Az Aquaprofit Zrt. adatvédelmi (GDPR) szabályzata
BEVEZETÉS
Az Aquaprofit Zrt. elkötelezett a jogszerű működés, illetve a vonatkozó jogszabályok betartása tekintetében, ezért biztosítja a szervezeten belül a hatályos adatvédelmi jogszabálynak való megfelelést. A jelen Adatvédelmi Szabályzattal (a továbbiakban: Szabályzat) a hatályos adatvédelmi jogszabályokkal összhangban, az adatokkal való elszámoltathatóság elvei szerint a Társaság biztosítani kívánja a személyes adatok jogszerű kezelését vagy azok feldolgozását.
Jelen Szabályzat célja, hogy:
- meghatározza a Társaság által kezelt adatok körét, az adatkezelés céljait, és az egyes céloknak megfelelően rendelje a célokhoz az adatkezelés jogalapját és az egyes adatok kezelésének időkorlátait;
- biztosítsa a Társaság tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését;
- a Társaság által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza az adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat;
- a Társaság feladatai teljesítéséhez, valamint a nyilvántartások vezetéséhez kapcsolódóan meghatározza a nyilvántartások vezetésének rendjét;
- biztosítsa a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 rendeletében (európai általános adatvédelmi rendelet, a továbbiakban: GDPR rendelet), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.) meghatározott érintetti, adatkezelői, adatfeldolgozói, címzetti jogokat és kötelezettségeket.
A Társaság nem tartozik a GDPR rendeletben meghatározott azon adatkezelők kategóriáiba, melyeknél az adatvédelmi tisztségviselő kijelölése kötelező, erre való tekintettel adatvédelmi tisztségviselőt nem jelöl ki. A Társaságon belüli adatvédelmi felelős funkciót a pénzügyi igazgató látja el.
FOGALOM MEGHATÁROZÁSOK
Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Adatkezelés: a személyes adatokon vagy adatállományokon végzett bármely művelet vagy műveletek, így az adatok gyűjtése, rögzítése, rendszerezésük, tárolásuk, megváltoztatásuk, lekérdezések, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
Profilalkotás: az adatok automatizált kezelésének bármely formája, a személyes adatok valamilyen jellemzők szerint értékelésére, különösen
- a munkahelyi teljesítményhez,
- viselkedéshez,
- tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére használják;
Adatkezelő: természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, jelen esetben az Aquaprofit Zrt.
Adatfeldolgozó: az a természetes személy, közhatalmi vagy egyéb szerv, amely az adatkezelő Aquaprofit Zrt nevében a személyes adatokat kezel;
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik;
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Genetikai adat: az örökölt vagy szerzett genetikai jellemzőkre vonatkozó minden olyan személyes adat, ami valaki fizikai vagy egészségi állapotára vonatkozik, és elsősorban a személyből vett biológiai minta elemzéséből ered. Genetikai adatokat az Aquaprofit Zrt nem tárol és nem is kezel.
Biometrikus adat: egy személy testi jellemzőire vonatkozó minden olyan személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép.
Egészségügyi adat: az egyes személyek egészségi állapotára vonatkozó személyes adatok, ideértve az egyének számára nyújtott egészségügyi szolgáltatásokra vonatkozó minden adatot;
Felügyeleti hatóság: független közhatalmi szerv, ez Magyarország területén folytatott adatkezelés és adatfeldolgozás tekintetében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) (1125 Budapest, Szilágyi Erzsébet fasor 22/C.)
ÁLTALÁNOS SZABÁLYOK
Hatály: A szabályzat személyi hatálya: a szabályzat személyi hatálya kiterjed a Társaság minden munkavállalójára, a munkavégzésre irányuló jogviszonyban álló természetes személyekre, valamint a társaság megbízásából, szerződés alapján, adatfeldolgozói feladatokat ellátó partnerekre. A szabályzat tárgyi hatálya: a szabályzat tárgyi hatálya kiterjed a Társaságnál folytatott valamennyi papír alapú és elektronikus adatkezelésre.
