külön ezzel nem kell foglalkoznunk, esetleg csak a vevő informálásával arról, hogy nem lehetséges a törlés.
Adatkezelés korlátozásához való jog
Előfordulhat, hogy az adat alanya ellene van az adatkezelésnek, de nem azt szeretné, hogy eltávolítsuk a rendszerből, hanem hogy ne kezeljük az adatait.
- Az adatkezelés jogellenes, az adatalany azt kéri, hogy ne használják, ám ne is töröljék azokat. (Egy esetleges későbbi jogvita miatt szeretné, ha megtartanánk.)
- Az adatkezelő már törölné az adatokat, de arra az adatalanynak szüksége van.
(Például egy biztonsági kamera felvétele, amire valakinek később szüksége lesz jogi eljárásban.) - Tiltakozott az adatkezelés ellen.
Ekkor a rendszereinkből kimásoljuk az érintett adatokat és onnan el is távolítjuk azokat, így nem történhet semmilyen adatkezelés velük kapcsolatban, de a személyes adatok továbbra is elérhetőek.
Adathordozáshoz való jog
Kérheti az adatalany, hogy a róla meglévő információinkat, gépi feldolgozásra alkalmas formában adjuk át, hogy ő azt más szolgáltatóval, más rendszeren tudja használni. Ennek a jognak akkor van értelme, ha valami szisztematikus adathalmazt (elektronikusan) tárolunk a személyről. Az olyan adatok, amikből egy van, például az alany neve, címe, nem igazán szisztematikus, ezeknek az átadása egy sima lista. De könnyen lehet, hogy vannak szisztematikus, táblázatszerű adataink is, például bérszámfejtésnél az elmúlt évek bérhez kapcsolódó adati (mikor mennyit keresett, stb). Elvileg az ilyen adatokat, gépi olvasásra alkalmas formátumban adjuk át, ilyen például az XML, JSON vagy CSV. CSV formátumot Excelből bármikor tudunk exportálni. De nem minden szoftveres nyilvántartás kompatibilis jelen pillanatban ezzel a kívánalommal, például nem minden könyvelési programból lehet ilyen adatokat könnyedén exportálni. Amikor a Kft. profiljában nagy mennyiségű adatot kezel, ahol az ilyen megkeresés gyakori lehet (például bérletek listája, intertickettes eladások), akkor erre automatizált eszközöket érdemes építeni.
Tiltakozáshoz való jog
Fontos esetei:
- Ha a vállalkozás jogos érdeke alapján kezeljük az adatokat, ez ellen tiltakozhat az adatalany. Ha nincsenek elsőbbséget élvező, kényszerítő erejű jogi alapok, akkor nem kezelhetjük tovább az adatot.
- Közvetlen üzletszerzés esetén (direct marketing), az adat alany szeretne kikerülni a rendszerből. Ez esetben a megkeresésekkel felhagyunk.
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével –zárolását, vagy törlését a hírlevelek láblécében található linken vagy a Adatkezelő bármelyik elérhetőségén.
Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.
Amennyiben az Adatkezelő belső adatvédelmi felelőssel rendelkezik, a belső adatvédelmi felelős útján, az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza:
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint
- az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Társaságunk jelenleg nem rendelkezik belső adatvédelmi felelőssel.
Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Az adatvédelmi és az adattovábbítási nyilvántartás adatainak megőrzésére irányuló - és ennek alapján a tájékoztatási - kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozhatja. E korlátozás körében személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg.
Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. E tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
A valóságnak meg nem felelő személyes adatot az Adatkezelő helyesbíteni köteles.
A személyes adatot az Adatkezelő törli, ha kezelése jogellenes, az érintett kéri, az hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható - feltéve, hogy a törlést törvény nem zárja ki, ha az adatkezelés célja megszűnt, az adatok tárolásának törvényben meghatározott határideje lejárt, vagy azt a bíróság vagy az adat- védelmi biztos elrendelte.
A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
Az érintett tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el, a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.
Az Adatkezelő – az adatkezelés egyidejű felfüggesztésével – a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Az érintett tájékoztatását az adatkezelő csak kivételes - a 2011. évi CXII. törvény a 9. § (1)bekezdésében, valamint a 19. §-ban meghatározott- esetekben tagadhatja meg.
Ez esetben az Adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás
Az elutasított kérelmekről az adatkezelő a Hatóságot évente a tárgyévet követő év január 31-éig értesíti.
GYAKORI ESETEK ADATKEZELÉSRE
Foglalkoztatáshoz kapcsolódó adatkezelés
A foglalkoztatás munkaszerződés alapján történik, így a jogalapja az adatkezelésnek is ez. A kapcsolódó papír alapú és elektronikus dokumentumokat a következő védelemmel látjuk el:
- az iratokat zárható szekrénybe helyezzük
- a fájlok felhasználónév és jelszó által védett számítógépen vagy hálózati meghajtón vannak elhelyezve.
