Adatkezelési tájékoztató
ADATKEZELÉSI TÁJÉKOZTATÓ
A Kecskemétfilm Kft. általános adatkezelésére vonatkozóan
- ÁLTALÁNOS RENDELKEZÉSEK
- Az Adatkezelési Tájékoztató célja
A KECSKEMÉTFILM Kft. (a továbbiakban: Adatkezelő) jelen Adatkezelési Tájékoztatóban nyújt tájékoztatást az Adatkezelő
általános adatkezelésére, illetve a kecskemetfilm.hu weboldalon történő adatkezelésére vonatkozóan.
Az adatvédelem a személyes adatok jogszerű kezelését, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összességét jelenti, amelynek célja az érintett személyek jogainak védelme, és annak megakadályozása, hogy a személyes adatokat jogosulatlanul ne ismerhessék meg arra jogosulatlan személyek.
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (a továbbiakban: Rendelet, GDPR) előírása szerint az Adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, továbbá az Adatkezelő elősegíti az érintett jogainak a gyakorlását.
Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény is tartalmazza.
Az alábbiakban olvasható tájékoztatással e jogszabályi kötelezettségünknek teszünk eleget.
A tájékoztatást közzé kell tenni a társaság honlapján, vagy az érintett személy részére kérésére meg kell küldeni.
A jelen dokumentumban nem szabályozott kérdésekben a vonatkozó jogszabályok irányadóak.
Az Adatkezelő kiemelten kezeli a vele kapcsolatba kerülő személyek magánéletének és személyes adatainak védelmét, folyamatosan eleget téve az érintettek számára az elszámoltathatóság alapelvének.
Ezzel összhangban az Adatkezelő a rendelkezésére bocsátott személyes adatokat minden esetben a hatályos magyar és Európai Uniós jogszabályoknak és etikai elvárásoknak eleget téve kezeli, minden esetben megteszi azokat a technikai és szervezési intézkedéseket, amelyek a megfelelő biztonságos adatkezeléshez szükségesek.
- Az adatkezelés személyi és tárgyi hatálya
A jelen Adatkezelési Tájékoztató személyi hatálya a KECSKEMÉTFILM Kft. munkavállalóira, illetve a vele munkavégzés vagy munkavégzésre irányuló egyéb jogviszony létesítése céljából személyes adatokat megosztó természetes személyekre, az Adatkezelővel szerződéses, illetve szakmai kapcsolatban álló alkotókra, stábtagokra és szerződéses kapcsolattartókra, az Adatkezelővel stúdiólátogatás során a látogatói oldalon kapcsolatba kerülő természetes személyekre, továbbá vele egyéb céllal kapcsolatba kerülő természetes személyekre (a továbbiakban: Érintett) illetve az Adatkezelőre, valamint az Adatfeldolgozókra terjed ki.
Jelen Adatkezelési Tájékoztatóban az Adatkezelő a KECSKEMÉTFILM Kft. általános tevékenysége során, illetve a kecskemetfilm.hu weboldalon történő adatkezelés lényeges körülményeiről, módjairól, elveiről, az adatkezelés jogalapjáról, céljáról és időtartamáról nyújt részletes információkat.
- Az Adatkezelő megnevezése, elérhetőségei
Kecskeméti Animációs Filmgyártó és Forgalmazó Korlátolt Felelősségű Társaság
rövidített néven: KECSKEMÉTFILM Kft.
székhelye: HU-6000 Kecskemét, Liszt Ferenc utca 21.
cégjegyzékszáma: 03-09-102262
képviseli: Mikulás Ferenc ügyvezető
adószáma: 11029245-2-03
elektronikus elérhetőség
: kfilm@kecskemetfilm.hu
honlap:
www.kaff.hu,
www.kecskemetfilm.hu,
www.magyarnepmesek.eu
telefonszám: +36 76 481 788
a továbbiakban: Társaság vagy Adatkezelő
- Alapfogalmak
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ (azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító (például név, lakcím, e-mail cím, telefonszám vagy a természetes személy testi, fiziológiai, szellemi, gazdasági vagy szociális azonosságára vonatkozó egy vagy több tényező) alapján azonosítható;
„adatkezelés”: a személyes adatokon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmiszerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„
az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
„különleges személyes adat”: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, melyek kezelése a GDPR 9. cikk (1) bekezdése alapján tilos, azok kizárólag a GDPR 9. cikk (2) bekezdésében foglalt kivételes – különösen az érintett kifejezett hozzájárulása esetében - kezelhetőek
- TÁJÉKOZTATÁS AZ EGYES ADATKATEGÓRIÁKHOZ TARTOZÓ ADATKEZELÉSEKRŐL
Adatkategória |
Érintettek, kezelt személyes adatok |
Adatkezelés jogalapja |
Adatkezelés célja |
Adatkezelés időtartama |
TOBORZÁSI KIVÁLASZTÁSI ELJÁRÁSBAN
MUNKAVISZONY, ILLETVE MUNKAVÉGZÉSRE IRÁNYULÓ EGYÉB JOGVISZONY LÉTESÍTÉSE CÉLJÁBÓL MEGKÜLDÖTT SZEMÉLYES ADATOK
|
- A pályázó kapcsolattartási adatai:
- lakcím
- e-mail cím
- telefonszám
- Képesítésre, végzettségre, szakmai tapasztalatra vonatkozó adatok
- Szakmai önéletrajzban a pályázó által megadott személyes adatok, motivációs levél
- A kiválasztási interjúk során a pályázó által megadott vagy a pályázó értékelésére vonatkozó adatok
|
Az érintett önkéntes hozzájárulása a GDPR 6. cikk (1) bekezdés a) pontja) alapján.
Egyes különleges személyes adatok (pl. megváltozott munkaképességgel összefüggő egészségügyi adatok) kezelése esetén az adatkezelés jogalapja
a munkaviszony létrejöttét megelőzően az Érintett kifejezett önkéntes hozzájárulása az Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pontjának
és 9. cikk (2) bekezdés a) pontjának megfelelően. |
- Azonosítás, kapcsolattartás
- Az adott munkakör betöltéséhez szükséges képzettség meglétének igazolása
- Az adott munkakör betöltéséhez szükséges képzettség, végzettség, szakmai tapasztalat meglétének felmérése, továbbá a pályázó motivációjának értékelése
- A pályázó alkalmasságának értékelése a kiválasztási eljárásban
|
Konkrét álláspályázat meghirdetése esetén az álláspályázat végétől számított 30 napon belül a megküldött önéletrajzok és egyéb személyi anyagok törlésre kerülnek, amennyiben a Pályázó a HR adatbázisba történő felvételhez nem adta kifejezett hozzájárulását.
