ALABÁRDOS Vendéglátó és Szolgáltató Kft.
ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA
Hatályos 2023. július 15. napjától
Tartalomjegyzék
A szolgáltató, mint adatkezelő megnevezése
1. A Szabályzat célja
2. Fogalom meghatározások
3. A kezelt személyes adatok köre
3.1 Vásárlói adatok
3.2 Munkavállalók adatai
3.3 Elektronikus képi adatrögzítés
3.4 Weboldallal kapcsolatos adatkezelés
4. A Vállalkozás által alkalmazott adatvédelmi elvek
5. Rendelkezés személyes adatokkal
5.1 Adatkezelési tájékoztatás
5.2 Törlési kérelem kezelése
5.3 Az adatkezelés elleni tiltakozás kezelése
5.4 A Vállalkozás, mint adatkezelő elérhetőségei
6. Adatfeldolgozás
7. Adattovábbítás lehetősége
8. Adatkezelési szabályzat módosításának lehetősége
9. Jogérvényesítési lehetőségek
9.1 Saját hatáskörben végrehajtható jogérvényesítés lehetősége
9.2 Tiltakozás joga
9.3 Kártérítéshez való jog
9.4 Hatóság előtti jogorvoslat lehetősége
A SZOLGÁLTATÓ MINT ADATKEZELŐ MEGNEVEZÉSE
Név: ALABÁRDOS Vendéglátó és Szolgáltató Kft.
Székhely: 2500 Esztergom, Bajcsy-Zsilinszky út 49.
Levelezési cím: 2500 Esztergom, Bajcsy-Zsilinszky út 49.
Cégjegyzék szám: 11-09-001558
Adószám: 10484029-2-11
Adatvédelmi felelős: Gindl Henrik
1. A Szabályzat célja
A jelen Szabályzat célja, hogy rögzítse a ALABÁRDOS Vendéglátó és Szolgáltató Kft. (a továbbiakban: Vállalkozás) által nyújtott vendéglátói és kereskedelmi szolgáltatások valamint az információs társadalommal összefüggő szolgáltatások nyújtása során alkalmazott adatvédelmi és - kezelési elveket és a Vállalkozás adatvédelmi és - kezelési politikáját, amelyet a Vállalkozás magára nézve kötelező erővel ismer el. A Vállalkozás célja, hogy a tevékenységével összefüggésben felmerülő személyes adatok kezelésével járó folyamatai, eljárásai során biztosítsa a személyes adatok védelmének megfelelő szintjét a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról,
Jelen szabályok kialakításakor a Vállalkozás különös tekintettel vette figyelembe a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról („Infotv.”), 1995. évi CXIX. törvény a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről, az 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről továbbá a 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól, a 2001. évi CVIII törvény az elektronikus kereskedelmi szolgáltatások valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről rendelkezéseit, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendeletet. A képi adatkezeléssel kapcsolatban a Vállalkozás figyelembe vette az Európai Adatvédelmi Testület 3/2019. sz. Iránymutatását.
Jelen szabályzat hatálya kiterjed az Adatkezelő valamennyi munkavállalójára, a munkavégzésre irányuló egyéb jogviszonyban álló magánszemélyekre, valamint a külső szervezetek mindazon alkalmazottaira, akik az Adatkezelő informatikai rendszereit használják, üzemeltetik, működtetik vagy fejlesztik, azaz az Adatkezelő adatvagyonához hozzáférhetnek.
A szabályzat hatálya nem terjed ki az anonim információkra, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyekre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható;
2. Fogalom meghatározások
Személyes adat vagy adat: a meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható;
Adatállomány: az egy nyilvántartásban kezelt adatok összessége;
Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így különösen a személyes adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása;
Adatkezelő: az a természetes vagy jogi személy, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
Adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik.
Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik;
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi;
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges;
Automatizált adatállomány: automatikus feldolgozásra kerülő adatok sora;
Gépi feldolgozás: a következő műveleteket tartalmazza, ha azokat részben vagy egészben automatizált eszközökkel hajtják végre: az adatok tárolása, az adatokkal végzett logikai vagy aritmetikai műveletek, az adatok megváltoztatása, törlése, visszakeresése és terjesztése.
Rendszer: az Adatkezelők és partnereik interneten keresztül elérhető lapjait és szolgáltatásait működtető technikai megoldások összessége.