A dolgozókat tájékoztatnunk kell az adatkezelés tényéről. Ez a korábban már tárgyalt adatvédelmi tájékoztató, a foglalkoztatásra vetítve.
A foglalkoztatáshoz kapcsolódó dokumentumokat, mint maradandó értékű iratokat, meg kell őrizni, tulajdonképpen örökre, amíg elévülnek. Az ilyen iratokra például a munkavállalónak, nyugdíj kapcsán később szüksége lehet.
Számlák
Az adatvédelmi rendeletnél a helyi törvénykezések mindig erősebbek, ilyen például az adózás rendjéről szóló törvény. Az adóhatóság a tudomására jutott adatokat nyilvántartja és megőrzi az adóvégrehajtáshoz való jog elévüléséig, kivéve a nyugdíjellátás megállapításhoz szükséges adatokat, amelyeket az adat nyilvántartásba vételétől számított ötven évig tartja nyilván és őrzi meg. Az adóhatóság a természetes személy adózó azonosításával, adókötelezettségének keletkezésével és teljesítésének ellenőrzésével összefüggésben személyes adatokat tart nyilván és ellenőrizhet. Ennél fogva, bár a számlák tartalmaznak személyes jellegű információkat, azoknak az adatait nem törölhetjük az előírt idő előtt, még ha az érintett kifejezetten kéri is ezt.
Álláshirdetés
Új pozíció kiírásánál így járunk el:
- Bár az önéletrajz személyes adat, az álláshirdetés kapcsán nekünk küldött önéletrajzok kezelése a cég jogos érdekkörébe tartozik, így ahhoz külön nem kell engedélyt kérnünk.
- Ellenben az önéletrajzokat nem tárolhatjuk örökké. Ha a meghirdetett állást betöltötték, a beérkezett önéletrajzokat törölnünk kell, mivel az adatkezelés célja teljesült. Azonban az állás betöltése után potenciálisan előfordulhat diszkriminációval kapcsolatos panasz. Ilyen panaszok ellen, a jelentkezők adatait bizonyítékként felhasználhatjuk. Ezért azokat további, 6 hónapig tárolhatjuk.
- Ha szeretnék hosszabb ideig megtartani a jelentkezők adatait, erre csak a hozzájárulásukkal van lehetőségünk. Ezt kérhetjük például e-mailben is. Az önéletrajz 3 év után elévültnek tekintendő.
Céges e-mail fiók
Még ha egy e-mai fiók alapvetően üzleti céllal készül el, a dolgozó szándéka ellenére is kerülhet bele személyes információ, ennél fogva az e-mail fiókok mindig privát adatként kezeljük. A fiók tulajdonosán kívül, más nem olvashatja azokat.
Ha a dolgozó elhagyja a céget, az e-mail fiókját minden tartalmával együtt törölni kell.
Céges eszközök
A dolgozónak a munkavégzéshez esetenként eszközöket adunk (telefon, pc, laptop, tablet, stb), amikre a mindennapi használat során személyes információ kerülhet. Ha a dolgozó elhagyja a céget, a személyes eszközén található adatokat mérlegelés és betekintés nélkül töröljük.
Kamerás megfigyelés
Jogos érdek alapján történik társaságunkban. Intézményeink közös tartózkodási helyiségeiben vannak elhelyezve kamerák, kizárólag biztonsági megfigyelés céljából. Az irodákban a munkahelyi teljesítményt törvény alapján nem figyeljük kamerákkal. Adatok megőrzése 3 napig tart.
ADATVÉDELMI TÁJÉKOZTATÁS
A rendelkezésre bocsátandó információk
Az adatalanynak lehetőséget kell biztosítani arra, hogy tájékozódjon a jogairól és arról, hogy mi történik az adataival. Ennek formai követelménye nincs, lehet akár szóbeli tájékoztatás is egy munkaszerződés aláírásakor, de általában érdemesebb ezt írásban megtenni, így könnyen bizonyítható, hogy a tájékoztatás megtörtént. Széles körben elérhető szolgáltatások esetén (pl. webes felület), szemléltetjük az adatvédelmi információkat, ahol kimerítően értekezünk cégünk gyakorlatáról. A tájékoztatás keretében az alábbi információkat kell átadni (kötelező elemek):
- Az adatkezelő kiléte és elérhetőségei (cégnév, cím, email, telefonszám)
- A személyes adatok tervezett kezelésének célja és jogalapja
- Ha jogos érdek alapján történik az adatkezelés, akkor ennek az érdeknek a megjelölése.
- A személyes adatok címzettjeit (vagy azok kategóriáit), ha azt valakinek továbbítjuk
Ezen felül a Kft. alkalmaz más lehetséges elemeket is:
- Tájékoztatás az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról is tájékoztatni is lehet.
- Adatkezeléshez kapcsolódó jogok kapcsán, hova küldheti kérését.
- Ha hozzájárulás alapján kezeljük az adatait, akkor a hozzájárulás visszavonásának lehetőségéről és módjáról.
- Az érintett személyes adatok kategóriái. A kategóriákat nem határozza meg rendelet, helyette az adatok általunk meghatározott közérthető besorolásáról van szó, például foglalkoztatás céljából „elérhetőségek” kezelése.
- Adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai. Például a számlán szereplő név, cím tárolása a számviteli törvénynek megfelelő időtartamig fog történni.
- A valamely felügyeleti hatósághoz címzett panasz benyújtásának joga.
- Ha az adatokat nem az érintettektől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.
Adatvédelmi tájékoztató tábla
A fenti pontoknak megfelelő adatvédelmi tájékoztató a Pro Kultúra Sopron Nonprofit Kft. esetében:
Az adatkezelő kiléte és elérhetőségei |
Pro Kultúra Sopron Nonprofit Kft. Székhely: 9400 Sopron, Liszt Ferenc u. 1. Cégjegyzékszám: 08-09-017481 Adószám: 18533093-2-08 Bankszámla szám: 11737083-20124616-00000000 |
A személyes adatok tervezett kezelésének célja és jogalapja |
Szerződés teljesítése. Ilyen lehet a munkáltatói szerződés, de egy vásárlás a webshopban is. A legkevesebb problémával járó jogalap. Jogi kötelezettség teljesítése. Ilyen lehet a számviteli törvény (mennyi ideig tartjuk meg a számlákat) vagy más helyi rendelkezés. Hozzájárulás alapján. Azaz az adat alany, valamikor, valamilyen bizonyítható módon hozzájárult az adatkezeléshez. Tudnunk kell bizonyítani, hogy ez megtörtént. Jogos érdek alapján. A vállalkozás azonosít valamilyen jogos érdeket (azaz a vállalkozás érdekét), amit mérlegelés után erősebbnek ítél az adat alany érdekeinél. Létfontosságú érdek, például a személy biztonsága, életvédelme kapcsán kezelt adat. Közérdekű vagy közhatalmi jogosítvány gyakorlásához kapcsolódó adatkezelés. |
Jogos érdek alapján történő adatkezelés |
Jogos érdek alapján. A vállalkozás azonosít valamilyen jogos érdeket (azaz a vállalkozás érdekét), amit mérlegelés után erősebbnek ítél az adat alany érdekeinél. |
A személyes adatok címzettjei |
Adatkezelők, divíziónkénti bontásban: munkaügy, gazdaság, értékesítés, informatika, marketing, informatika, rendezvényszervezés, művészeti adatkezelők |
Tájékoztatás a jogokról |
Az adat alanya kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról. GDPR 13-19. cikkelyei. |
Hova küldheti a személyes adatkezelési kérdéseit és kéréseit |
Az adat alanya a személyes adatkezelési kérdéseit és kéréseit az illetékes adatkezelő felé teheti meg. |
Hozzájárulás visszavonásának módja |
Írásban az érintetti jogosítványok alapján. |
Az érintett személyes adatok kategóriái |
Név, cím, e-mail, telefonszám, igazolványszám, lakcímkártya szám, adószám, bankszámla szám |
Adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai. |
Amennyiben a kezelés jogellenes, az érintett kéri, az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, illetve azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte. Amennyiben bíróság vagy a Nemzeti Adatvédelmi és Információszabadság jogerősen elrendeli az adatok törlését, a törlést az Adatkezelő végrehajtja. Törlés helyett az Adatkezelő – az érintett tájékoztatása mellett – zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Adatkezelő a személyes adatot tartalmazó adathordozót megsemmisíti.
|
A valamely felügyeleti hatósághoz címzett panasz benyújtásának joga. |
Ha ügyfél, ill. alkalmazott az adatkezeléssel kapcsolatban panaszt szeretne benyújtani, az alábbi helyen teheti meg: Név: Nemzeti Adatvédelmi és Információszabadság Hatóság Cím: H-1125 Budapest, Szilágyi Erzsébet fasor 22/c Tel.: +36-1-391-1400 E-mail: ugyfelszolgalat@naih.hu |
Elfogadom
KÉRJÜK, HOGY ADÓJA 1 %-ÁVAL TÁMOGASSA A SOPRONI PETŐFI SZÍNHÁZ ( PRO KULTÚRA SOPRON NONPROFIT KFT. ) MUNKÁJÁT!
ADÓSZÁMUNK: 18533093-2-08