Konkrét álláspályázat nélkül megküldött önéletrajzok és egyéb személyi anyagok esetében a jelentkezők önéletrajza és személyes anyagai 5 évig kerülnek megőrzésre.
(Az adattárolás átlagosnál hosszabb időtartamát az indokolja, hogy az Adatkezelő animációs filmgyártói, illetve fesztiválszervezői tevékenységéhez kapcsolódó művészeti pozíciók esetében az önéletrajzok időtállóbbak.)
A hozzájárulás visszavonása esetén a személyes adatok teljes köre törlésre kerül.
|
|
|
MUNKAVÁLLALÓI SZEMÉLYES ADATOK |
A Munkáltató részére a munkaviszony létesítéséhez, a munkaviszonyból fakadó törvényi és szerződéses jogok gyakorlásához és jogi
kötelezettségek teljesítéséhez szükséges kötelezően átadott személyes adatok:
- Név
- Születési név
- Születési hely
- Születési idő
- Anyja születési neve
- Lakóhely
- Tartózkodási hely (amennyiben eltérő a lakóhelytől)
- Adóazonosító jel
- Társadalombiztosítási azonosító jel (TAJ szám)
- Nyugdíjas törzsszám (nyugdíjas munkavállaló esetén)
- Személyi igazolvány száma
- Lakcímet igazoló hatósági igazolvány száma
- Folyószámla száma
- Végzettséget igazoló okmány másolati példánya
- Munkabér
- Munkakör
- Munkaidő
- Munkarend
- Munkahely
- Szakképzettségre vonatkozó adatok
- Szakmai tapasztalatra vonatkozó adatok
- Betegállományára, szabadságra vonatkozó adatok
- 16 év alatti gyermekek neve, születési helye és ideje (ha a munkavállaló gyermek után járó szabadságot kíván igénybe venni)
- Fénykép (csak hozzájárulás alapján)
- A munkaviszony létesítését követően, a munkaviszony fennállása alatt a Munkáltató birtokába kerülhet és kezelhet olyan munkavállalói személyes adat is, amely
szükségszerűen jut a tudomására (pl. a Munkavállaló képességeire, munkaviszonnyal kapcsolatos magatartására vonatkozó személyes adatok stb.), illetve külső
szervtől jut a tudomására (pl. bírósági végrehajtótól érkező letiltás, foglalkozás-egészségügyi szolgáltató által megküldött adat a Munkavállaló egészségügyi
alkalmasságára vonatkozóan stb.)
Társadalombiztosítási nyugellátás megállapításához szükséges munkavállaló adatok:
Vonatkozó jogszabály: a 1997. évi LXXXI. törvény (Tbny.) 43. § (2) bekezdése, mely szerint a munkavállaló a társadalombiztosítási igazgatási szerv által
kiszámolt szolgálati idővel szemben az egyet nem értését csak a korábbi munkáltató/foglalkoztató által kiállított egykorú eredeti okirattal (igazolással)
vagy hiteles másolattal, vagy a foglalkoztató eredeti nyilvántartásai alapján kiállított igazolással tudja bizonyítani.
- járulékalapot képző kereset
összege és a szolgálati idő
megállapításához
szükséges
dokumentumok
- járulékköteles munkabér és
táppénz megfizetését igazoló
dokumentumok (járulékalapot
képző jövedelemről és a levont
járulékról kiállított igazolás,
kilépő
dokumentumok,
munkaviszony igazolás )–
Adó megállapításához kapcsolódó, vagy ahhoz szükséges Munkavállalói adatokat tartalmazó dokumentumok
Vonatkozó jogszabály: Art. 202. § (1) bekezdése: az adó megállapításához való jog annak a naptári évnek az utolsó napjától számított öt év elteltével
- be-és kijelentési nyomtatványok
- adóbevallás,
- adóbevallás alapját képező dokumentumok (M30-as
nyomtatvány, Adatlap 201x),
adókedvezménnyel kapcsolatos
dokumentumok
Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés)
A törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből:
- a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is),
- nemét,
- állampolgárságát,
- a természetes személy adóazonosító jelét,
- társadalombiztosítási azonosító jelét (TAJ szám).
Levéltári megőrzési szabályok: nem selejtezhető iratok.
A közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Ltv.) 4. § szerint az irattári anyaggal rendelkező
szervek (…) kötelesek a (…) tulajdonukban vagy birtokukban lévő maradandó értékű iratok megóvásáról gondoskodni. Ebből a szabályból az következik,
hogy az ilyen iratok nem selejtezhetőek.
Az Ltv. 3. § j) pont szerint „maradandó értékű iratnak” minősül a gazdasági, társadalmi, politikai, jogi, honvédelmi, nemzetbiztonsági, tudományos,
művelődési, műszaki vagy egyéb szempontból jelentős, a történelmi múlt kutatásához, megismeréséhez, megértéséhez, a közfeladatok folyamatos
ellátásához és az állampolgári jogok érvényesítéséhez nélkülözhetetlen, más forrásból nem vagy csak részlegesen megismerhető adatot tartalmazó irat.
|
Az Adatkezelő, mint munkáltató részére kötelezően átadott személyes adatokat a Munkáltatók az Mt. 10. § (1)-(4) bekezdéseinek törvényi felhatalmazása alapján kezeli az Adatkezelőre vonatkozó jogi kötelezettség teljesítése a GDPR 6. cikk (1) bekezdés c) pontja) alapján.
|
A Munkavállaló esetében az adatkezelés céljai a munkaviszony létesítése, fenntartása, a munkaviszonyból következő törvényes és/vagy szerződéses munkáltatói
kötelezettségek (különösen pl. munkabérfizetés, választott béren kívüli juttatás folyósítása, törvényes adók- és járulékok levonása, szabadság kiadása stb.) teljesítése és törvényes és/vagy
szerződéses munkáltatói jogok gyakorlása, a Munkáltató projektjei kapcsán a humán erőforrás szükségletek tervezése, nyilvántartása, belső ellenőrzési, biztonsági
tevékenység ellátása, továbbá a munkaviszony megszüntetése, továbbá törvényen alapuló adatszolgáltatás (pl. nyugdíjfolyósító szerv részére).