A szabályzat időbeli hatálya: a Társaság vezérigazgatójának jóváhagyásától visszavonásig.
Adatkezelési elvek:
A személyes adatokat csak célhoz kötötten, a célhoz elengedhetetlen mértékben és időtartamban, pontosan, naprakészen és biztonságosan, az érintett számára átlátható módon lehet kezelni.
A Társaság, mint adatkezelő, nem végez a személyes adatok tekintetében semmilyen különleges kategóriába tartozó adatkezelést.
Adatkezelés jogalapja:
- Hozzájárulás: mely önkéntes, bizonyítható és célhoz kötött
- Szerződés jogalap: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik Fél, vagy az a szerződés megkötését megelőzően, az Érintett kérésére történő lépések megtételéhez szükséges.
Jogi szabályozásra visszavezethető: az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, az ez alapján tárolt személyes adatok tárolására, kezelésére vonatkozóan a jogi környezet változását a szabályozásban követni kell, és szükség esetén a jogalap változásról az Érintetteket tájékoztatja az Adatkezelő.
- Adatkezelő vagy harmadik fél jogos érdeke: az adatkezelés a Társaság, mint adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
Érintettek jogai:
A Társaság biztosítja, hogy az Érintett, a Társaság által kezelt adataival kapcsolatban élhessen a GDPR rendeletben és a tagállami szabályozásban meghatározott jogaival (Infotv.). Az Érintettek jogaikat egyszerűsített, írásban benyújtott kérelem útján érvényesíthetik. A társaság, mint adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított 30 napon belül tájékoztatja az Érintettet a kérelem nyomán hozott intézkedésekről.
Az Érintett tájékoztatása, annak kérelme esetén, a korlátozások kivételével, kiterjed a kezelt adatok és a forrásának megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, a szervezet adatvédelmi felelősének nevére elérhetőségi adataira. Külön kérésre a Társaság tájékoztatja az adatfeldolgozók és címzettek adatairól az Érintettet. Az alapvető jogaival az Érintett ingyenesen élhet, de a felmerülő valós és arányos költségek tovább terhelhetők. Egyes jogok:
- Hozzájárulás visszavonásának joga
- Hozzáférés, betekintés joga
- Helyesbítés joga
- Törlés, felejtés joga
- Adatkezelés korlátozásának joga
- Adathordozhatóság joga
- Tiltakozás joga.
Az egyes jogok a GDPR rendeletben meghatározottak szerint, az adatkezelés céljától függően gyakorolhatók. Az Érintettet az adatkezelés megkezdése előtt tájékoztatni kell az Infotv. 20.§-ában foglaltak szerint (az Érintett előzetes tájékoztatása).
A TÁRSASÁG ADATKEZELÉSI FOLYAMATA
A munkavállalók kiválasztási folyamata során szerzett adatok:
Az Aquaprofit Zrt. üres pozícióit a saját weboldalán, internetes portálokon vagy egyéb úton hirdeti meg és teszi közzé.
Az elvárások figyelembe vétele érdekében a pályázatra, állás ajánlatra történő jelentkezés során a jelentkezőktől a Társaság általában a következő személyes adatok megadását kéri:
- a megpályázott munkakör megnevezése
- név
- fénykép
- szakmai önéletrajz
- iskolai végzettség(ek), bizonyítványok és oklevelek másolatai
- kamarai szakmagyakorlási jogosultságok
- referenciák, ajánlások az előző munkahelyekről
- elérhetőségek: állandó lakcím, tartózkodási hely vagy értesítési cím, magán telefonszám és magán e-mail cím
Adatkezelő: Társaság
Tényleges adatkezelés helye: saját szerverén korlátozott hozzáféréssel, illetve papír alapon
Adatok kezelésének jogalapja: ezeknek az adatoknak a megadása a jelentkező személy saját, jogos érdekéből történik, az adatkezelés jogalapja a jelentkező önkéntes adatszolgáltatása, hozzájárulása. Az adatok Társaság részéről történő kezelése szükséges a jelentkező kiválasztásához.