Ügyfél: az a természetes személy, aki az Adatkezelő által nyújtott valamely szolgáltatás igénybevételére regisztrál, és ennek keretében megadja az alábbi 3. pontban felsorolt valamely adatát.
3. A kezelt személyes adatok köre
3.1 Vásárlói adatok
Az Ügyfél döntése alapján a Vállalkozás kereskedelmi tevékenységéhez kötődően, a Vállalkozás által nyújtott szolgáltatások igénybevételéhez kapcsolódóan kezelheti az alábbi vásárlói adatokat:
Személyes adat: Az adatkezelés célja:
Vezeték- és keresztnév Szabályszerű számla kiállításához
E-mail cím Kapcsolattartáshoz
Számlázási név Szabályszerű számla kiállításához
Számlázási cím Szabályszerű számla kiállításához
A vásárlás időpontja Visszakereséshez, ellenőrzéshez
Az adatkezelés időtartama, az adatok törlésének határideje: a számviteli bizonylatokat a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig meg kell őrizni.
A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.
Az adatok megismerésére jogosult lehetséges adatkezelők személye: A személyes adatokat az adatkezelő összes munkatársa kezelheti, a fenti alapelvek tiszteletben tartásával.
Az adatkezeléssel kapcsolatos jogait megtalálja az adatkezelési tájékoztató “Adatkezeléssel kapcsolatos jogok és jogorvoslati lehetőségek” részében.
Az adatkezelés jogalapja: a Felhasználó hozzájárulása, az Infotv. 5. § (1) bekezdése, illetve a számvitelről szóló 2000. évi C. törvény
3.2 Munkavállalók adatai
A munkaviszony létesítésekor a munkavállaló a munkaviszony létesítéséhez, a munkaviszonyból fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez szükséges személyes adatait megadja a Vállalkozás számára. A Vállalkozás ezeken az adatokon felül nem gyűjt és nem kezel a munkavállalókra vonatkozó adatokat. A személyes adatkezelés jogalapja a munkavállaló hozzájárulása, valamint a Munka törvénykönyve.
Kezelt adatok:
az adózás rendjéről szóló 2017. évi CL. törvényben meghatározott személyes adatok,
a társadalombiztosítás ellátásaira jogosultakról, valamint ezen ellátások fedezetéről szóló 2019. évi CXXII. törvényben meghatározott személyes adatok,
a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvényben meghatározott személyes adatok,
A munkaügyi akta a fentieken kívül tartalmazza:
• munkaszerződést, módosításait,
• Munkavállaló önéletrajzát,
• képzettséget igazoló bizonyítványok másolatát.
• munkaköri leírást,
• Adatlapot munkaviszony létesítéséhez,
• Adatlap a munkabér bankszámlára való utaláshoz,
• Titoktartási nyilatkozat,
• Munkavállaló tűz és munkavédelmi oktatásának anyagai,
• Éves szabadság megállapítás,
• Gyermek után járó pótszabadság nyilatkozat,
• TB tv. 57. § (2) bekezdésben meghatározott személyes adatok,
• Cafeteria nyilatkozat,
• Önkéntes nyugdíjpénztári nyilatkozat,
• Széchényi – pihenőkártya nyilatkozat,
• Iskolakezdési Támogatási nyilatkozat,
• Adóelőleg nyilatkozat,
• Átvételi elismervény – kulcs és házirend átvételéről
A fenti iratokon és nyilatkozatokon túl a Munkáltató a Munkavállaló rendelkezésére bocsátja az alábbi dokumentumokat:
• Mt. 46. § (1) bekezdés szerinti tájékoztató,
• Munkavédelmi Szabályzat,
• Tűzvédelmi Szabályzat,
Munkáltató a munkaszervezetébe újonnan felvett Munkavállalók önéletrajzait a munkaviszony fennállása alatt megőrzi. A megőrzés célja az esetleges belső előléptetések, új munkalehetőségek esetén annak biztosítása, hogy Munkáltató ki tudja választani a pozíció betöltésére leginkább alkalmas személyt. Az önéletrajzokat Munkáltató zártan, a munkaügyi akta részeként kezeli. Az önéletrajzokat Munkáltató a munkaviszony megszűnésekor megsemmisíti.
Adatkezelés időtartama: személyi akta részét képezi, így mindaddig megőrzésre kerül, amíg a munkaviszony megszűnésének időpontjában vagy azt követően a Munkavállaló nem kéri megsemmisítését, törlését.
Képzettséget igazoló bizonyítványok és személyazonosító okmányok másolatával kapcsolatban a kezelt adatok köre: a bizonyítványokban megjelenő személyes adatok. A személyi igazolványról, lakcímkártyáról, adó és TB kártyáról másolat nem készül, kizárólag annak bemutatása szükséges.
Munkavállaló köteles az adataiban bekövetkezett változásokat haladéktalanul, de legkésőbb a változástól számított 5 munkanapon belül bejelenteni Munkáltató felé. Munkáltató a Munkavállalókra vonatkozó személyes adatokat a munkaviszonnyal összefüggésben keletkezett egyéb kereseti, adó és társadalombiztosítási adatokkal együtt a személyügyi aktában a jogszabályi előírásoknak megfelelő ideig őrzi meg
Az adóügyi jelentőségű, az adózás rendjéről szóló 2003. évi XCII. törvény (Art.) 44. § (1) bekezdése szerinti iratokat (jogszabályban előírt bizonylatot, könyvet, nyilvántartást – ideértve a gépi adathordozón rögzített elektronikus adatokat, információkat) a munkáltatónak az Art. 47. § (3) és (4) bekezdése alapján a nyilvántartás módjától függetlenül az adó megállapításához való jog elévüléséig (az adó megállapításához való jog annak a naptári évnek az utolsó napjától számított 5 év elteltével évül el, amelyben az adóról bevallást, bejelentést kellett volna tenni, illetve bevallás, bejelentés hiányában az adót meg kellett volna fizetni), a halasztott adó esetén a halasztott adó esedékessége naptári évének utolsó napjától számított 5 évig kell megőriznie.
Az Art. 47. (6) pontja szerint a Munkavállaló az iratait maga köteles megőrizni. A maradandó értékű iratokat (a gazdasági, társadalmi, politikai, jogi, honvédelmi, nemzetbiztonsági, tudományos, művelődési, műszaki vagy egyéb szempontból jelentős, a történelmi múlt kutatásához, megismeréséhez, megértéséhez, a közfeladatok folyamatos ellátásához és az állampolgári jogok érvényesítéséhez nélkülözhetetlen, más forrásból nem vagy csak részlegesen megismerhető adatot tartalmazó irat) az adatkezelés céljának megszűnését követően az illetékes levéltárba kell eljuttatni.
A társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény 43. § (2) bekezdés b) pontja alapján a nyugellátáshoz tartozó szolgálati idő igazolása történhet a foglalkoztató eredeti nyilvántartásaiból kiállított igazolással is. Ez azonban nem megőrzési kötelezettséget ír elő, csak a szolgálati idő igazolásának sajátos formáját rendezi arra az esetre, ha a társadalombiztosítási és az egészségbiztosítási szerv nyilvántartásában nem szereplő szolgálati időt kívánnak igazolni. Az igazolás érdekében Munkáltató az ehhez szükséges adatokat a munkaviszony megszűnését követően is tárolja. A társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény 96. §-a ezen kívül nyilvántartási kötelezettséget ír elő a foglalkoztatók részére időbeli korlátozás nélkül.
A foglalkoztató ez alapján a Munkavállaló személyi adatait (név, leánykori név, anyja neve, születési hely, születés éve, hónapja és napja), családi állapotát, állampolgárságát, lakóhelyét (tartózkodási helyét), foglalkozását, munkahelyét, munkakörét, tevékenységét, a rokkantságra vonatkozó adatokat, amennyiben jogszabály szerint a nyugellátás, egyéb ellátás megállapítása az egészségi állapot alapján történik, illetve a keresetre, jövedelemre vonatkozó adatokat tarthatja nyilván. Ezeket az adatokat a foglalkoztató a nyugdíjbiztosítási szerv erre irányuló felhívása alapján 15 napon belül köteles átadni a nyugdíjbiztosítási feladatok biztosítása érdekében.
A Vállalkozás által megvalósított adatkezelés során a munkavállaló személyes adatait a Vállalkozás ügyvezetője, gazdasági munkatársa, valamint a bérszámfejtéssel és könyveléssel megbízott Vállalkozás munkatársai ismerhetik meg.
Amennyiben a Vállalkozás a munkavégzés ellenőrzésére technikai eszközöket alkalmaz, arról a munkavállaló előzetes tájékoztatásban részesül.
A könyveléssel és bérszámfejtéssel megbízott személy:
• Szabóné Juhász Veronika egyéni vállalkozó
Székhely: 2531 Tokod Kossuth Lajos u. 58.
Telefonszám: +36-33-468-462 és +36-33-468-003.
3.3 Elektronikus képi adatrögzítés
A Vállalkozás területén elektronikus, kamerás megfigyelő- és rögzítő rendszer működik.
A megfigyelőrendszer a hét minden napján, 24 órában üzemel. Az érintett kérésére a kamerák elhelyezkedéséről, a megfigyelt területekről pontos tájékoztatást az irodában kaphat. A Vállalkozás területére belépő személyeknek a képfelvételeken látszódó arcképmása és egyéb, a megfigyelőrendszer által rögzített személyes adatai képezik az adatkezelés tárgyát.
A megfigyelés célja, hogy az emberi élet, a testi épség, valamint a vagyon, jelentős értékű pénz védelme, a vállalkozás területén tárolt jelentős értéket képviselő eszközök és tárgyak védelme céljából megelőzze a jogsértéseket, elősegítse az elkövető tettenérését illetve a jogsértések bizonyítását.
Az adatkezelés jogalapja munkavállalók tekintetében a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.) 11. §, a szolgáltatást igénybe vevő ügyfelek esetében az érintett hozzájárulása a vállalkozás területére történő belépéssel történik. A kamerarendszer működéséről a bejárati ajtón elhelyezett piktogram tájékoztatja a vásárlókat.
A piktogram képe és szövege a következő:
A TERÜLETEN VAGYONVÉDELMI CÉLBÓL KAMERÁS MEGFIGYELŐ RENDSZER ÜZEMEL. A RÖGZÍTETT FELVÉTELEKET AZ ALABÁRDOS VENDÉGLÁTÓ ÉS SZOLGÁLTATÓ KFT, A SZEMÉLY- ÉS VAGYONVÉDELMI, VALAMINT A MAGÁNNYOMOZÓI TEVÉKENYSÉG SZABÁLYAIRÓL SZÓLÓ 2005. ÉVI CXXXIII. TÖRVÉNY, VALAMINT AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELET ALAPJÁN RÖGZÍTI, 3 NAPIG TÁROLJA, BŰNCSELEKMÉNY, VAGY SZABÁLYSÉRTÉS GYANÚJÁNAK ÉSZLELÉSE ESETÉN BIZONYÍTÉKKÉNT AZ ELJÁRÓ HATÓSÁGOK SZÁMÁRA ÁTADJA. FELHÍVJUK FIGYELMÉT, HOGY A TERÜLETRE VALÓ BELÉPÉSSEL HOZZÁJÁRUL AZ ÖNRŐL KÉSZÜLT FELVÉTELEK FENTIEK SZERINTI KEZELÉSÉHEZ. TOVÁBBI INFORMÁCIÓ GINDL HENRIK ÜGYVEZETŐTŐL KÉRHETŐ
A kamerák aktuális képének megtekintésére a vállalkozás területén tartózkodó személyek bármelyikének lehetősége van. A kamerák felvételének megtekintésére az ügyvezetőnek van jogosultsága. A vállalkozás által üzemeltetett kamerás megfigyelő és rögzítő rendszer tárolt felvételeibe kizárólag az emberi élet, testi épség és vagyon sérelmére elkövetett jogsértések bizonyítása és az elkövető azonosítása, illetve az életet vagy testi épséget érintő egyéb események, balesetek feltárása érdekében tekinthetnek be az arra jogosultsággal rendelkező személyek.
A vállalkozás a rögzített felvételekbe történő betekintéseket, az azt végző személy nevét, az adatok megismerésének okát és idejét jegyzőkönyvben rögzíti.
A felvételek 3 munkanapig kerülnek megőrzésre. A felvételekről külön biztonsági másolat nem készül.
Adattovábbításra kizárólag jogellenes magatartásara vagy kötelezettségszegésre tekintettel folyamatban lévő eljárás esetén, az azokat lefolytató hatóságok, bíróságok felé van lehetőség.
Az átadott adatok körébe a kamerarendszer által készített, releváns információt tartalmazó felvételek tartozhatnak, valamint a felvételen esetlegesen szereplő személyek neve.
Azon érintettek, akiknek jogát vagy jogos érdekét a kép- és hangfelvétel rögzítése érinti, kérhetik az elektronikus megfigyelőrendszerrel róluk készült felvételekről másolat készítését, valamint a vonatkozó jogszabályi rendelkezésekkel összhangban kérheti a felvételek törlését. Továbbá, akinek jogát vagy jogos érdekét a kép- és hangfelvétel rögzítése érinti, a kép- és hangfelvétel rögzítésétől számított 3 munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot a Vállalkozás ne semmisítse meg, illetve ne törölje.
A személyes adatai kezeléséről az érintett bármikor tájékoztatást kérhet a Vállalkozástól. Kérheti továbbá az alkalmazandó jogszabályi rendelkezéseknek megfelelően személyes adatainak helyesbítését, illetve zárolását is. Ezen kívül tiltakozhat személyes adatai kezelése ellen.
Az érintettek jogainak megsértése esetén a vonatkozó jogszabályok rendelkezéseinek megfelelően az érintett bírósághoz fordulhat, továbbá, a Nemzeti Információszabadság Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.
3.4. Weboldallal kapcsolatos adatkezelés
• Adatkezelő üzemelteti a www.alabardospanzio.hu weblapot.
• A weboldal kizárólag a vállalkozás szolgáltatásait mutatja be, un. cookie-kat nem használ, adatkezeléssel kapcsolatos tevékenységet nem végez.
Közösségi oldalakkal kapcsolatos adatkezelés
A vállalkozás a közösségi oldalakon profilt nem hozott létre, azt nem üzemeltet.
4. A Vállalkozás által alkalmazott adatvédelmi elvek
Személyes adatokat csak tisztességesen és törvényesen szabad megszerezni és feldolgozni. A vállalkozás szolgáltatásainak igénybevételéhez elengedhetetlenül szükséges személyes adatokat a vállalkozás az érintettek hozzájárulása alapján, és kizárólag célhoz kötötten használja fel.
A személyes adatoknak tárolásuk céljával arányban kell állniuk, és meg kell felelniük e célnak, azon nem terjeszkedhetnek túl. Személyes adatokat csak meghatározott és törvényes célra szabad tárolni, és attól eltérő módon nem szabad felhasználni.
A vállalkozás, mint adatkezelő vállalja, hogy a birtokába jutott személyes adatokat az Infotv. rendelkezéseinek és jelen szabályzatban rögzített adatvédelmi elveknek megfelelően kezeli, és azokat a jelen szabályzatban meghatározott adatkezelőkön és adatfeldolgozókon kívül harmadik félnek át nem adja.
A vállalkozás bizonyos esetekben – hivatalos bírósági, rendőrségi megkeresés, jogi eljárás szerzői-, vagyoni- illetve egyéb jogsértés vagy ezek alapos gyanúja miatt a vállalkozás érdekeinek sérelme, szolgáltatásai nyújtásának veszélyeztetése, stb. – harmadik személyek számára hozzáférhetővé teszi az érintett ügyfél elérhető személyes adatait.
Meg kell tenni a megfelelő biztonsági intézkedéseket az automatizált adatállományokban tárolt személyes adatok védelme érdekében a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozására.
Az ügyfelet tájékoztatni kell az adatkezelés céljáról és arról, hogy az adatokat kik fogják kezelni, illetve feldolgozni.
Minden olyan esetben, ha a szolgáltatott adatokat a vállalkozás az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről a ügyfelet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerezi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtilthassa.
A vállalkozás, mint adatkezelő a személyes adatok felvétele, rögzítése és kezelése során a jogszabályok által rögzített korlátozásokat minden esetben betartja.
A vállalkozás kötelezi magát, hogy gondoskodik a személyes adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket, és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt személyes adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek a személyes adatokat esetlegesen továbbítja vagy átadja, ugyancsak felhívja ez irányú kötelezettségeinek teljesítésére.
Adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
A kezelt személyes adat helyesbítésről, a zárolásról illetve a törlésről az érintett ügyfelet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
A vállalkozás minden szükséges intézkedést megtesz az adatvédelmi incidensek elkerülése érdekében. Amennyiben mégis adatvédelmi incidens következik be:
a.) Az adatvédelemért felelős személy felveszi a kapcsolatot az adatvédelmi incidenssel érintett informatikai rendszer rendszergazdájával.
b.) Az adatvédelemért felelős személynek a felderítés során az alábbi kategóriák valamelyikébe kell az adatvédelmi incidenst sorolni:
• Alacsony szintű adatvédelmi incidens különösen: a személyes adatok elhanyagolható körének, megváltoztatása, szándékolt, vagy véletlen törlése vagy megsemmisítése.
• Közepes szintű adatvédelmi incidens különösen: a személyes adatok csekély körének megváltoztatása, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset estén.
• Magas szintű adatvédelmi incidens különösen:
• a személyes adatok széles körének jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset estén, illetve
• az adatok körétől függetlenül minden olyan eset, amikor az incidensnek a munkavállalóra hátrányos hatása valószínűsíthető, vagy a hátrányos következmény bekövetkezés mértéke biztos,
• az adatok körétől függetlenül az adatok nem szándékos nyilvánosságra hozatala, továbbítása.
- Alacsony szintű adatvédelmi incidens esetén az adatvédelemért felelős személy:
• a rendszer rendszergazdájával meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,
• rögzíti az adatvédelmi incidenst az incidensek nyilvántartásába. Közepes szintű adatvédelmi incidens esetén:
• az adatvédelemért felelős személy haladéktalanul, de legkésőbb 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda és a munkáltatói jog jogosultja,
• a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,
• az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában.
Magas szintű adatvédelmi incidens esetén
• az adatvédelemért felelős személy haladéktalanul, de legkésőbb 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda és a munkáltatói jog jogosultja,
• a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére, továbbá amennyiben szükséges, meghatározza a munkavállalók és az egyéb érintettek értesítésének módját, az értesítés tartalmát, és gondoskodik a munkavállalók haladéktalan értesítéséről.
• az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában.
A vállalkozás az adatvédelemért felelős személy útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett személy tájékoztatása céljából az adatvédelmi incidensekről nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintett
• személyes adatok körét,
• érintettek körét és számát,
• az incidens időpontját,
• körülményeit, hatásait és
• az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Amennyiben a személy ezt kéri, az adatvédelemért felelős személy, tájékoztatást ad az érintett személyes adatára is kiterjedő adatvédelmi incidensekkel kapcsolatban.
Az adatvédelemért felelős személy értesíti a felügyeleti hatóságot 72 órán belül az adatvédelmi incidensről, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintett személy vagy más érintettek jogaira nézve.
Az adatvédelemért felelős személy haladéktalanul értesíti a érintetteket és az incidensben érintett más személyeket, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett személy vagy más érintettek jogaira nézve.
5. Rendelkezés személyes adatokkal
5.1 Adatkezelési tájékoztatás
Az újonnan megkezdett adatkezelés esetében, az érintettre vonatkozó személyes adatokat az adatkezelő az érintettől gyűjti, a személyes adatok megszerzésének időpontjában, amennyiben az érintett utólag kér tájékoztatást, ezen tájékoztatás megadásakor is az érintett rendelkezésére kell bocsátani az alábbi információkat:
a) az adatkezelő és amennyiben ilyen kijelölésre kerül, képviselőjének kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő (adatvédelemért felelős személy) elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja (ideértve különösen az adatkezelő és harmadik fél jogos érdekeinek kifejtését is);
d) a személyes adatok címzettjei, amennyiben van ilyen, a címzettek kategóriái;
e) adott esetben annak a ténye, ha az adatkezelő harmadik országba, vagy nemzetközi szervezet részére kívánja az adatokat továbbítani, a vonatkozó megfelelőségi határozat léte vagy hiánya, vagy ilyen adattovábbítás esetén s megfelelő és alkalmas garanciák megjelölése, valamint azok másolatának megszerzésére szolgáló módokra vagy azok elérhetőségére való hivatkozás;
f) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
g) az érintett azon jogáról történő tájékoztatása, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, vagy kezelésének korlátozását (zárolás), és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogát;
h) amennyiben az adatkezelés az érintett hozzájárulásán alapul, az arról való tájékoztatást, hogy hozzájárulását bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
i) az érintettnek joga van felügyeleti hatósághoz címzett panasz benyújtására;
j) azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e személyes adatokat megadni továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
k) amennyiben ez releváns, az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó közlés, hogy az ilyen adatkezelés milyen jelentőséggel és az érintette nézve milyen várható következményekkel bír.
Az érintett bármikor jogosult tájékoztatást kérni az adatkezelő által kezelt, rá vonatkozó személyes adatokról.
Adatkezelő kérelem alapján 15 napon belül adja meg a kért tájékoztatást.
A tájékoztatás keretében az adatvédelemért felelős személy – vagy a szerződésben erre a feladatra kijelölt adatfeldolgozó – köteles az érintettre vonatkozó, adatkezelő által kezelt adatokról és a fentiekről tájékoztatást adni. A tájékoztatást az érintett által kért formában kell megadni, erre irányuló kifejezett kérés hiányában elsősorban email-en keresztül, másodsorban postai küldeményként kell megadni, amennyiben az adatkezelő számára rendelkezésre áll a kommunikációs forma használatához szükséges adat és amennyiben az érintett személyazonossága kétséget kizáróan megállapítható.
Ha az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben az érintett hozzáférési jogát, a helyesbítés és törlés kérésének jogát, az adatkezelés korlátozásához való jogát, az ezekhez kapcsolódó értesítési jogot, valamint adathordozhatósághoz való jogot az Adatkezelő nem biztosítja, kivéve, ha az érintett abból a célból, hogy az említettek szerinti jogát gyakorolja az azonosítását lehetővé tevő kiegészítő információkat nyújt.
A panaszok kezelésével kapcsolatban az adatvédelemért felelős személy számára tájékoztatást kötelesek adni a személyes adatok kezelésében részt vevő munkavállalók, egyéb személyek.
5.2 Törlési kérelem kezelése
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását és az adatkezelésnek más jogalapja nincs;
c) az érintett a közérdekű, valamint az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzés céljából beszerzett adatainak kezelése ellen tiltakozik;
d) a személyes adatokat jogellenesen kezelte az adatkezelő;
e) a személyes adatokat az adatkezelő-re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a rendelet szerinti, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Amennyiben az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A törlést nem kell teljesíteni, amennyiben az adatkezelés
a) véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges,
b) jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges,
c) jogi kötelezettség teljesítése miatt szükséges,
d) közérdekű archiválás, tudományos, vagy történelmi kutatás, statisztikai célból szükséges és az adattörlés lehetetlenné tenné, vagy komolyan veszélyeztetné az adatkezelés céljának teljesítését.
Adatkezelő továbbá törli, vagy anonimizálja az érintettre vonatkozó, az informatikai rendszereiben, valamint papír alapú dokumentációiban szereplő személyes adatokat, ha jogszabály máshogy nem rendelkezik és a személyes adat kezeléséhez fűződő cél megszűnt. Amennyiben a személyes adat törlése nem valósítható meg az azt tartalmazó irat sérelme nélkül:
a) amennyiben az irat megőrzéséhez az Adatkezelő, vagy harmadik személy jogos érdeke fűződik, az iratot az adatkezelő az iratkezelési szabályok szerinti időtartamig megőrzi, törlési kérelem esetén az iratot zártan kezeli és erről az érintettet értesíti, és az iratot a személyes adattal együtt az iratkezelési szabályban meghatározott időtartam lejártát követően megsemmisíti,
b) amennyiben az irat megőrzéséhez az adatkezelőnek és harmadik személynek sem fűződik jogos érdeke, az iratot a személyes adattal együtt megsemmisíti.
Az adatok törlése iránt minden esetben az adatvédelemért felelős személy a személyes adat kezelésével kapcsolatban érintett szervezeti egységgel, informatikai rendszer rendszergazdájával együttműködésben intézkedik.
Az adatkezelő informatikai rendszereiből a személyes adatot, amennyiben lehetséges, visszaállíthatatlanul törli, továbbá gondoskodik arról, hogy az informatikai rendszer archivált változatában is átvezetésre kerüljön a személyes adat törlése. A törlésért az informatikai rendszerért felelős személy felel.
Amennyiben a helyreállíthatatlan törlés informatikai okból nem kivitelezhető, adatkezelő az adat logikai törlését hajtja végre. A logikai törlés keretében a személyes adatot olyan azonosítóra kell lecserélni, amely megakadályozza, hogy a személyes adathoz tartozó további adatok a későbbiekben kapcsolatba hozhatók legyenek az érintettel.
A papír alapú dokumentációk esetében azok jegyzőkönyvvel rögzített megsemmisítéséről kell gondoskodni.
A jegyzőkönyvben rögzíteni kell: a megsemmisített iratok típusát, a megsemmisített iratok beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén a külső partner nevét.
Amennyiben az adatok törlése jogszabályi előírás, de az az érintett jogos érdeke miatt nem lehetséges, a személyes adatot, illetve a személyes adatot tartalmazó elektronikus, vagy papír alapú dokumentációt zárolni kell. Ez esetben az informatikai rendszerben tárolt adathoz, illetve dokumentumhoz csak az informatikai rendszer rendszergazdája vagy az adatvédelemért felelős személy rendelkezhet hozzáféréssel. Papír alapú dokumentációk esetén pedig a dokumentum őrzését zárható szekrényében kell megvalósítani. A papír alapú dokumentációk belső rendszerbe feltöltött elektronikus példányához az adatkezelő a felhasználók hozzáférését megszünteti.
5.3 Az adatkezelés elleni tiltakozás kezelése.
Az érintett részére biztosítani kell, hogy tiltakozhasson személyes adatának kezelése ellen. Az adatvédelemért felelős személy a legrövidebb időn belül azonosítja az érintettet, a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt tájékoztatja.
5.4 A vállalkozás, mint adatkezelő elérhetőségei
Személyes adatokban bekövetkezett változás, illetve az adatkezelési hozzájárulás visszavonása iránti igény ajánlott postai küldeményként a Vállalkozás 2500 Esztergom, Bajcsy-Zsilinszky út 49. sz alatti címére feladott levélben, a + 36 33 312-640 telefonszámon szóban vagy az info@alabardospanzio.hu e-mail címre küldött elektronikus levélben kifejezett, írásos nyilatkozattal közölhető.
A személyes adatokat adatkezelő az erre irányuló kérelem beérkezésétől számított 3 munkanapon belül törli, a törlésére vagy módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.
6. Adatfeldolgozás
A megadott személyes adatok kezelését Gindl Henrik ügyvezető végzi. Az adatok kezelésére a vállalkozás ügyvezetője és az adminisztrációs feladatokkal megbízott munkatárs jogosult.
7. Adattovábbítás lehetősége
Az adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amely adat továbbítására őt jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt az adatkezelő nem tehető felelőssé.
8. Adatkezelési szabályzat módosításának lehetősége
A vállalkozás fenntartja magának a jogot, hogy a jelen Adatkezelési Szabályzatot egyoldalú döntésével bármikor módosítsa.
9. Jogérvényesítési lehetőségek
Az érintettek az adatkezelésről a vállalkozástól tájékoztatást kérhetnek, valamint kérhetik a kezelt személyes adataik helyesbítését, módosítását, törlését, zárolását, az adatkezelés ellen tiltakozhatnak, valamint bíróság előtt jogorvoslattal élhetnek (az eljárást a lakóhelyük, tartózkodási helyük szerint illetékes törvényszék előtt is megindíthatják), illetve a NAIH eljárását kezdeményezhetik.
9.1 Saját hatáskörben végrehajtható jogérvényesítés lehetősége
A vállalkozás az érintett kérésére tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens - előfordulása esetén - körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.
A tájékoztatást a vállalkozás az érintett kérelmének benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 15 napon belül, közérthető formában, - az érintett erre irányuló kérelmére - írásban adja meg. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet a vállalkozásnál még nem nyújtott be. Egyéb esetekben a vállalkozás költségtérítést állapíthat meg. Az érintett tájékoztatását a vállalkozás a jogszabályban előírt esetekben és módon megtagadhatja.
A vállalkozás a személyes adatot helyesbíti, ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a vállalkozás rendelkezésére áll.
A vállalkozás a személyes adatot - jogszabály eltérő rendelkezése hiányában - törli, ha annak kezelése jogellenes; annak törlését az érintett kéri; az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki; az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.
Törlés helyett a vállalkozás zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
A Vállalkozás megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
Amennyiben a vállalkozás az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 15 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén a vállalkozás tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
9.2 Tiltakozás joga
Az érintett tiltakozhat személyes adatának kezelése ellen,
a) ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
c) törvényben meghatározott egyéb esetben.
A vállalkozás a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az érintett az adatkezelő így meghozott döntésével nem ért egyet, illetve ha a határidőt elmulasztja, az érintett - a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül - bírósághoz fordulhat.
A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik.
A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
9.3 Kártérítéshez való jog.
Az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
9.4 Hatóság előtti jogorvoslat lehetősége
Az érintettek bíróság előtt jogorvoslattal élhetnek. Az eljárás a lakóhely, illetve tartózkodási hely szerint illetékes törvényszék előtt indítható meg, illetve a NAIH eljárását kezdeményezhetik.
Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1055 Budapest, Falk Miksa u. 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
Honlap: http://www.naih.hu
Esztergom, 2023. július 15.
Gindl Henrik ügyvezető