A Munkavállaló személyes adatait a Munkáltató statisztikai célra felhasználhatja és statisztikai célú felhasználásra – a munkavállaló hozzájárulása nélkül,
személyazonosításra alkalmatlan módon – átadhatja.
A megváltozott munkaképességű Munkavállalók esetében a személyes adatok kezelésének speciális céljai:
A Munkáltató az Mt. 120. § alapján a megváltozott munkaképességű, a fogyatékossági támogatásra jogosult, vagy vakok személyi járadékára jogosult Munkavállalónak
járó pótszabadság igénybevételével kapcsolatosan, a pótszabadság igénybevételére való jogosultság megállapítása céljából kezelheti az Érintettek szerinti személyes adatait.
Az Mmtv. 23. § (7) bekezdése előírja, hogy a megváltozott munkaképességű munkavállalót foglalkoztató munkaadó a rehabilitációs hozzájárulás megállapítása
céljából nyilvántartást vezet és ezen nyilvántartásban kezelheti az Érintettek Mmtv.-ben meghatározottak szerinti, személyes adatait.
Adatkezelő a munkavállalói adatkezelés során szem előtt tartja, hogy a Munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy
megszűnése szempontjából lényeges.
A Munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
|
Munkaviszonnyal kapcsolatos olyan dokumentumok, mely a munkaviszony létesítésével, fennállásával, megszűnésével kapcsolatosak: főszabály szerint a
munkaviszony megszűnésétől számított három (3) év.
Vonatkozó jogszabály: Mt. 286. § (1) bekezdése (a munkajogi igény három év alatt évül el)
Ide tartoznak: az Mt. 14-18. §-aiban foglalt jognyilatkozatok: munkaszerződés, tanulmányi szerződés, felmondás, utasítás, kötelezettségvállalás,
munkáltatói szabályzat, tájékoztatás.
A bűncselekménnyel okozott kár megtérítésére, illetve a személyiségi jogsértéssel összefüggő sérelemdíj megfizetésére irányuló igény és ezzel kapcsolatos
dokumentumok: öt (5) év, mivel ezekre öt (5) éves elévülési idő vonatkozik.
· munkaszerződés,
· tanulmányi szerződés,
· felmondás,
· utasítás,
· kötelezettségvállalás,
· munkáltatói szabályzat,
· tájékoztatás
Társadalombiztosítási nyugellátás megállapításához szükséges munkavállaló adatokat a Munkáltató a Tbny. szerint biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.
Adó megállapításához kapcsolódó, vagy ahhoz szükséges Munkavállalói adatokat tartalmazó dokumentumok annak a naptári évnek az utolsó napjától
számított öt (5) év amelyben az adóról bevallást, adatbejelentést, bejelentést kellett volna tenni, illetve bevallás, adatbejelentés, bejelentés hiányában az adót
meg kellett volna fizetni. Figyelembe kell azonban venni az adózás rendjéről szóló 2017. évi CL. törvény (Art.) 203. §-ban foglaltakat is, mely esetekben az
elévülési idő meghosszabbodhat akár 6-12 hónappal is.
Levéltári megőrzési szabályok: - a Ltv. szerinti „maradandó értékű iratok”
– a Levéltári tv. alapján nem selejthezhetőek, a Munkáltatónak határidő nélkül meg kell őriznie azokat.
|
FILMADATBÁZISBAN SZEREPLŐ ALKOTÓK ÉS EGYÉB STÁBTAGOK SZEMÉLYES ADATAI
|
- A KECSKEMÉTFILM Kft. gyártásában készült filmek alkotói (rendező, operatőr, rendezőasszisztens, zeneszerző, író, animációs tervező), producere, gyártásvezetője, illetve egyéb stábtagok neve
- A KECSKEMÉTFILM Kft. által bérmunkában, ill. koprodukcióban készült alkotásainak alkotóinak neve
- A KECSKEMÉTFILM Kft. gyártásában készülő folyamatban lévő munkák alkotóinak neve
|
Az alkotók esetében az Adatkezelő Szjt. -ben előírt kötelező névfeltüntetéssel kapcsolatos jogi kötelezettség teljesítése a GDPR 6. cikk (1) bekezdés c) pontja) alapján.
Egyéb stábtagok esetében az érintett önkéntes hozzájárulása a GDPR 6. cikk (1) bekezdés a) pontja) alapján.
|
A szerzői jogról szóló 1999. évi LXXVI. törvény (a továbbiakban: Szjt.) 12. §.ában foglalt név feltüntetéséhez való személyhez fűződő szerzői jog érvényesítéséhez kapcsolódó jogi kötelezettség teljesítése az Adatkezelő részéről.
|
A Szjt. alapján kötelezően névfeltüntetés tekintetében határozatlan időtartam.
Az érintett hozzájárulása esetén a hozzájárulás visszavonása.
|
STÚDIÓLÁTOGATÁSRA ÉRKEZŐK KAPCSOLATTARTÓINAK SZEMÉLYES ADATAI
|
Csoportos stúdiólátogatás esetén a csoport, illetve az oktatási intézmény képviselőjének
- neve,
- e-mail címe,
- telefonszáma.
|
Az érintett önkéntes hozzájárulása a GDPR 6. cikk (1) bekezdés a) pontja) alapján.
|
- A látogatói regisztráció lebonyolítása,
- a stúdiólátogatás megszervezése,
- kapcsolattartás.
|
A regisztrációval érintett esemény befejezéséig, illetve az érintett hozzájárulásának visszavonásáig.
A hozzájárulás visszavonása esetén a személyes adatok teljes köre törlésre kerül.
. |
AZ ADATKEZELŐ ÁLTAL SZERVEZETT TANFOLYAMI KÉPZÉSBEN, WORKSHOPON RÉSZT VEVŐK ÉS GYAKORNOKOK SZEMÉLYES ADATAI |
- A jelentkező kapcsolattartási adatai:
- lakcím
- e-mail cím
- telefonszám
- Képesítésre, végzettségre, szakmai tapasztalatra vonatkozó adatok
- Szakmai önéletrajzban a jelentkező által megadott személyes adatok, motivációs levél
- A kiválasztási interjúk során a pályázó által megadott vagy a pályázó értékelésére vonatkozó adatok
|
Az adatkezelés jogalapja a tanfolyam résztvevőivel kötött szerződés teljesítése a GDPR 6. cikk (1) bekezdés b) pontja) alapján. |
- Azonosítás, kapcsolattartás
- A tanfolyamon, workshopon történő részvételhez, gyakornoki pozícióhoz szükséges képzettség meglétének igazolása
- A tanfolyamon, workshopon történő részvételhez, gyakornoki pozícióhoz szükséges képzettség, végzettség, szakmai tapasztalat meglétének felmérése, továbbá a pályázó motivációjának értékelése
- A jelentkező alkalmasságának értékelése a kiválasztási eljárásban
|
|
TERMÉSZETES SZEMÉLY SZERZŐDŐ FELEK ADATAINAK KEZELÉSE (kivéve munkavállalók) |
Az adatkezelővel szerződő természetes személyek
- neve,
- címe,
- e-mail címe
- anyja neve,
- születési hely, idő,
- adóazonosító jel, adószám,
- elérhetőségi adatok,
- személyazonosító okirat, útlevél száma.
|
A szerződő fél adatainak nyilvántartása körében az adatkezelés jogalapja a szerződés teljesítése a GDPR 6. cikk (1) bekezdés b) pontja) alapján.
A számviteli bizonylatok kiállítása és megőrzése tekintetében az adatkezelés jogalapja az Adatkezelőre vonatkozó jogi kötelezettség teljesítése a GDPR 6. cikk (1) bekezdés c) pontja) alapján.
|
Az Adatkezelő és az érintett közötti szerződés megkötési, teljesítése, megszüntetése
- Adózási iratok és számviteli bizonylatokra vonatkozó, jogszabályban foglalt megőrzési kötelezettség teljesítése
- Igényérvényesítés, jogvita esetén a szerződéses jogviszony tartalmának bizonyíthatósága
|
Az Adatkezelő a számvitelről szóló 2000. évi C. törvény (a továbbiakban: „Számviteli tv.”) 169. §-a szerinti kötelezettsége alapján a számviteli bizonylatot a Szerződés megszűnését követő 8 (nyolc) évig, jogvita esetén, ha az későbbi időpont, a jogvita lezárását követő 5 (öt) évig törvényi kötelezettsége teljesítése jogalapján kezeli.
Az Adatkezelő az általános forgalmi adóról szóló 2007. évi CXXVII. törvény (a továbbiakban: „Áfa tv.”) 179. §-a szerinti kötelezettsége alapján az általa kibocsátott, valamint a birtokában levő vagy egyéb módon rendelkezésére álló okiratokat és az azokban foglalt, azokhoz tartozó személyes adatokat legalább az adó megállapításához való jog elévüléséig kezeli.
Az Adatkezelő az adózás rendjéről szóló 2017. évi CL. törvény (a továbbiakban: „Art.”) 78. § (3) bekezdése szerinti kötelezettsége alapján, az általa kibocsátott, valamint a birtokában levő vagy egyéb módon rendelkezésére álló okiratokat és az azokban foglalt, azokhoz tartozó személyes adatokat az adó megállapításához való jog elévüléséig, halasztott adó esetén annak esedékessége naptári évének utolsó napjától számított 5 (öt) évig, jogvita esetén annak lezárását követő 5 (öt) évig kezeli. |
Az ADATKEZELŐVEL SZERZŐDŐ VÁLLALKOZÁSOK ÜZLETI KAPCSOLATTARTÓIRA VONATKOZÓ ADATOK KEZELÉSE, SAJÁT FOGLALKOZTATOTTAK KAPCSOLATTATÁRTÁSI SZEMÉLYES ADATAINAK KEZELÉSI ÉS TOVÁBBÍTÁSA |
A szerződés teljesítésében kapcsolattartóként résztevevő, az adatkezelővel szerződő harmadik felek munkavállalói, vagy velük egyéb munkavégzésre irányuló jogviszonyban álló személyek,
illetve az adatkezelővel munkaviszonyban, vagy munkavégzésre irányuló egyéb jogviszonyban álló személyek
- neve,
- e-mail címe,
- telefonszáma,
- beosztása.
|
A szerződés megkötése, teljesítése és megszüntetése érdekében a felek együttműködésének elősegítése és a felek közötti kommunikáció megvalósításához fűződő jogos érdek a GDPR 6. cikk (1) bekezdés b) pontja) alapján.
(Érdekmérlegelési teszt kérésre hozzáférhető.)
|
- kapcsolattartás,
- a szerződésből eredő jogok és kötelezettségek gyakorlása
|
Az adott szerződéses partnerrel történő kapcsolat megszűntéig, illetve a kapcsolattartó személyében történő változásról történő értesítéséig.
A Számviteli tv., az Áfa tv. és az Art. szerinti időtartamban, a fent kifejtettek szerint. |
Az adatok forrása – az Adatkezelővel szerződő vállalkozások kapcsolattartóin kívül – maga az érintett. Az Adatkezelővel szerződő vállalkozások esetében a kapcsolattartó személyes adatait maga a kapcsolattartó vagy az Adatkezelővel szerződő vállalkozás más képviselője adja meg.
- TÁJÉKOZTATÁS AZ ADATOK TOVÁBBÍTÁSÁRÓL – AZ ADATTOVÁBBÍTÁS CÍMZETTJEI
A toborzási-kiválasztási eljárásban kezelt személyes adatok esetenként az eljárásban részt vevő, az Adatkezelővel megbízási, illetve vállalkozási jogviszonyban álló személy részére továbbításra kerülnek.
A Munkavállalói adatok tekintetében az Adatkezelő egyebekben csak kivételes esetben adja át az Érintett személyes adatait más szervek számára. Így például, amennyiben az Érintett és az Adatkezelő között folyamatban levő jogvitában bírósági eljárás indul, és az eljáró bíróság számára szükséges az Érintett személyes adatait tartalmazó iratok átadása. Ha a rendőrség vagy más hatóság megkeresi az Adatkezelőt, és a nyomozáshoz, eljárás lefolytatásához az Érintett személyes adatait tartalmazó iratok továbbítását kéri, kötelező a kért személyes adatok továbbítása. Emellett például az Adatkezelő jogi képviseletét ellátó ügyvéd szintén megismeri a személyes adatokat, ha az Érintett és az Adatkezelő között jogvitára kerül sor.
A személyes adatok továbbításra kerülnek
postai szolgáltatás és kézbesítés céljából a. Magyar Posta Zrt.-nek, illetve a megbízott futárszolgálatnak (GLS General Logistics Systems Hungary Kft., FedEx Trade Networks Transport & Brokerage (Hungary) Kft.).
Az érintett adatai továbbá – amennyiben ez feltétlenül szükséges pl. egy jogvita kapcsán vagy egy gazdasági esemény pénzügyi, illetve számviteli megítélése érdekében – eseti jelleggel továbbításra kerülhetnek az adatkezelő által megbízott szolgáltatók részére, pl.
ügyvédek, könyvvizsgálók, pénzügyi tanácsadók, akik szakmai, illetve szerződéses titoktartási kötelezettség alatt állnak.
A filmszakmai támogatást nyújtó szervezetek (Nemzeti Kulturális Alap, Nemzeti Filmintézet) a pályázatokhoz kapcsolódó elszámolási kötelezettség körében szintén címzettjeivé válnak a személyes adatoknak a szerződések, számviteli bizonylatok, illetve a pályázatok megvalósulását igazoló teljesítésigazolások, képes dokumentáció bemutatása során.
A címzettek a részükre továbbított személyes adatokat önálló adatkezelőként, saját Adatkezelési Tájékoztatójukban foglaltak szerint kezelik, közös adatkezelés nem valósul meg.
Az Adatkezelő nem tervezi az érintett személyes adatait harmadik (nem EGT tagállamnak minősülő) országba továbbítani, amely szolgáltatás esetében ez mégsem zárható ki, arra jelen tájékoztatóban külön felhívja a figyelmet.
- ADATKEZELÉSI NYILVÁNTARTÁS
Az Adatkezelő a GDPR 30. cikk (1) bekezdése alapján a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.
Jelen Adatkezelési Tájékoztatás e nyilvántartás a következő információit a fenti táblázatos formákban tartalmazza:
a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
b) az adatkezelés céljai;
c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
g) ha lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések.
- ADATFELDOLGOZÓK MEGNEVEZÉSE
Az adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása. Ennek megfelelően a következő tájékoztatást adjuk:
A Társaságunk honlapja fenntartását és kezelését végző adatfeldolgozó, aki a vele fennálló szerződésünk tartamáig kezeli a honlapon megadott személyes adatokat:
Honlap üzemeltetés
A Társaság honlapja fenntartását és kezelését végző adatfeldolgozó, aki a vele fennálló szerződés tartamáig kezeli a honlapon megadott személyes adatokat:
Virtualcom Szoftverház Korlátolt Felelősségű Társaság
rövidített néven: Virtualcom Szoftverház Kft.
székhelye: HU-6034 Helvécia, Taál B u 23.
e-mail címe:
info@virtualcom.hu
A társaságunk informatikai rendszerének üzemeltetését végző adatfeldolgozó:
Rendszergazda
BESTCOM Pénzügyi Tanácsadó és Számítástechnikai Szolgáltató
Korlátolt Felelősségű Társaság
rövidített néven: BESTCOM Kft.
székhelye: HU-6000 Kecskemét, Kőhíd utca 10.
email: bestcom@bestcom.hu
Az Adatkezelő valamennyi tevékenysége során csak olyan partnereket (alvállalkozókat) vesz igénybe, akik megfelelnek a mindenkor hatályos adatvédelmi jogszabályi rendelkezések által elvárt, illetve támasztott követelményeknek.
Email szerver: Google LLC (felhő), tárhely: Google LLC (Google Drive)
Google LLC (felhő), tárhely: Google LLC (Google Drive) szolgáltatásának GDPR megfelelőségéről itt tájékozódhat:
A Google LLC szolgáltatásainak GDPR megfelelőségét az biztosítja, hogy a Google model szerződéses klauzuláinak adatvédelmi megfelelőségét az Európai Adatvédelmi Hatóságok (European Data Protection Authorities, DPA’s) elismerték, tekintettel arra, hogy a G Suite és a Google Cloud Platform szerződéses vállalásai alapján az EU-ból a világ bármely részére történő adattovábbítás teljesen megfelel a GDPR-ben foglalt jogi követelményeinek.
Az adatfeldolgozó a GDPR-nek megfelelve vállalja, hogy:
a) a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az Adatfeldolgozóra alkalmazandó uniós
vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az Adatfeldolgozó az Adatkezelőt az adatkezelést megelőzően értesíti;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő
technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
(i) a személyes adatok álnevesítését és titkosítását
(ii) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
(iii) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; továbbá
(iv) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
d) intézkedéseket hoz annak biztosítására, hogy az Adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék az említett adatokat;
e) az Adatkezelő jelen adatfeldolgozási szerződéssel előzetesen felhatalmazza Adatfeldolgozót további adatfeldolgozó igénybevételére;
f) amennyiben az Adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíti, mint amelyek jelen Adatfeldolgozási Szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért;
g) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az Érintett GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
h) segíti az Adatkezelőt a GDPR 32–36. cikk (Az adatkezelés biztonsága, Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak, Az érintett tájékoztatása az adatvédelmi incidensről, Adatvédelmi hatásvizsgálat, Előzetes konzultáció) szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat;
i) az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
j) az Adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatok, illetve a másolatok törlésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a GDPR vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
k) az adatvédelmi incidenst, az arról való tudomásszerzését számított 72 órán belül bejelenti a Adatkezelőnek. Az említett bejelentésben legalább:
(i) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
(ii) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
(iii) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint
(iv) ismertetni kell az Adatfeldolgozó által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
l) támogatja az Adatkezelőt abban, hogy az az Érintetteknek a GDPR-ben biztosított egy vagy több joguk gyakorlására irányuló kéréseit teljesítse;
m) amennyiben Adatfeldolgozó bármely Érintettől a GDPR-ben biztosított egy vagy több joga gyakorlására irányuló kérést kap, akkor Adatfeldolgozó az Érintettet arról tájékoztatja, hogy megkeresésével közvetlenül az Adatkezelőhöz forduljon, egyúttal a megkeresésről az Adatkezelőt is haladéktalanul tájékoztatja;
n) vezeti a GDPR 30. cikke (2) bekezdésében előírt összes nyilvántartást és amennyiben a személyes adatok Adatkezelő nevében történő feldolgozása ezt lehetővé teszi, kérésre az Adatkezelő rendelkezésére bocsátja ezeket a nyilvántartásokat.