Adatok kezelésének időtartama: A fenti adatokat a kiválasztás során a kiválasztott jelentkező esetén a meghirdetett munkakör betöltéséig őrzi meg a Társaság. Az adatokat a HR-munkaügyi vezető, a kiválasztást végző területi vezető, a területi igazgató és a vezérigazgató kezelheti. A kiválasztást követően a kiválasztott jelentkezőre a jelen szabályzat munkavállalókra vonatkozó részének hatálya terjed ki.
A többi jelentkező esetében, értesítésük után, és a velük történt egyeztetés eredménye alapján:
- a jelentkezők adatai közül a később számításba vehető, de most nem kiválasztott jelentkezők adatait írásos hozzájárulásuk esetén továbbra is megőrizi a Társaság,
- az elvárásainknak nem megfelelő, sikertelennek ítélt jelentkezők személyi anyagait (papíron és digitális formátumokban egyaránt) a HR vezető visszaküldi, vagy az érintett jelentkező rendelkezése alapján azokat megsemmisíti, illetve törli.
Adatfeldolgozó: HR vezető
A társasággal munkavégzésre irányuló jogviszonyban állók adatainak kezelése:
Az adatkezelés tekintetében a munkaszerződés megkötésekor tájékoztatni kell a jogviszonyt létesítőket, hogy a munkakör betöltéséhez mely adatok megadása kötelező.
Adatkezelő: Társaság
Tényleges adatkezelés helye: saját szerverén korlátozott hozzáféréssel, illetve jelszavas védelemmel ellátott Libra3s, Timesheet, Nexon szoftverekben és papír alapon
Adatok kezelésének jogalapja: a kezelt adatok részben a jogviszonyt meghatározó szerződéses jogalapján, részben pedig törvényi szabályozás jogalap alapján kerülnek rögzítésre és kezelésre, jogos érdek
Adatok kezelésének időtartama: jogszabályi kötelezettség alapján a Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) és a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.) szabályai, a foglalkoztatottakra vonatkozó adózási jogszabályokban meghatározott szabályok, valamint az egészségbiztosítási és a nyugdíj ellátásra vonatkozó jogszabályoknak megfelelő módon és ideig, a Társaság a Munkavállaló/Megbízott következő személyes adatait is kezeli és tárolja. A munkaviszony megszűnését követően a Társaság az adatokat az adatszolgáltatási kötelezettség lejáratáig kezeli.
Adatfeldolgozó: Bérszámfejtő, könyvelő
A tárolt és kezelt adatok
- Név
- Születési név
- Anyja neve
- Születés ideje
- Születés helye
- Végzettség megnevezése
- Végzettség jellege
- Adóazonosító
- TAJ szám
- Személyi igazolvány szám
- Cím
- Bankszámlaszám
- Állampolgárság
- Magán nyugdíjpénztári adatok (név és kezdet)
- Kiskorú gyermek neve
- Kiskorú gyermek születési ideje
- Kiskorú gyermek születési helye
- Kiskorú gyermek anyja neve
- Kiskorú gyermek adóazonosító jele (ha van)
- Iskolai végzettséget, képzettséget, nyelvtudást igazoló dokumentumok másolata
A munkakörhöz kapcsolódó és a munkáltató által biztosított elérhetőségek:
A munkaviszonnyal/megbízási jogviszonnyal kapcsolatban a Munkáltató/Megbízó jogos érdekkörében a Munkavállaló/Megbízott adatait a működéshez köthető szerződésekben, mint kapcsolattartó, illetve honlapon, Intraneten is megadhatja az alábbiak szerint:
Tényleges adatkezelés helye: szerződésekben, papír alapon, és elektronikus formában a társaság saját szerverén, iktatórendszerében, Intraneten, Társaság honlapján
Adatok kezelésének jogalapja: Jogos érdek
Adatok kezelésének időtartama: A kapcsolattartói adatokat a természetes személy jogviszonyának megszűnésekor a Társaság töröli, és új kapcsolattartót jelöl ki. Az eredeti szerződésben rögzített személyes adatokat jogos érdek jogalapján a szerződés megszűnéséig, illetve annak jogszabályban előírt idejéig tárolja, de nem kezeli.
A fentiek szerint az alábbi adatok kerülnek megadásra:
- Név
- Munkáltató/Megbízói elérhetősége
- Hivatali e-mail cím
- Telefonszám
Kiküldetéséhez, gépjármű használathoz kapcsolódó nyilvántartások:
Külföldi, belföldi kiküldetéséhez nyilvántarthatja a Munkavállaló/Megbízott úti okmány azonosítóit, a magán személygépkocsi használata esetében a gépjármű azonosítására és jogszabályban meghatározott elszámoláshoz szükséges és nyilvántartására vonatkozó adatokat, és a szervezés lebonyolítás kapcsán (az adattakarékosság elvének fenntartása mellett).
A Társaság tulajdonában és használatában álló gépjárművek GPS nyomkövetővel ellátottak. A Társaság tulajdonában álló gépjárművek munkavállalóknak, vagy a munkavégzésre irányuló egyéb jogviszony alapján foglalkoztatottak részére való átadás feltétele az átvevő hozzájárulása a GPS alapú nyomkövetéshez.
Tényleges adatkezelés helye: adatfeldolgozónál
Adatok kezelésének jogalapja: Jogos érdek
Adatok kezelésének időtartama:
- Ezen adatokat, iratokat a jogviszony megszűnését követően a Társaság törölni, megsemmisíteni köteles:
- Útlevél szám
- Személygépjármű rendszáma
- Gépjármű forgalmi adatai
- vezetői engedély száma
- vezetői engedély érvényességének dátuma.
- A GPS nyomkövetés adatait az adat feldolgozására megbízott vállalkozás Általános Szerződéses Feltételeinek adatkezelési rendelkezései szerint kezeli.
A munkakör betöltéséhez, munkavállaló képzéséhez, előírt képzési szint igazolásához és megszerzéséhez kapcsolódó nyilvántartások:
Társaság nyilvántarthatja és kezelheti Munkáltató/Megbízó által kezdeményezett, vagy engedélyezett, finanszírozott képzésekhez, továbbképzésekhez, azok megszervezéséhez szükséges személyes adatokat, és a végzettséget igazoló dokumentumok másolatát.
Tényleges adatkezelés helye: saját szerveren elektronikusan korlátozott hozzáféréssel, papír alapon
Adatok kezelésének jogalapja: Jogos érdek
Adatok kezelésének időtartama: a képzés és a kapcsolódó elszámolás befejezéséig
- Legmagasabb iskolai végzettség
- Tevékenység gyakorlásához előírt szakirányú végzettség
- Végzettséget igazoló dokumentumok
- Végzettség megszerzésének helye intézménye
- Tanulmányok kezdete vége
- Oklevél száma
- Végzettséghez kapcsolódó személyes adatok
- Nyelvtudás adataival kapcsolatosan keletkezett adatok:
- Nyelv
- Kapcsolódó vizsga szint
- Megszerzés időpontja
Munkáltató/Megbízó eszköz-nyilvántartása:
A tevékenységi körhöz tartozó munkaeszközök tekintetében a Munkáltató/Megbízó jogos érdek jogalapra tekintettel nyilvántartást vezet a Munkavállaló/Megbízott számára biztosított eszközök esetében.