Adatfeldolgozó vállalja, hogy a kezelésében álló személyes adatokat kizárólag a vonatkozó jogszabályoknak megfelelően kezeli.
Adatkezelő jogosult a jelen szerződésben rögzített tevékenység ellátását, így különösen az Érintettek személyes adatai tárolásának, kezelésének a módját évente egyszer előzetesen egyeztetett időpontban ellenőrizni.
Amennyiben Adatfeldolgozót az Adatkezelő tevékenységével kapcsolatban kár éri, úgy Adatkezelő köteles azt megtéríteni. Amennyiben Adatfeldolgozónál az Adatkezelő tevékenységével kapcsolatban kártérítési igényérvényesítéssel lépnek fel vagy eljárást indítanak, úgy Adatkezelő köteles Adatfeldolgozót a kártérítés, kiszabott bírság, büntetés alól mentesíteni 30 napon belül.
Külső szolgáltatók:
A Külső szolgáltatók rendszereiben az ott megadott adatok tekintetében a külső szolgáltatók saját adatvédelmi irányelvei az irányadók. Az Adatkezelő által külső szolgáltatótól kapott (általa fentiekben írt kezelt körben) adatokat, a jelen tájékoztató szerint kezeli. Az egyes szolgáltatások keretében elérhetővé tett és a különböző közösségi oldalakon megosztott tartalmak vonatkozásában a tartalom megosztását lehetővé tevő külső szolgáltató minősül a személyes adatok kezelőjének, tevékenységére saját felhasználási feltételei és adatvédelmi szabályzata az irányadó. Ilyen külső közvetítő szolgáltatások például: Facebook, google stb.
Facebook Inc. Székhely Palo Alto, Kalifornia, USA, elérhetőség: www.facebook.com/help/feedback
https://www.facebook.com/facebook
Az Adatkezelő használja a Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Írország, továbbiakban: „YouTube”) videómegosztó szolgáltatását (a továbbiakban: YouTube-platform). Ennek során használjuk a YouTube technikai platformját és szolgáltatásait, és a https://www.youtube.com/KAFFanimation címen saját YouTube-csatornát üzemeltetünk. A YouTube-platform interaktív funkcióinak – mint pl. „megosztás”, „értékelés” vagy „hozzászólás” – használata saját felelősségre történik.
A YouTube-platform használata során Öntől megszerzett adatokat a YouTube kezeli és ennek során esetlegesen az Európai Unión kívüli országokba továbbítja. Rajongói oldalunk felkeresése esetén előfordulhat, hogy a megszerzett adatok továbbításra kerülnek az egyesült államokbeli székhelyű Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043) felé, és ott kerül sor kezelésükre. Nincs befolyásunk a YouTube által kezelt adatok fajtájára és mértékére, az adatkezelés és felhasználás jellegére vagy ezen adatok harmadik fél felé történő továbbítására, különösen az Európai Unión kívül eső államokba. Az arra vonatkozó adatok, hogy a YouTube mely adatokat kezeli és milyen céllal használja azokat, a Google adatvédelmi nyilatkozatában találhatók: https://www.google.de/policies/privacy/.
- ADATBIZTONSÁG
Az Adatkezelő az alábbi intézkedésekkel csökkenti annak a kockázatét, hogy a jogosulatlan betörés esetén hozzáférhető válhatnak a felhasználók által regisztrációkor megadott adatok:
Az Adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Az Adatkezelő a GDPR elveire figyelemmel van. A hozzájárulásokat, feliratkozásokat stb. a rendszerek mentik azonosítható módon. Adatkezelő megfelelő erősségű jelszóval védi a dokumentumokhoz való hozzáférést, illetve az asztali számítógépét -, egyéb biztonsági intézkedések:
- tűzfal alkalmazása,
- időszakos naplóelemzések az informatikai rendszerek naplói alapján,
- rendszeres informatikai karbantartás, ellenőrzés, az IT rendszerek rendszeres monitorozása,
- papír alapú dokumentáció kivételes és zárható szekrényben őrzött, nyilvántartások vezetése, rendszeres felülvizsgálata, jogszabályi követelmények teljesülésének ellenőrzése, az adatokhoz Adatkezelőn kívül alkalmazott, teljesítési segéd nem fér hozzá, így az adatokhoz történő belső hozzáférési jogosultságok kontrollálására nincs szükség.
A meglévő biztonsági intézkedések elegendőek a kockázatok kezeléséhez, a technológia jelenlegi állása és az Adatkezelő eddigi tevékenységéből eredő tapasztalatok alapján.
- AZ ADATVÉDELMI INCIDENSEKKEL KAPCSOLATOS JOGOK ÉS KÖTELEZETTSÉGEK
Adatvédelmi incidensről akkor beszélünk, amikor a személyes adatot vagy adatokat véletlenül vagy jogellenesen: - megsemmisítik, - elvesztik, - megváltoztatják, - jogosulatlanul közlik vagy - azok jogosulatlanul hozzáférhetővé válnak.
A GDPR - attól függően, hogy az incidens milyen mértékben veszélyezteti a természetes személyek jogait és szabadságait – értesítési kötelezettséget ró az Adatkezelőre.
Az Adatkezelő a GDPR 33. cikke alapján köteles indokolatlan késedelem nélkül bejelenteni az incidenst az illetékes felügyeleti hatóságnak, ettől csak abban az esetben tekinthet el, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira.
Amennyiben az adatvédelmi incidens az adatfeldolgozó tevékenységéhez kapcsolódóan következik be, úgy azt indokolatlan késedelem nélkül köteles bejelenteni az Adatkezelőnek.
Az Adatkezelő az adatvédelmi incidens bekövetkezésekor haladéktalanul intézkedéseket tesz az adatvédelmi incidens orvoslására, figyelemmel az incidensből származó esetleges hátrányos következmények mérséklésére, illetve megakadályozására.
Az Adatkezelő nyilvántartást vezet az adatvédelmi incidensekről.
A nyilvántartás célja, hogy a NAIH mint felügyeleti hatóság ellenőrzése során az Adatkezelő igazolni tudja a GDPR-nek való megfelelést.