Tényleges adatkezelés helye: saját szerveren elektronikusan, papír alapon
Adatok kezelésének jogalapja: Jogos érdek
Adatok kezelésének időtartama: az eszköz selejtezéséig.
Az adat tárolásra alkalmas eszközök esetében a Munkavállaló/Megbízott saját célra a jogviszonyra jellemző annak keletkezését meghatározó dokumentumokban (megbízási, munka-szerződés, stb.) korlátozhatja az eszköz magáncélra történő használatát. A korlátozás módjától mértékétől függetlenül Munkáltató/Megbízó az eszközök mentéséről, az eszközön tárolt adatok mentéséről, vagy azok törléséről az eszköz helyzetének meghatározásának jogainak fenntartása mellett bármikor mentést vagy törlést kezdeményezhet.
Munkáltató/Megbízó szervere:
A Munkáltató/Megbízó saját belső szervert tart fenn, melyen a Munkavállalók/Megbízottak részére az azon található dokumentumokhoz való hozzáférés és kezelés lehetőségét biztosítja. A szerverhez a jogosultsággal bíró Munkavállalók/Megbízottak mindegyikének személyre szabott jogosultsága van, ezzel biztosítja a Társaság, hogy a felhasználók csak a munkavégzésükhöz feltétlenül szükséges információkhoz jussanak hozzá, valamint, hogy a szerveren tárolt személyes adatok illetéktelen kezébe ne kerülhessenek. A szerveren tárolt, személyes adatokat is tartalmazó dokumentumok tárolási ideje megegyezik a papír alapú megfelelő őrzési idejével.
Adatok átadása Adatfeldolgozóknak:
A Munkavállaló/Megbízott tudomásul veszi, hogy a Munkaadó/Megbízó tevékenységi körében Alvállalkozó Adatfeldolgozókkal áll kapcsolatban. A Munkáltató/Megbízó a Munkavállaló/Megbízott személyes adatait adatfeldolgozás céljából továbbítja (az adattakarékosság elvének figyelembe vételével) a következő Adatfeldolgozók számára és céllal:
- könyvelő, bérszámfejtő, kontrolling: számviteli, könyvviteli feladatok ellátása
- üzemorvos: egészségügyi alkalmassági vizsgálatok ellátása
- rendszergazda: informatikai feladatok ellátása
- GPS üzemeltető: gépjárművek nyomon követése
Adatok átadása címzettek részére:
- Nemzeti Adó és Vámhivatal
- Megyei Kormányhivatal Nyugdíjbiztosítási Igazgatósága
- Megyei Kormányhivatal Egészségbiztosítás szerve
- Felszámolók Névjegyzékét Vezető Hatóság
- Egyéb, jogszabályon alapuló adatközlési kötelezettség címzettje
Megrendelők és beszállítók, alvállalkozók adatai:
A Társaság egyes projektjeinek megvalósítása során külső szolgáltatókat: beszállítókat és alvállalkozókat (a továbbiakban: partnerek) vesz igénybe. Ennek során szerződéses kapcsolatokat létesítünk, és ezen szerződések teljesítése során szintén kezeljük a partnerek képviselőinek személyes adatait. Ezeket az adatokat a szerződés teljesítési követelményei keretében az adott szervezet képviselőitől kapjuk meg, és ennek megfelelően azokat a szerződésben foglalt felhatalmazás alapján tároljuk és kezeljük.
Tényleges adatkezelés helye: saját szerveren elektronikusan, iktatórendszerben, papír alapon
Adatok kezelésének jogalapja: Jogszabályi kötelezettségek teljesítése, Jogos érdek
Adatok kezelésének időtartama: A számviteli kötelezettségek teljesítésével összefüggő adatkezelés esetében a számla kiállításától számított 9. naptári év vége, egyéb személyes adatok esetén a szerződés teljesítését követő 5. naptári év vége.
ADATKEZELÉSI FOLYAMATBA ÉPÍTETT VÉDELEM
A Munkavégzésre irányuló jogviszonyban foglalkoztatottak adatkezelése:
A Társaság azon Munkavállalói, vagy munkavégzésre irányuló egyéb jogviszony alapján foglalkoztatottjai, akik a Társaságon belül az adatkezelési feladatokat ellátják, kötelesek az adattakarékosság elvét betartani és követni. Adatkezelői tevékenységük során minimalizálni kötelesek a munkahelyi nevesített informatikai eszközeik helyi tárolókapacitásán elhelyezett személyes adatok mennyiségét. Saját adathordozóra tilos a Társaság adatvagyonát képező, vagy személyi adatokat érintő adathalmazt vagy dokumentumot menteni, tárolni.
Adatfeldolgozók köre és tevékenységük:
Adatfeldolgozónak számít az a természetes személy vagy szervezet, aki/amely az Adatkezelővel kötött szerződése alapján – beleértve a jogszabályi környezet rendelkezése alapján történő szerződéskötést is – az adatok feldolgozását végzi. A Társaság által tárolt adatok köréhez részben, vagy egészben hozzáfér, a hozzáférése kizárólag a szerződés idejére szól, a Társaság részére az adatokon bármilyen módosítást feldolgozást csak és kizárólag írásos utasításra végez. Feladata az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.
A Társasággal szerződéses jogviszonyban álló adatfeldolgozók köre:
- könyvelés: Memolux Kft.
- rendszergazda, felhő alapú szolgáltatások: InfoComplex Kft.
- webhosting: CRE-ART Stúdió Bt., 365 Média Kft.
- üzemorvos: Med-Mix Bt., Infra-Med Kft.; Remedium 97 Bt.
- GPS flottakövető szolgáltató: ITWare Kft.
A Társaság az Adatfeldolgozókkal kötött külön szerződésben határozza meg az személyes adatok átadásának biztonságos módját. Az adatfeldolgozó részére a szerződésnek megfelelő módon továbbított személyes adatok adatfeldolgozónak felróható nyilvánosságra kerülése, illetéktelenek által való megismerése, megsemmisülése, illetve az Adatfeldolgozó titoktartási kötelezettségének megsértése az Adatfeldolgozó felelőssége.
Weboldal funkciói és a weboldalhoz kapcsolódó adatkezelés:
A Társaság weboldalán automatikus döntéshozatali eljárást vagy profilozást nem folytat, IP cím követést nem végez. Személyes adatok megadása kizárólag a honlapon található e-mail címekre történhet. A megadott adatokból a weboldal külön adatbázist nem kezel vagy tárol.
Harmadik országgal kapcsolatos rendelkezések:
A Társaság szervezet harmadik országbeli adatkezelőknek, Adatfeldolgozóknak, egyéb Címzetteknek vagy nemzetközi szervezeteknek nem továbbít adatot.
Incidens kezelés és nyilvántartás:
Az adatvédelmi incidens alatt a GDPR rendelet értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen, vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Amennyiben az Adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban, bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
Az adatvédelmi incidensről szóló bejelentésben legalább:
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
- közölni kell az Adatvédelmi felelős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit,
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az adatvédelmi incidens-nyilvántartás tartalma:
Sorszám |
1 |
2 |
3 |
Incidens leírása (jellege) |
|
|
|
Kockázat |
|
|
|
Megfelelő technikai védelem |
|
|
|
Valószínűsíthető következmények |
|
|
|
Adatvédelmi felelős neve |
|
|
|
Adatvédelmi felelős elérhetősége |
|
|
|
Tájékoztatás dátuma, időpontja |
|
|
|
Nem kell tájékoztatás |
|
|
|
Adatvédelmi hatásvizsgálat:
Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja. Kötelező elvégezni:
- automatizált döntéshozatali – ideértve a profilalkotási eljárások – esetén
- személyes adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése esetén
- nyilvános helyek nagymértékű, módszeres megfigyelése esetén
Ezen túlmenően hatásvizsgálatot kell végezni minden olyan adatkezelés tekintetében, amelyek valószínűsíthetően magas kockázattal járnak az Érintettekre nézve.