Az Adatkezelő köteles indokolatlan késedelem nélkül tájékoztatni az érintettet az adatvédelmi incidensről, amennyiben az a természetes személyek jogaira és szabadságára nézve magas kockázattal jár. Amennyiben az Adatkezelő adatkezelése során az érintett személyes adatait érintő, magas kockázatú adatvédelmi incidens következik be, úgy az Adatkezelő a következő tényekről, körülményekről fogja tájékoztatni az érintettet:
- az adatvédelmi incidens ismertetése,
- az adatvédelmi ügyekben illetékes kapcsolattartó nevének és elérhetőségei,
- az adatvédelmi incidensből eredő, valószínűsíthető következmények ismertetése,
- az adatkezelő által az incidens orvoslására tervezett vagy megtett intézkedések ismertetése, beleértve az adatvédelmi incidensből származó esetleges hátrányos következmények enyhítését célzó intézkedéseket is.
- AZ ADATKEZELÉS ELVEI
A GDPR előírja, hogy az Adatkezelő adatkezelési tevékenységének az adatkezelés teljes időtartama alatt meg kell felelnie a GDPR 5. cikkében felsorolt, alábbiakban részletezett alapelveknek. Az Adatkezelő elkötelezett, hogy a személyes adatkezelési tevékenysége során folyamatosan érvényesítse a GDPR alapelveit, előírásait.
- Jogszerűség, tisztességes eljárás és átláthatóság
Az adatkezelésnek jogszerűnek, tisztességesnek és átláthatónak kell lennie az adatkezelés teljes időtartam alatt - GDPR 5. cikk (1) bekezdés a) pont). Az Adatkezelő jelen Adatkezelési Tájékoztató közzétételével, illetve az érintettek - a GDPR 13. cikkben meghatározottak szerinti (adott esetben 14. cikk szerinti) - közvetlen tájékoztatásával biztosítja az adatkezelései átláthatóságát. Jelen Adatkezelési Tájékoztató részletes információkat tartalmaz az Adatkezelő jogosultak vonatkozásában végzett adatkezelését illetően, a kezelt adatok köréről, az adatkezelés jogcíméről, az adatkezelés időtartamáról, illetve az érintett jogosultak jogairól. Az Adatkezelő a 13., illetve szükség szerint a 14. cikk szerinti közvetlen tájékoztatással biztosítja az adatkezeléssel összefüggő alapvető információkat. Az adatkezelés jogszerűségét az Adatkezelő azzal biztosítja, hogy az adatkezelési tevékenységét a GDPR 6. cikke által meghatározott jogcímeken, jelen Adatkezelési Tájékoztatóban, illetve egyéb adatkezeléssel összefüggő tájékoztatókban meghatározott jogcímeken, a GDPR alapelveivel összhangban a tevékenységére vonatkozó jogszabályi előírásoknak megfelelően végzi.
Az Adatkezelő az adatkezelés tisztességességét azzal biztosítja, hogy megfelelő tájékoztatást biztosítva átláthatóvá teszi az adatkezelés folyamatát a különböző érintettek számára, ismerteti az adatkezelésre vonatkozó jogszabályok tartalmát, az érintettek jogait, és szervezési intézkedéseket foganatosít az adatkezelés biztonsága érdekében.
Mindezen intézkedések célja, hogy az Adatkezelő segítséget biztosítson valamennyi érintettnek a GDPR által biztosított jogai gyakorlásában.
- Célhoz kötöttség
A célhoz kötöttség elve azt jelenti, hogy az Adatkezelő a személyes adatokat csak egyértelműen meghatározott, jogszerű célból kezelheti (GDPR 5. cikk (1) bekezdés b) pont). A célhoz kötöttség elve azt is jelenti, hogy az adatok gyűjtésének, illetve az egyéb adatkezelési műveleteknek (pl. rögzítés, tárolás, továbbítás, törlés stb.) az adatkezelés céljához kell igazodnia. A célhoz kötöttség elvéből következik, hogy személyes adatot csak az adatkezelési cél megvalósulásáig lehet kezelni. Amennyiben tehát egy adatkezelési cél megvalósult, a személyes adat csak további adatkezelési cél, illetve jogcím alapján kezelhető tovább.
Az Adatkezelő az érintettek személyes adatait a táblázatban feltüntetett célból kezeli.
- Adattakarékosság elve
Az adattakarékosság elve azt jelenti, hogy csak azok az adatok kezelhetők jogszerűen, amelyek az adatkezelési célok megvalósításához feltétlenül szükségesek (GDPR 5. cikk (1) bekezdés c) pont).
- Pontosság
A pontosság elve azt jelenti, hogy a nyilvántartási rendszerekben tárolt adatoknak az adatkezelés teljes folyamatában a valósággal egyezőnek kell lenniük (GDPR 5. cikk (1) bekezdés d) pont). Amennyiben az adatok pontatlanok, tévesek, úgy az Adatkezelő az érintettel együttműködve gondoskodik az adat pontosságának helyreállításáról az érintett kérelme alapján.
- Korlátozott tárolhatóság
A korlátozott tárolhatóság elve azt jelenti, hogy a személyes adatok csak addig tárolhatók, amíg az adatkezelés célja megvalósul, azaz személyes adatok nem halmozhatók fel, nem tárolhatók korlátlan ideig (GDPR 5. cikk (1) bekezdés e) pont). A korlátozott tárolhatóság elvét tükrözi az adatkezelő azon kötelezettsége, hogy meghatározza az adatkezelés időtartamát, illetve amennyiben ez nem lehetséges, úgy az időtartam meghatározására vonatkozó szempontokat. Fenti körülményekről az Adatkezelő az érintettet tájékoztatni köteles. Az Adatkezelő a szolgáltatásnyújtás körében kezelt adatok vonatkozásában a korlátozott tárolhatóság elvét az alábbiak szerinti érvényesíti a hatályos jogszabályokba foglalt rendelkezések alapján. A személyes adatokat az Adatkezelő feladatainak ellátásához csak a szükséges mértékben, módon és ideig jogosult kezelni.
- Integritás és bizalmas jelleg
Az integritás és bizalmas jelleg megőrzése azt jelenti, hogy az Adatkezelőnek a személyes adatokat olyan szervezési, biztonsági intézkedésekkel kell óvnia, amely alapján garantálható az adatok megfelelő biztonsága, a jogosulatlan vagy jogellenes kezeléssel, véletlen elvesztésével, megsemmisítésével vagy károsodásával járó sérelme (GDPR5. cikk (1) bekezdés e) pont).
Az Adatkezelő a részére átadott személyes adatokat bizalmasan kezeli. Az érintettek személyes adataihoz az Adatkezelő azon munkavállalói és megbízottjai férhetnek hozzá, akik a munka- vagy feladatkörük alapján az Adatkezelő szociális és oktató tevékenységével, illetve az Adatkezelő működését biztosító vezetői és adminisztratív feladataival kapcsolatos feladatokat látnak el. Az Adatkezelő az általa kezelt személyes adatokat tartalmazó iratok, illetve adatok megőrzéséről a technika állásának megfelelő és a hasonló szervezeteknél elvárható technikai és szervezési biztonsági intézkedésekkel gondoskodik.
- Elszámoltathatóság elve
Az elszámoltathatóság elve azt jelenti, hogy az adatkezelőnek képesnek kell lennie az adatkezelés jogszerűségének bizonyítására, azaz a GDPR-ben foglaltaknak való megfelelésre (GDPR 5. cikk (2) bekezdés). Az elszámoltathatóság érdekében az Adatkezelő a szükséges tájékoztatások átadásáról, közzétételéről, az általa végzett adatkezelésekről, az adatbiztonság érdekében tett intézkedésekről, az adatvédelmi incidensekről, illetve az adatvédelemmel kapcsolatos megkeresésekről nyilvántartást vezet, az adatkezelési tevékenységét a GDPR foglaltaknak megfelelően dokumentálja
- AZ ÉRINTETT ADATKEZELÉSSEL KAPCSOLATOS JOGAI
Az érintett az adatkezeléssel kapcsolatos jogai érvényesítése és kérdései tekintetében a jelen Adatkezelési Tájékoztatóban foglalt elérhetőségeken fordulhat az Adatkezelőhöz.
Az Adatkezelő az érintetti kérelem benyújtását követően az érintettet egy hónapon belül tájékoztatja intézkedéseiről vagy azok elmaradása okairól (ezzel kapcsolatban érintett panaszt tehet), - ez a határidő 2 hónappal hosszabbítható, ha szükséges.
Az eljárás díjmentes (ha megalapozott és nem túlzó) és lehetőség szerint elektronikus.
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
Az érintettek jogai különösen az alábbiak:
- TÁJÉKOZTATÁS ÉS HOZZÁFÉRÉS (GDPR 12-15.cikk)
Az érintett tájékoztatást kérhet személyes adatai kezeléséről (akár szóban is, azonosíthatóság esetén). Az értintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a GDPR 15. cikkében rögzített információkhoz hozzáférést kapjon. Ilyen információk különösen az adatkezelés célja, az érintett személyes adatok kategóriái, kik ismerhetik meg az adatokat (címzett/címzetti kategória), az adatok tervezett tárolásának időtartama, jogai, valamely felügyeleti hatósághoz címzett panasz benyújtásának joga stb.
- HELYESBÍTÉS (GDPR 16.cikk) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Az érintett jogosult változtatni az adatait – regisztráló felhasználóknál -, egyéb esetben emailen kérheti az adatkezelőt a helyesbítésre, pontosításra.
3. TÖRLÉS - „Az elfeledtetéshez való jog” (GDPR 17. cikk), KEZELÉS KORLÁTOZÁSA ( GDPR 18. cikk)
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében (A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában) említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor. Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A fentiek nem alkalmazandóak, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából vagy ha jogi kötelezettségeire vagy jogi igényei érvényesítéséhez/védelmére tekintettel az adatkezelőnek kezelnie kell az adatot.
Törlési kérelem beérkezése esetén első lépésben az adatkezelő beazonosítja az érintettet és a jogosultságát. A jogosulatlan kérésre megvalósuló törlés ugyanis adatvédelmi incidensre vezet. Amennyiben a törlési kérelem jogos és az adatkezelésnek olyan más jogalapja nincsen, amely alapján a törlést meg lehet vagy meg kell tagadni, a törlést Adatkezelő valamennyi adatbázisban végrehajtja, és a törlési kötelezettségről mindazokat tájékoztatja, akikkel a személyes adatot közölte, kivéve ha lehetetlen/aránytalan nehézségekbe ütköznek.
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. Ha az adatkezelés ilyen korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az adatkezelő az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
4. TILTAKOZÁS (GDPR 21.cikk) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, amennyiben az adatkezelés jogalapja jogos érdeken vagy közhatalmi jogosítványon alapul, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Közvetlen üzletszerzés - hírlevél - esetén, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is. Jelen Adatkezelési Tájékoztatóban foglaltak alapján ilyen jogos érdek jogalappal Adatkezelő nem folytat adatkezelést, így ilyen érintetti jog jelen esetben nem merül fel.
- ADATTOVÁBBÍTÁS (BELFÖLD) Az adatkezelő az adatokat tárhelyszolgáltató harmadik személy részére és jelen dokumentumban megjelölt további címzettek részére átadhatja. Jogszabályban meghatározott esetben a jogszabály által adott felhatalmazás alapján bíróság, ügyészség, nyomozó hatóság, illetve más eljáró hatóság részére az érintettszemélyes adatait adatkezelő átadhatja.
- ADATHORDOZHATÓSÁGHOZ VALÓ JOG (GDPR 20. cikk) Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, amennyiben az adatkezelés jogalapja az érintett hozzájárulása vagy szerződés teljesítése, és az adatkezelés automatizált módon történik. Ez nem lehet másokra jogaira/szabadságaira nézve hátrányos.
- JOGÉRVÉNYESÍTÉSI LEHETŐSÉG
- Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-t.
A Nemzeti Adatvédelmi és Információszabadság Hatóságnál bejelentéssel bárki panaszt tehet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Székhely: 1055 Budapest, Falk Miksa u. 9-11.
Telefon: 391-1400 Fax: 391-1410
Honlap:http://www.naih.hu E-mail:
ugyfelszolgalat@naih.hu
- Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.
- Bírósági jogorvoslat: Az adatkezelővel szembeni eljárást az adatkezelő tevékenységi helye (Magyarország) szerinti tagállam bírósága előtt kell megindítani, de megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is.
- Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.