A Társaság nem alkalmaz profilalkotó eljárásokat, nem kezel különleges kategóriájú személyes adatokat, és közterület szisztematikus megfigyelésével sem foglalkozik. Ezért rendszeres hatásvizsgálatra nem kötelezett. Új szolgáltatások bevezetése vagy az adatkezelést előíró jogszabályi környezet megváltozása esetén meg kell vizsgálni, hogy a megváltozott adatkezelés indokolja e az adatvédelmi hatásvizsgálat elvégzését.
Adatbiztonság és infrastruktúra:
Elektronikus adatok tárolása:
- Web hosting szolgáltató: CRE-ART Stúdió Bt.
- Server hosting szolgáltató: CRE-ART Stúdió Bt.
- Felhőszolgálgatások: InfoComplex Kft.
- GPS adatok: ITWare Kft.
- Saját szerverek
Fizikai iratok tárolása: a társaság a papír alapú dokumentumokat telephelyein, zárt helyiségben tárolja.
Jogorvoslati lehetőségek:
1. Adatkezelő felszólítása jogosulatlan adatkezelési tevékenység esetén
Amennyiben az érintettek bármilyen jogsértést tapasztalnak az AQUAPROFIT Zrt. adatkezelésével kapcsolatban, joguk van ezt az Adatkezelő részére jelezni.
Az Adatkezelő adatvédelmi kapcsolattartója: Pintér Anica, gazdasági igazgató
e-mail cím: anica.pinter@aquaprofit.com
Intézkedések az érintett Adatkezelőhöz érkező kérelme alapján
Az Adatkezelő indokolatlan késedelem nélkül, legkésőbb a kérelem beérkezésétől számított 15 napon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további 30 nappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 15 napon belül tájékoztatja az érintettet.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást Adatkezelő elektronikus úton küldi meg, amennyiben az érintett a kérelemben másként nem rendelkezik.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, arról érintettet a fenti határidőben tájékoztatja. Ez esetben a tájékoztatásban megjelöli az intézkedés elmaradásának okait.
Adatkezelő az információkat és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő bruttó 30.000,-Ft összegű díjat számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést. Amennyiben az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti. Adatkezelő az elutasított tájékoztatási kérelmekről a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente a tárgyévet követő év január 31-éig értesíteni köteles.
2. Panasz
Amennyiben az érintettek bármilyen jogsértést tapasztalnak az Adatkezelő adatkezelésével kapcsolatban, panasszal fordulhatnak a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH).
Posta címe: 1530 Budapest, Pf.: 5.
telefonszáma: +36 (1) 391-1400
e-mail címe: ugyfelszolgalat@naih.hu
weboldala: http://naih.hu
3. Bírósági jogorvoslathoz való jog
Érintettek az Adatkezelő, illetve az Adatfeldolgozó ellen bírósághoz fordulhatnak, ha megítélésük szerint személyes adataiknak kezelése az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény vagy a GDPR rendelet előírásainak megsértésével történik.
Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani.
A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Nemzeti Adatvédelmi és Információszabadság Hatóság az érintett pernyertessége érdekében beavatkozhat. Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az adatátvevő által kért adat kiadására kötelezi. A bíróság elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett védett jogai megköveteli.
Adatvédelmi incidensek bejelentése a NAIH-nak
Adatkezelő az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatósághoz kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintett jogaira és szabadságaira nézve.
Ha a bejelentett adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Alkalmazandó jogszabályok
A jelen tájékoztató az alábbi jogszabályoknak való megfelelést és az érintettek joggyakorlásának biztosítását szolgálja:
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.),
- az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR),
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.),
- a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény.