Adatkezelési tájékoztató
Az egri Borvidék webshopjának üzemeltetője az EGER VÁROSI TURISZTIKAI NONPROFIT KFT.
- A szabályzat célja
A szabályzat (továbbiakban: Szabályzat) célja annak biztosítása, hogy az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. személyes adatkezelése megfeleljen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679 európai parlament és tanács (általános adatvédelmi rendelet) (továbbiakban: GDPR), valamint a kapcsolódó hazai rendelkezéseknek, különösen az információs önrendelkezési jogról és az információszabadságról EGER VÁROSI TURISZTIKAI NONPROFIT KFT. fontosnak tartja munkavállalói, ügyfelei, partnerei és minden egyéb érintett természetes személy adatkezeléshez kapcsolódó jogának tiszteletben tartását és érvényre juttatását, a személyes adatok védelmét. Társaságunk a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja. Mindezek érvényesülése érdekében az alábbi Szabályzatot alkotja.
- A szabályzat hatálya
1) tárgyi hatály: Jelen Szabályzat hatálya kiterjed az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. valamennyi személyes adatot tartalmazó adatkezelésére függetlenül attól, hogy az elektronikusan és/vagy papíralapon történik. Papíralapú adatkezelés esetében Adatkezelő a jelen szabályzattól formailag különálló Iratkezelési Szabályzatot is alkot, amely a jelen Szabályzat szerinti általános rendelkezéseket kiegészíti, és amelyre a jelen Szabályzat hatálya kiterjed. Jelen Szabályzat hatálya nem terjed ki az adat-és információbiztonság szabályozására, valamint a közérdekű adatok elektronikus közzétételének és a közérdekű adatigénylések teljesítésének rendjére, melyekről külön szabályzatok rendelkeznek.
2) személyi hatály: a Szabályzat személyi hatálya kiterjed az Adatkezelőre, így az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. összes munkavállalójára, továbbá azon személyekre, akik adatait e Szabályzat hatálya alá tartozó adatkezelések tartalmazzák, illetve azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.
- Értelmező rendelkezések
1) Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy.
Magyarázó példa: Minden természetes személy, aki az Adatkezelő szolgáltatásai iránt érdeklődik, az ügyfél, a kamerával megfigyelt területre belépő, stb.
2) Személyes adat: az érintettre vonatkozó bármely információ, így az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret-, valamint az adatból levonható, az érintettre vonatkozó következtetés is.
Magyarázó példa: név, cím, telefonszám, anyja neve, IP cím, bankszámlaszám, stb.
3) Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (ha az szabályzat szövege a továbbiakban személyes adat kifejezést használ, abba beleértendő a különleges adat is, kivéve, ha az szabályzat ettől eltérően rendelkezik).
Magyarázó példa: egészségi állapot, vallási meggyőződés, stb.
4) Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.
Magyarázó példa: A gyakorlatban az adatkezeléshez hozzájáruló nyilatkozat.
5) Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Magyarázó példa: egyszeri információkérés, ajánlatkérés, hírlevél küldés, stb.
6) Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
Magyarázó példa: A szervezetnél adatkezelőként meghatározott személy.
7) Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az Adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel.
Magyarázó példa: tárhelyszolgáltató.
8) Adatzárolás: az adat azonosító jelzéssel való ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
Magyarázó példa: érintett az adatok zárt/korlátozott kezelését kéri.
9) Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Magyarázó példa: adattovábbítás a partner felé.
10) Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy helyreállítása többé nem lehetséges.
Magyarázó példa: elektronikusan tárolt adatok visszaállíthatatlan törlése.
11) Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.
Magyarázó példa: papír alapú dokumentumok fizikai megsemmisítése.
12) Adatvédelmi tisztviselő: az Adatkezelőnek a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének elősegítése érdekében alkalmazott munkavállalója.
13) Harmadik személy: az EGER VÁROSI TURISZTIKAI NONPROFIT KFT-én, valamint az érintetten kívül minden más természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet.
Magyarázó példa: egy másik adatkezelő.
14) Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Magyarázó példa: hackelés eredménye, zsarolóvírus, adatszivárgás, adatlopás.
15) Adatkezelési nyilvántartás: adatvédelemért felelős munkatárs által kezelt személyes adatok, illetve közérdekű adatok összességének számbavétele. Magyarázó példa: egy-egy adatkezelésben kezelt adatok összessége.
16) Hatóság: a Nemzeti Adatvédelmi és Információszabadság Hatóság.
17) Profilalkotás: a személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul.
- Az Adatkezelő személye
Az adatkezelő neve: Eger Városi Turisztikai Nonprofit Korlátolt Felelősségű Társaság Az adatkezelő címe: 3300 Eger, Bajcsy-Zsilinszky u 9.
Az adatkezelő elérhetőségei: Tourinform Iroda
E-mail: eger@tourinform.hu
Telefon: 06/36/517-715
Honlap: https://visiteger.com/
Az adatkezelő képviselője: Sarusi-Kis Ádám
1.) Munkatárs, akinek tevékenységével kapcsolatban az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. teljes felelősséget vállal az érintettek személyi köre és harmadik személyek irányában.
2.) Hivatkozva a fenti alpontokra, az Adatkezelő kifejezésen érteni kell a Munkatársat is, ha a Szabályzat szövegéből más nem következik.
- A SZEMÉLYES ADATOK VÉDELME
- Az adatkezelés jogalapja
5.1 Személyes adat akkor kezelhető, ha
- a) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés);
- b) az a) pontban meghatározottak hiányában az az Adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult, ideértve azt az esetet is, amikor az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- c) az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy d) az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.
5.2 Különleges adat
- a) a 5.1 c)-d) pontjában meghatározottak szerint, vagy
- b) akkor kezelhető, ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli.
Különleges adatot az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. kizárólag törvény felhatalmazása alapján kezel, különösen a foglalkoztatáshoz kapcsolódó egészségügyi és érdekképviseleti szervezeti tagságra vonatkozó adatokat. Különleges adatok kezelésével járó ügyekben – a jogszabályokban és jelen Szabályzatban foglaltakon túl is – fokozott gondossággal kell eljárni.
Erkölcsi bizonyítványa bemutatására a munkavállaló a munkaviszony fennállása alatt is felhívható.
A munkavállalótól önkéntes hozzájárulás alapján csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyhez fűződő jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. Az ilyen nyilatkozat beszerzése előtt a munkavállalót minden részletre kiterjedő, világos, tájékoztatással kell ellátni, melynek birtokában a munkavállaló felelős nyilatkozatot tud tenni.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, a felvett adatokat, törvény eltérő rendelkezésének hiányában az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. a rá vonatkozó jogi kötelezettség teljesítése, valamint saját, illetve harmadik személy jogos érdekének érvényesítése céljából – ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll – további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
- AZ EGER VÁROSI TURISZTIKAI NONPROFIT KFT. által végzett személyes adatkezelések
Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. személyes adatkezelései általában jogszabályi előírásokon (ebben az esetben az adatok kezelését, tárolását jogszabályok teszik kötelezővé) vagy az érintett önkéntes hozzájárulásán alapulnak, továbbá valamely szerződés vagy jogi kötelezettség teljesítéséhez szükségesek, esetenként, külön érdekmérlegelés alapján az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. jogi érdekén alapulnak.
A személyes adatok védelméért, az adatkezelés jogszerűségéért az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. adatvédelemért felelős munkatársa a felelős. Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. által kezelt személyes adatok védelméről, az adatvédelemmel kapcsolatos szabályok munkavállalók általi megismeréséről és betartásáról az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. adatvédelemért felelős munkatársa gondoskodik.
- Az adatkezelés során alkalmazott alapelvek
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Mindezeket figyelembe véve az alábbi alapelvek mentén történik a személyes adatok kezelése:
- a) Jogszerűség, tisztességes eljárás és átláthatóság:
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni.
- b) Célhoz kötöttség:
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
- c) Adattakarékosság:
A személyes adatkezelésnek az adatkezelés célja szempontjából megfelelőnek és relevánsak kell lennie, valamint a szükségesre kell korlátozódnia.
- d) Pontosság:
A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat az adatvédelemért felelős munkatárs haladéktalanul törölje vagy helyesbítse.
- e) Korlátozott tárolhatóság:
A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, GDPR-ban, illetve az Info tv
ben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
- f) Integritás és bizalmas jelleg:
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
- g) Elszámoltathatóság:
A személyes adatkezelésnek a fentiek szerinti megfeleléséért az adatvédelemért felelős munkatárs felel, akinek képesnek kell lennie e megfelelés igazolására.
- Adatvédelmi hatásvizsgálat
Amennyiben az adatkezelés valamely, különösen új technológiákat alkalmazó típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatvédelemért felelős munkatárs az adatkezelést megelőzően, az Info tv. 25/G §-a szerint hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
- Adatfeldolgozási megállapodás
Az Adatkezelő kizárólag olyan Adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR rendelkezései szerinti, megfelelő technikai és szervezési intézkedések végrehajtására. Ezen garanciákat az adatkezelés megkezdését megelőzően az Adatfeldolgozó igazolja az Adatkezelő számára. Ennek keretében az Adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, valamint az Adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek kell szabályoznia, amely köti az Adatfeldolgozót az Adatkezelővel szemben.
- Adatvédelmi incidensek kezelése
Adatvédelmi incidens bekövetkezéséről rögtön értesíteni kell az adatvédelemért felelős munkatársat, aki az adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő hetvenkét órán belül bejelenti a Hatóságnak.
Az adatvédelmi incidenst nem kell bejelenteni, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére.
Az adatvédelemért felelős munkatárs köteles kivizsgálni az adatvédelmi incidens körülményeit, kiváltó okait, hatásait, valamint értesíteni a társaság vezető tisztségviselőit az adatvédelmi incidens bekövetkezéséről és a lefolytatott vizsgálat eredményéről.
A Hatóság felé történő bejelentési kötelezettség keretei között az Adatkezelő a) ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,
- b) tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
- c) ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és d) ismerteti az Adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett – az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb – intézkedéseket.
Az adatvédelmi incidens bekövetkezése estén érintett adatkezelő munkatárs azonnal megkezdi az adatvédelmi incidens következményeinek elhárítását, a jogellenes állapot megszüntetését a Jogi igazgatóság bevonásával.
- Az Érintett tájékoztatáskérési joga
Az érintett kérelmezheti az EGER VÁROSI TURISZTIKAI NONPROFIT KFT-től a) tájékoztatását személyes adatai kezeléséről,
- b) személyes adatainak helyesbítését, valamint
- c) személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását.
Az érintett kérelmére az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. legfeljebb 15 napon belül írásban tájékoztatást ad az érintettre vonatkozó, általa kezelt személyes adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, bekövetkezett adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak harmadik személynek történő továbbítása esetén –
az adattovábbítás jogalapjáról és címzettjéről.
A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték.
- Nyilvántartások és hozzáférési jogosultságok
Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. személyes adatokkal kapcsolatos adatkezeléseikről adatkezelési nyilvántartást, a bekövetkezett adatvédelmi incidensekről adatvédelmi incidens nyilvántartást vezet.
Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. által végzett adatkezelési tevékenységről a nyilvántartást az adatvédelemért felelős munkatárs vezeti, amelynek naprakészségéért is az adatvédelemért felelős munkatárs a felelős. A társaság vezető tisztségviselője a nyilvántartást minden év december 31. napjáig felülvizsgálja, és a felülvizsgálatról készült jegyzőkönyvet, valamint a felülvizsgált nyilvántartást 30 napon belül megküldi az adatvédelemért felelős munkatársnak, aki az adatkezelési nyilvántartását vezeti.
Az egyes nyilvántartások, adatkezelések tekintetében a hozzáférési jogosultságot az adatvédelemért felelős munkatársnak személyre lebontottan meg kell határoznia és gondoskodnia kell az időszerű állapotnak megfelelő nyilvántartás vezetéséről.
- Az érintett előzetes tájékoztatása
Az érintettel az adatkezelés megkezdése előtt közölni kell az adatkezelés jogalapját, valamint egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról, az adatkezelésre jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
- Az érintett jogai és jogorvoslati lehetőségei az adatkezelés során Az érintettet a személyes adatainak kezelése során a GDPR-ral és az Info tv-ben foglaltakkal összhangban az Adatvédelmi Szabályzat e fejezetében meghatározott jogok gyakorlása illeti meg.
14.1. A tájékoztatás és „hozzáférés joga”
Az Info tv. és a GDPR 15. cikke alapján az érintett kérelmére az Adatkezelő tájékoztatást ad:
– az adatkezelés céljáról/céljairól,
– az általa kezelt adatokról és személyes adatok kategóriáiról,
– azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket (adatfeldolgozókról és adatközlés más címzettjeiről),
– az adatkezelés jogalapjáról, jogszerűségéről,
– az adatkezelés időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól,
– adott esetben ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról,
– adott esetben az automatizált döntéshozatalról, ideértve a profilalkotást is, valamint a logikára és arra vonatkozó érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár,
– az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, ha az érintett ilyen incidens alanyává vált.
Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja, ha ezt az érintett kéri. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
Adatkezelő felhívja az érintettek figyelmét, hogy a tájékoztatást meg fogja tagadni, ha
– a tájékoztatás hátrányosan érinti mások jogait, szabadságait;
– törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az Adatkezelő személyes adatot akként vesz át, hogy az adattovábbító adatkezelő az adattovábbítással egyidejűleg jelzi a személyes adat érintettje a nevezett törvényben biztosított jogainak korlátozását, vagy kezelésének egyéb korlátozását;
– az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.
Adatkezelő az elutasított tájékoztatási kérelmekről a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente értesíti, ha jogszabály alapján fennáll ilyen kötelezettsége.
14.2. A helyesbítés joga
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Ugyanakkor, ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő kötelezően helyesbíti, az érintett kérése nélkül is. Adatkezelő a helyesbítés megtörténtéről tájékoztatja az érintettet.
14.3. A törléshez való jog, „elfeledtetéshez való jog”
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll: – a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
– az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
– az érintett tiltakozik a profilalkotás vagy közvetlen üzletszerzési célból történő adatkezelés ellen;
-a személyes adatokat jogellenesen kezelték;
– a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
– a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Abban az esetben, ha az Adatkezelő valamely okból nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket –
annak érdekében, hogy tájékoztassa az adatokat kezelő más adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Az Adatkezelő felhívja az érintettek figyelmét a törléshez vagy az „elfeledtetéshez való jog” GDPR 17. cikk (3) bekezdésben meghatározott korlátaira, amelyek a következők:
– a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása; – a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása;
– népegészségügy területét érintő közérdek;
– a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést;
– jogi igények előterjesztése, érvényesítése, illetve védelme.
14.4. Az adatkezelés korlátozásához, vagy más néven zároláshoz való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, az adatokhoz történő hozzáférést, ha az alábbi feltételek valamelyike fennáll:
– az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
– az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és e helyett kéri azok felhasználásának korlátozását;
– az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
– ha az érintett a tiltakozott a profilalkotás ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben
Ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit, az adatokat zárolni kell. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
Adatkezelő indokolatlan késedelem nélkül, maximum a kérelem beérkezésétől számított 15 napon belül tájékoztatja az érintettet a kérelmében meghatározottakról, és/vagy helyesbíti az adatokat, és/vagy törli és/vagy korlátozza (zárolja) az adatokat, vagy egyéb lépéseket tesz meg a kérelemnek megfelelően, ha nincsen azt kizáró ok.
Az Adatkezelő a helyesbítésről, a törlésről, az adatkezelés korlátozásának megtörténtéről írásban értesíti az érintettet, továbbá mindazokat, akiknek korábban az adatot adatkezelés céljára továbbították, átadták. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti, vagy ha a tájékoztatás lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Adatkezelő arról is köteles írásban értesíteni az érintettet, ha az érintett joggyakorlása valamely okból nem valósulhat meg. Ebben az esetben az Adatkezelő köteles megjelölni pontos ténybeli okot és jogalapot, valamint az érintett számára nyitva álló jogorvoslati lehetőségeket: a bírósághoz és a Nemzeti Adatvédelmi és Információszabadsághoz fordulás lehetőségét.
14.5. A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okból bármikor tiltakozzon személyes adatainak kezelése ellen, ha a személyes adatok kezelésére az adatkezelő jogos érdeke, vagy a közhatalmi jelegge miatt kerül sor.
14.6. Tiltakozás közvetlen üzletszerzés estén
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett a GDPR 21. cikk (3) bekezdése alapján jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
Az Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a kérelmező tiltakozása megalapozott, az Adatkezelő az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Amennyiben az érintett az Adatkezelő döntésével nem ért egyet, vagy az Adatkezelő a hivatkozott határidőt elmulasztja, jogosult – annak közlésétől számított 30 napon belül – bírósághoz fordulni.
14.7. Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
14.8. Jogorvoslathoz való jog
14.8.1. Bírósági jogérvényesítés
Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani.
14.8.2. Az érintett bejelentéssel, panasszal élhet:
Nemzeti Adatvédelmi és Információszabadság Hatóság Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
www: http://www.naih.hu
e-mail: ugyfelszolgalat@naih.hu
Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt személy jogaival, jó hírnév megsértésével kapcsolatos jogainak megsértése esetén az érintett bejelentéssel, panasszal élhet:
Nemzeti Média- és Hírközlési Hatóság 1015 Budapest, Ostrom u. 23-25. Levélcím: 1525. Pf. 75
Tel: (06 1) 457 7100
Fax: (06 1) 356 5520
E-mail: info@nmhh.hu
14.8.3. Kártérítésre és sérelemdíjra vonatkozó törvényi szabályok: Abban az esetben, ha az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az Adatkezelőtől sérelemdíjat követelhet.
Abban az esetben, ha Adatkezelő adatfeldolgozót vett igénybe, az érintettel szemben az Adatkezelő felel az adatfeldolgozó által okozott kárért és az Adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.
III. MUNKAVÁLLALÓI ADATKEZELÉSSEL KAPCSOLATOS
RENDELKEZÉSEK
Adatkezelő kiemelten fontosnak tartja munkavállalói személyes adatainak megfelelő kezelését, ezért a legfontosabb munkahelyi személyes adatkezelések kapcsán az alábbi elvek és rendelkezések szerint jár el.
A munkavállaló személyes adata csak akkor kezelhető, ha az adat kezelése nélkül a munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltatónak adatkezelései jogszerűségét azzal kell alátámasztania, hogy minden adatkezelése vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél eléréséhez szükséges. A munkáltató köteles a munkavállalóktól kért adatok körét előre oly módon meghatározni, hogy az adatok kizárólag a munkaviszony létesítéséhez, fenntartásához, megszűnéséhez kapcsolódjanak.
A munkavállalókat tájékoztatni kell arról, hogy a tőlük kért adatok, a velük szemben alkalmazott vizsgálatok milyen információként szolgálhatnak a munkáltató számára.
Amennyiben az adatokon eltérő célokból végeznek műveleteket, akkor a célokat egyenként definiálni kell. Továbbá az adatkezelésnek minden szakaszában meg kell felelnie az adott adatkezelési célnak, és tilos adatokat kezelni olyan újabb célból, amely összeegyeztethetetlen az eredetivel.
Amennyiben a munkáltató a munkaszerződés alapján rendelkezésére álló adatokat fel akarja használni belső képzés szervezésére, akkor ez a munkajogviszonyból fakadó, korábbi adatkezelésekhez képest új adatkezelési cél, amelyet külön definiálnia kell.
Abban az esetben, ha a munkakörre vonatkozóan jogszabály alkalmassági vizsgálatot ír elő, a munkahelyi felvételi eljárás során kizárólag olyan kérdést intézhet a munkáltató a leendő munkavállaló felé, amely a munkaviszony, az alkalmassági vizsgálat szempontjából releváns, és az érintett személyiségi jogait – így a személyes adatok védelméhez való jogát –
nem sérti.
A munkáltatónak a munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése körében lehetőleg olyan módszert kell választania, amely nem jár együtt személyes adat kezelésével. Ha nincs ilyen, akkor a magánszférát legkevésbé korlátozó módszert kell alkalmaznia, amelynek nyomán korlátozott körben ismer meg személyes adatokat.
A munkáltatónak biztosítania kell a munkavállaló jelenlétét a munkáltatói ellenőrzés során. Ez csak abban az esetben mellőzhető, amennyiben a munkavállaló jelenléte lehetetlen, különös nehézségbe ütközik, vagy a munkavállaló jelenlétének biztosítása aránytalanul nagy terhet róna a munkáltatóra. Ilyen esetben a munkáltatónak kell bizonyítania a munkavállaló jelenlétének elmaradását kiváltó okot.
- A munkavállaló munkavégzésének munkáltatói ellenőrzése során az alábbiak szerint kell eljárni:
- Az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére, vagyis csak akkor lehet ellenőrzést folytatni, ha egyértelmű, hogy az alkalmazni kívánt eszköz, módszer által az ellenőrzés útján a védeni kívánt munkáltatói érdekek, jogok sérelme megelőzhető.
- Az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez egyszerre jelenti az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a szükséges esetben, és csak az arra feljogosított személyek használhatják fel.
- Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. A munkavállalókat a munkahelyen is megilleti a magánélethez való jog, és ezt a munkáltatónak tiszteletben kell tartania.
- Az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben tartásával kell történnie. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.
16.1. Az adatkezelés az érintett hozzájárulása alapján:
A hozzájárulásnak, önkéntesnek előzetes és érthető írásbeli tájékoztatáson alapulónak, valamint mindenfajta külső befolyástól mentesnek kell lennie. A hozzájárulás csak akkor minősül önkéntesnek, ha az érintettnek valódi választási lehetőség áll rendelkezésére, és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában az Adatkezelő nem rendelkezik megfelelő jogalappal az adatkezeléshez.
A munkavégzésre irányuló jogviszonyban fő szabályként, a munkáltató és a munkavállaló közötti alá-fölérendeltség okán, nem értelmezhető a hozzájárulás önkéntessége. Az érintett hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli előnyöket szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megtagadása esetén.
16.2. Adatkezelés szerződés alapján:
A szerződés alapján történő adatkezelés az érintett által kötött szerződés teljesítésének érdekében, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépések során is lehetséges. Az érintett részére korlátozásmentesen hozzáférhetővé kell tenni az adatkezelésről szóló részletes írásbeli tájékoztatót.
16.3. Adatkezelés törvényi felhatalmazás alapján:
Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. a jogszabályi felhatalmazáson alapuló adatkezelés esetén, amennyiben a jogszabály kötelezővé teszi, az adatkezelést köteles elvégezni.
Amennyiben a jogszabály nem írja elő, csak lehetővé teszi az adatkezelést, Adatkezelői döntésen alapulhat az adatkezelés.
Az érintett részére korlátozásmentesen hozzáférhetővé kell tenni az adatkezelésről szóló részletes írásbeli tájékoztatót.
16.4. Adatkezelés az Adatkezelő jogos érdeke alapján:
Az Érintett adatait az EGER VÁROSI TURISZTIKAI NONPROFIT KFT., amennyiben az jogos érdekének érvényesítéséhez szükséges, kezelheti. Ez az adatkezelés az érintett hozzájárulásától függetlenül jogszerűvé teszi a munkáltató adatkezelését, feltéve, ha az Adatkezelő jogos érdeke arányosan korlátozza az érintett személyes adatok védelméhez való jogát, magánszféráját. Nem kezelhetők ezek az adatok a munkáltató jogos érdekének fennállása esetén sem, ha ezeknél az érdekeknél magasabb rendű a munkavállaló személyes adatai védelméhez és a magánéletének tiszteletben tartásához való joga.
Az érintett részére korlátozásmentesen hozzáférhetővé kell tenni az adatkezelésről szóló részletes írásbeli tájékoztatót.
Az adatkezelésért felelős munkatársnak a 16.4 pont szerinti jogalapból fakadó adatkezeléséhez az alábbi szempontokat kell figyelembe vennie:
- a) az adatkezelési körülményeket,
- b) az érdekmérlegelési teszt elvégzésének az Adatkezelő általi elvégzésének kötelezettségét, az Adatkezelői jogos érdeket meglapozó körülményeket,
- d) az érdekmérlegelési teszt elvégzése során megfontolandó kulcsfontosságú tényezőket,
- e) azokat az intézkedéseket, amelyek biztosítják az érintettek magánszférájának és személyes adatainak védelmét.
Az érdekmérlegelési teszt elvégzése során az adatkezelésért felelős munkatársnak:
- a) a tervezett adatkezelés megkezdése előtt át kell tekintenie, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése,
- b) meg kell vizsgálnia, hogy rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél,
- c) meg kell határoznia az Adatkezelői jogos érdeket,
- d) meg kell határoznia, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek,
- e) meg kell határoznia, hogy a munkavállalóknak mik lehetnek az érdekeik az adott adatkezelés vonatkozásában, melyek azok a szempontok, amelyeket a munkavállalók felhozhatnának az adatkezeléssel szemben,
- f) meg kell határoznia, hogy miért korlátozza arányosan a munkáltatói jogos érdek – és az ennek alapján végzett adatkezelés – az Érintett jogait.
16.5. A pályázatok, önéletrajzok megőrzése:
Az Info tv. 4. § (1)-(2) bekezdése alapján az önéletrajzok, pályázatok esetében az adatkezelés célja az, hogy a meghirdetett munkakört betöltsék. Ennek megfelelően, ha a munkáltató a jelentkezők közül kiválasztott egy személyt a meghirdetett állásra, akkor megszűnt az adatkezelés célja és – az Info tv. 17. § (2) bekezdés d) pontja alapján – a ki nem választott jelentkezők személyes adatait törölni kell. Fennáll a törlési kötelezettség abban az esetben is, ha az érintett még a jelentkezés során meggondolja magát, visszavonja pályázatát.
A munkáltató alapvetően csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére az Info tv. 4. § (1)-(2)
bekezdésével összhangban álló adatkezelési célja elérése érdekében szükség van. Az érintett azzal, hogy elküldi a pályázati anyagát a munkáltató számára, nem adott hozzájárulást ahhoz, hogy a pályázati anyagát a munkáltató megőrizze. A munkáltatónak az ilyen adatkeléshez a hozzájárulást a felvételi eljárás lezárását követően kell kérnie a jelentkezőktől. A munkáltatónak a pályázati anyagok megőrzése esetében is egy konkrét, az adatkezelés céljához és az adatkezelés pontosságának, naprakészségének elvéhez igazodó időtartamot kell meghatároznia.
16.6. Az alkalmassági vizsgálatok:
Részletesen tájékoztatni kell a munkavállalót, illetve leendő munkavállalót többek között arról, hogy az alkalmassági vizsgálat, mely jogszabály, munkaviszonyra vonatkozó szabály alapján, milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik.
Az eredményeket kizárólag a vizsgált leendő munkavállaló, az érintett munkavállaló, valamint a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban nem ismerheti meg.
A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
A munkaalkalmasságra, felkészültségre irányuló teszteket a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal.
16.7. Megváltozott munkaképességű munkavállalók:
A megváltozott munkaképességű munkavállalókra adatkezelési szempontból azonos szabályok vonatkoznak, mint a Társaság alkalmazottaira, rájuk vonatkozóan azonban bővebb a kezelt adatok köre. A Társaság törvényi előírás alapján kezeli a megváltozott munkaképességű munkavállalók egészségi állapotára vonatkozó adatokat.
16.8. E-mail fiók használata:
A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail-fiók használatának ellenőrzésére a munkáltatónak belső szabályzatot kell megalkotnia az e-mail-fiók használatának és a használat ellenőrzésének szabályairól.
A munkáltató az e-mail-fiók használatát, a munkavégzés akadályozása nélkül, magáncélra is engedélyezte.
A munkáltatónak az adatkezelés megkezdése előtt el kell végeznie az érdekmérlegelés tesztjét. Ennek során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor az e-mail-fiók ellenőrzésére. Ezen érdekeknek, ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállalók munkaköréhez igazodóknak kell lenniük. Ezen túlmenően a munkáltatónak az e-mail-fiók használatának ellenőrzése előtt közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói intézkedésre.
A munkáltatónak – a fokozatosság elvére figyelemmel – lépcsőzetes ellenőrzési rendszert kell kidolgoznia, amelyben megfelelően érvényesülhet a személyes adatok védelme, illetve hogy az ellenőrzés minél kisebb mértékben érintse a munkavállalók magánszféráját. Az ellenőrzés
során az e-mail-cím és a levél tárgyának ellenőrzése mellett az e-mail tartalma csak különösen indokolt esetben lehetséges. A munkáltató nem jogosult az e-mail- fiókban tárolt magánjellegű e-mailek tartalmát ellenőrizni még akkor sem, ha az ellenőrzés tényéről előzetesen a munkavállalókat tájékoztatta.
A munkáltatónak előzetesen részletes tájékoztatást kell biztosítania a munkavállalók számára. A tájékoztatóban közölni kell, milyen célból, milyen munkáltatói érdekek miatt kerülhet sor az e-mail-fiók ellenőrzésére.
A konkrét ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy
- milyen munkáltatói érdek miatt kerül sor az ellenőrzésre,
- a munkáltató részéről ki végezheti az ellenőrzést,
- milyen szabályok szerint kerülhet sor ellenőrzésre,
- mi az eljárás menete,
- milyen jogai és jogorvoslati lehetőségei vannak a munkavállalóknak az e-mail- fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
A munkáltatónak az E-mail fiók használatának ellenőrzésére egyebekben az Informatikai Biztonsági Szabályzat irányadó.
16.9. Számítógép, laptop, tablet és egyéb infokommunikációs eszköz használatának, ellenőrzésének szabályai:
Munkáltató az Informatikai Biztonsági Szabályzatban rendelkezik a munkavállaló rendelkezésére bocsátott számítógép, laptop, tablet és egyéb infokommunikációs eszköz (a továbbiakban: eszköz) használatának, ellenőrzésének szabályairól. A munkáltató az eszközök használatát, munkavégzés akadályozása nélkül, magáncélra is engedélyezte.
A munkáltatónak a munkavállaló rendelkezésére bocsátott számítógép, laptop, tablet és egyéb infokommunikációs eszköz használatának ellenőrzésére egyebekben az Informatikai Biztonsági Szabályzat irányadó.
16.10. Internethasználat szabályai:
A munkavállaló által meglátogatott weboldal vagy az internet használatával kapcsolatban a számítógépen rögzített, lementett információk – az elmentett felhasználónév, jelszó – a munkavállaló személyes adatainak tekinthetők. A munkáltató az internet használatát, munkavégzés akadályozása nélkül, magáncélra is engedélyezte.
A munkáltatónak a munkavállaló rendelkezésére bocsátott internet használatának ellenőrzésére egyebekben az Informatikai Biztonsági Szabályzat irányadó.
A szabályzatban kell meghatározni:
- a munkáltató mely honlapok megtekintését blokkolja a munkahelyi számítógépeken, • az ellenőrzés lefolytatására vonatkozó részletes szabályokat.
Az ellenőrzés csak az ellenőrzés céljához szükséges személyes adatok megismerésére terjedhet ki. Amennyiben a munkáltató bizonyos honlapok látogatását blokkolja, és az ellenőrzése pusztán arra terjedhet ki, hogy megállapítsa, a munkavállaló betartotta-e ezt a munkáltatói rendelkezést, akkor elegendő a honlap címének a megismerése és feljegyzése, tilos a munkavállaló tevékenységének részletes feltérképezése. A munkáltató nem ellenőrizheti, hogy a munkavállaló milyen tevékenységet végzett a honlapon, milyen felhasználónevet és jelszót mentett el, milyen fájlokat mentett le a honlapról.
Az internethasználatra egyebekben az e-mailre vonatkozó rendelkezéseket kell alkalmazni. 16.11. Mobiltelefon eszköz használatának ellenőrzése:
A munkáltató által rendelkezésre bocsátott mobiltelefon előfizetés, mobiltelefon eszköz használatának ellenőrzésére a munkáltató jogosult. A munkáltató mind mobiltelefon előfizetés, mind a mobiltelefon eszköz használatát magáncélra is engedélyezte, azonban a munkáltató a magáncélú hívások adatait nem, csak a munkával összefüggő hívások adatait jogosult megismerni.
A magáncélú telefonhasználat engedélyezése során a munkáltató hívásrészletezőt kérhet a telefonszolgáltatótól, de ennek adatait csak azután ismerheti meg, ha felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A fennmaradó telefonszámokat a munkáltató megismerheti, mivel a munkáltató képviseletében hívta fel a munkavállaló. A munkáltató nem kezelhet személyes adatokat, nem ismerheti meg, hogy a munkavállaló magáncélból kit és mikor hívott fel.
16.12. Vagyonvédelmi kamerarendszer által rögzített képmás:
Az Adatkezelő vagyonvédelmi célból videó rögzítő rendszert üzemeltet a telephelyein és működési területén. Az érintett munkavállalók a rögzítés tényének tudomásul vételével szerepelhetnek a felvételeken.
- A TÁRSASÁG ÁLTAL VÉGZETT EGYÉB ADATKEZELÉSEK
17.1. Szervezeti struktúrára vonatkozó adatkezelés
17.1.1. Tulajdonosok, vezető tisztségviselők, a társaság képviseletére jogosultak nyilvántartása
– az adatkezelés célja: kapcsolattartás, a társaság működésével, vezetésével, képviseletével kapcsolatos feladatok ellátása
– kezelt adatok köre: név, cím, e-mail cím, telefonszám, számlaszám, adószám, weboldal – adatkezelés jogalapja: érintett hozzájárulása, valamint a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény 10. §
– az adatkezelés (tárolás) időtartama: a tisztség betöltéséig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
17.2. Felügyelő bizottsági tagok nyilvántartása
– az adatkezelés célja: kapcsolattartás, a társaság törvényes működésével, ellenőrzésével kapcsolatos feladatok ellátása
– kezelt adatok köre: név, születési név, születési idő, anyja neve, álladó lakcím, adóazonosító jel, TAJ kártya szám, bankszámlaszám
– adatkezelés jogalapja: Infotv., az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a tisztség betöltéséig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
17.3. Munkavállalók nyilvántartása
– az adatkezelés célja: munkaviszonnyal kapcsolatos ügyintézés
– kezelt adatok köre: név, születési név, születési idő, anyja neve, álladó lakcím, adóazonosító jel, TAJ kártya szám, bankszámlaszám
– adatkezelés jogalapja: Infotv., a Munka Törvénykönyvéről szóló 2012. évi I. törvény, az adózás rendjéről szóló 2017. évi CL. törvény, az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a tisztség betöltéséig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
17.4. Partnerek nyilvántartása (könyvvizsgáló, könyvelő, jogi képviselő, szakértő, fordító, informatikai szolgáltató, vagyonvédelemi szolgáltató, takarítási szolgáltató) – az adatkezelés célja: kapcsolattartás, szolgáltatás igénybe vételével, illetve teljesítésével kapcsolatos ügyintézés
– kezelt adatok köre: név, cím, adószám, telefonszám, e-mail cím, bankszámlaszám – adatkezelés jogalapja: Infotv., az Érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a szolgáltatás igénybevételének időtartamáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
17.5. Eger Megyei Jogú Város Önkormányzatának önkormányzati képviselőinek, tisztségviselőinek, munkatársainak nyilvántartása
– az adatkezelés célja: kapcsolattartás
– kezelt adatok köre: név, cím, telefonszám, e-mail cím
– adatkezelés jogalapja: Infotv., az Érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: Eger Megyei Jogú Város Önkormányzatának az EGER VÁROSI TURISZTIKAI NONPROFIT KFT.-ben fennálló tagsági jogviszonyának a megszűnéséig, illetve az önkormányzati képviselők megbízásának megszűnéséig, valamint az önkormányzati köztisztviselők és közszolgálati ügykezelők közszolgálati jogviszonyának megszűnéséig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
17.6. Eger Megyei Jogú Város Önkormányzatának önkormányzati fenntartási intézményeinek, önkormányzati társaságainak, illetve ezen intézmények és társaságok képviselőinek, munkatársainak nyilvántartása
– az adatkezelés célja: kapcsolattartás
– kezelt adatok köre: név, cím, telefonszám, e-mail cím
– adatkezelés jogalapja: Infotv., az Érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: Eger Megyei Jogú Város Önkormányzatának az EGER VÁROSI TURISZTIKAI NONPROFIT KFT.-ben fennálló tagsági jogviszonyának a megszűnéséig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
17.7. Térségi, regionális és országos szakmai szervezetek vezetőinek, munkatársainak nyilvántartása
– az adatkezelés célja: kapcsolattartás
– kezelt adatok köre: név, cím, telefonszám, e-mail cím
– adatkezelés jogalapja: Infotv., az Érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a szakmai szervezettekkel fennálló együttműködés időtartamáig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
- Turisztikai Desztinációs Menedzsment (TDM) tevékenységgel kapcsolatos adatkezelés
18.1. Regisztráció eseményekre
– az adatkezelés célja: eseményeken való részvétel jelzése, kapcsolattartás, tájékoztatatás
– a kezelt adatok köre: név, lakcím, e-mail cím (kérdéssel, hogy hozzájárul-e a címének további tárolásához: igen/nem), telefonszám
– adatkezelés jogalapja: az érintett önkéntes hozzájárulása
– az adatkezelés (tárolás) időtartama: az esemény végéig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
18.2. Regisztráció nyereményjátékok során
– az adatkezelés célja: a nyereményjátékon való önkéntes részvétel rögzítése, a nyertesek tájékoztatása, kapcsolattartás
– a kezelt adatok köre: név, e-mail cím, telefonszám
– adatkezelés jogalapja: az érintett önkéntes hozzájárulása
– az adatkezelés (tárolás) időtartama: a nyereményjáték lezárásáig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
18.3. Egri bor okostelefonos alkalmazás működtetése
– az adatkezelés célja: tájékoztatás, kapcsolattartás, marketing
– a kezelt adatok köre: borászat neve, a borászat vezetője, a borászat címe, e-mail címe, telefonszáma, a borászat bemutatkozása, fényképek
– adatkezelés jogalapja: az érintett önkéntes hozzájárulása
– az adatkezelés (tárolás)időtartama: az érintett borászat hozzájáruló nyilatkozatának a visszavonásáig
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
18.4. Programszervezők nyilvántartása
– az adatkezelés célja: tájékoztatás, kapcsolattartás
a kezelt adatok köre: név, telefonszám, e-mail cím
– adatkezelés jogalapja: jogos érdek
– az adatkezelés (tárolás) időtartama: a jogos érdek fennállásának időtartamára – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
18.5. Árajánlatkérés
– az adatkezelés célja: az érintett számára megfelelő információ, ajánlat nyújtása és kapcsolattartás
a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, bankszámlaszám – adatkezelés jogalapja: Infotv., illetve az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: sikeres ajánlatkérés esetén az ajánlatkérés alapján létrejött jogviszony hatálya alatt; sikertelen ajánlatkérés esetén az ajánlat visszautasítását követően
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
18.6. Önkéntesek fogadása
– az adatkezelés célja: önkéntesek feladataival kapcsolatos ügyintézés, az önkéntesek tájékoztatása, kapcsolattartás
a kezelt adatok köre: név, anyja neve, születési idő, hely, személyi igazolvány száma, cím, telefonszám, e-mail cím
– adatkezelés jogalapja: Infotv., illetve az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: az önkéntesekkel kötött szerződés hatálya alatt – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
18.7. Eseményen közreműködők (idegenvezetők / egyéb) nyilvántartása: – az adatkezelés célja: tájékoztatás, kapcsolattartás
a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, bankszámlaszám – adatkezelés jogalapja: jogos érdek
– az adatkezelés (tárolás) időtartama: a jogos érdek fennállásának időtartamára – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
- Turisztikai Desztinációs Menedzsment (TDM) tagsággal kapcsolatos adatkezelés
19.1. A tulajdonosok által képviselt szervezetekhez tartozó turisztikai szolgáltatók nyilvántartása
– az adatkezelés célja: tájékoztatás, kapcsolattartás
– a kezelt adatok köre:
o Magánszállásadók: szálláshely tulajdonosok neve, szálláshely megnevezése, címe, telefonszám, email cím, számlaszám, adószám
o Hotelek, panziók: tulajdonosok neve, kapcsolattartók neve, szálláshely megnevezése, cím, telefonszám, e-mail cím, számlaszám, adószám
o Borászok: tulajdonos neve, egység megnevezése, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám
o Vendéglátóegységek: tulajdonosok neve, egység megnevezése, kapcsolattartó neve, telefonszám, email cím, számlaszám, adószám
– adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
19.2. Idegenvezetők nyilvántartása
– az adatkezelés célja: tájékoztatás, kapcsolattartás
a kezelt adatok köre: név, telefonszám, e-mail cím, adószám, bankszámlaszám – adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
19.3. Egyéb szolgáltatók nyilvántartása
– az adatkezelés célja: tájékoztatás, kapcsolattartás
a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, bankszámlaszám – adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
- Egyedi turisztikai szolgáltatás megrendelésével kapcsolatos adatkezelés – az adatkezelés célja: egyedi turisztikai szolgáltatás nyújtásának létrejötte – a kezelt adatok köre: vevő neve, címe, telefonszáma, e-mail címe, adószáma, bankszámlaszám
– adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: az egyedi turisztikai szolgáltatás igénybevételéig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás
- Marketing tevékenység partneri hálózatával (írott és elektronikus sajtó, hirdetéskezelők, szerkesztőségek, nyomdák, partner szervezete) kapcsolatos adatkezelés
– az adatkezelés célja: kapcsolattartás
– a kezelt adatok köre: név, cím, telefonszám, e-mail cím, adószám, banki adatok – adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás 22. Tourinform irodai tevékenyéggel kapcsolatos adatkezelés
22.1. Turisztikai szolgáltatók (vállalkozók, cégek) adatainak a nyilvántartása – az adatkezelés célja: tájékoztatás, kapcsolattartás
– a kezelt adatok köre:
o szálláshelyek: tulajdonos neve, egység megnevezése, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
o borászatok: tulajdonos neve, egység megnevezése, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
o vendéglátóhelyek: tulajdonos neve, egység megnevezése, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
o múzeumok, kiállítóhelyek: megnevezés, hivatalos képviselő, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
o fürdők: megnevezés, hivatalos képviselő, kapcsolattartó neve, telefonszám, e mail cím, számlaszám, adószám, weboldal
o sportolási lehetőségek (lovaglás, tenisz, fallabda, repülés): megnevezés, hivatalos képviselő, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
– adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
22.2. Rendezvényszervezők, programgazdák nyilvántartása
– az adatkezelés célja: tájékoztatás, kapcsolattartás
– a kezelt adatok köre: megnevezés, hivatalos képviselő, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
– adatkezelés jogalapja: az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 22.3. Belépőjegy vásárlók (színházi előadásokra, koncertekre) adatainak kezelése
– az adatkezelés célja: számlaadási kötelezettség teljesítése
– a kezelt adatok köre: vevő neve, címe
– adatkezelés jogalapja: az általános forgalmi adóról szóló 2007. évi CXXVII. törvény, valamint a számvitelről szóló 2000. évi C. törvény
– az adatkezelés (tárolás) időtartama: a számvitelről szóló 2000. évi C. törvény 169. § (1) bekezdése alapján 8 év
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
22.4. Értékcikkek beszállítói (könyv, térkép, cd, dvd, autóbuszbérlek) adatainak kezelése
– az adatkezelés célja: kapcsolattartás, megrendelések leadása, fogadása – a kezelt adatok köre: megnevezés, hivatalos képviselő, kapcsolattartó neve, telefonszám, e-mail cím, számlaszám, adószám, weboldal
– adatkezelés jogalapja: az érintett hozzájárulása/szerződés
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/ szerződés időbeli hatálya alatt
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
22.5. A Tourinform Irodában gyakorlatot teljesítő diákok adatainak kezelése – az adatkezelés célja: a gyakorlatot teljesítő diákok feladataival kapcsolatos ügyintézés, a diákok tájékoztatása, kapcsolattartás
– a kezelt adatok köre:
o középiskolás, egyetemista, főiskolás diákok szakmai gyakorlata: név, cím, adóazonosító jel, telefonszám, e-mail cím, bankszámlaszám
o duális képzésben résztvevők: név, cím, adóazonosító jel, telefonszám, e-mail cím, bankszámlaszám
o közösségi szolgálatot teljesítők: név, cím, adóazonosító jel, telefonszám, e mail cím
– adatkezelés jogalapja: az érintett hozzájárulása/szerződés
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/ szerződés időbeli hatálya alatt
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
22.5.1. A Tourinform Irodában gyakorlatot teljesítő diákokkal tanulói, illetve hallgatói jogviszonyban középiskolákkal, egyetemekkel, illetve középiskolák, egyetemek, szakmai gyakorlat kapcsolattartóival kapcsolatos adatok kezelése
– az adatkezelés célja: együttműködési megállapodásban foglaltak teljesítése – a kezelt adatok köre: név, cím, telefonszám, e-mail cím
– adatkezelés jogalapja: az érintett hozzájárulása/szerződés
– az adatkezelés (tárolás) időtartama: az együttműködési megállapodás időbeli hatálya alatt
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
22.6. Önkéntesek fogadása
– az adatkezelés célja: önkéntesek feladataival kapcsolatos ügyintézés, az önkéntesek tájékoztatása, kapcsolattartás
– a kezelt adatok köre: név, anyja neve, születési idő, hely, személyi igazolvány száma, cím, telefonszám, e-mail cím
– adatkezelés jogalapja: Infotv., illetve az érintett hozzájárulása
– az adatkezelés (tárolás) időtartama: az önkéntesekkel kötött szerződés hatálya alatt – személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
22.7. Kiadványszerkesztéssel kapcsolatos (grafikus, nyomdai) adatkezelés: – az adatkezelés célja: kapcsolattartás, megrendelések leadása, fogadása – a kezelt adatok köre: név, cím, telefonszám, e-mail cím,adóazonosító jel
– adatkezelés jogalapja: az érintett hozzájárulása/szerződés
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/ szerződés időbeli hatálya alatt
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs 23. Ajándékbolt tevékenyégével kapcsolatos adatkezelés
23.1.Beszállítók adatainak kezelése
– az adatkezelés célja: kapcsolattartás, megrendelések leadása, fogadása – a kezelt adatok köre: tulajdonos, kapcsolattartó neve, cím, adószám, telefonszám, e mail cím, bankszámlaszám
– adatkezelés jogalapja: az érintett hozzájárulása/szerződés
– az adatkezelés (tárolás) időtartama: a hozzájáruló nyilatkozat visszavonásáig/ szerződés időbeli hatálya alatt
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
23.2.Vevők adatainak kezelése
– az adatkezelés célja: számlaadási kötelezettség teljesítése
– a kezelt adatok köre: vevő neve, címe
– adatkezelés jogalapja: az általános forgalmi adóról szóló 2007. évi CXXVII. törvény, valamint a számvitelről szóló 2000. évi C. törvény
– az adatkezelés (tárolás) időtartama: a számvitelről szóló 2000. évi C. törvény 169. § (1) bekezdése alapján 8 év
– személyes adatok címzettjei: nincs
– harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás: nincs
- ADATBIZTONSÁGRA, ADATTOVÁBBÍTÁSRA VONATKOZÓ RENDELKEZÉSEK
- Adatbiztonság
Az Adatkezelő gondoskodik az általa tárolt adatok biztonságáról. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében. Kialakítja azokat az eljárási szabályokat, amelyek az irányadó jogszabályok, adat-és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az Adatkezelő az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.
Az Adatkezelő az adatok biztonságát szolgáló intézkedések meghozatalakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére. Az Adatkezelő több lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
24.1. Informatikai nyilvántartások védelme
Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:
– A jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
– Az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonsági kezeléséről (biztonsági mentés);
– Az adatállományok vírusok elleni védelméről (vírusvédelem);
– Az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).
Az elektronikusan tárolt adatok esetében adatot csak nyilvántartott hozzáférési jogosultsággal rendelkező adatkezelő kezelhet. Az adatkezelőnek egyéni, titkos jelszóval kell bejelentkeznie a rendszerbe. A rendszerben történt, jelszóval védett adatkezeléséért az adatkezelő felel. Az esetleges visszaélések elkerülése érdekében az adatkezelő kötelezettsége, hogy egyéni jelszava titkosságát biztosítsa. Az adatkezelés befejeztével az adatkezelőnek a rendszerből ki kell lépnie.
24.2. Adatvédelmi intézkedések
A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket teszi:
– az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára át nem adhatók;
– a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
– a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá; – a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
– a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papírlapú adathordozót elzárja;
– amennyiben a papírlapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:
– az adatkezelés során használt számítógépek a Társaság tulajdonát képezik; – a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználó névvel és jelszóval – lehet hozzáférni; – a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
– amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre vagy anonomizálásra kerül, az adat újra vissza nem nyerhető;
– a hálózaton tárolt adatok biztonsága érdekében az Adatkezelő a szerveren folyamatos biztonsági mentéssel kerüli el az adatvesztést;
– az adatkezelő a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik; – az Adatkezelő a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
– a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
24.3. Szerverek biztonsága
A Társaság által kezelt személyes adatok áramlását elektronikus módon szerverek segítségével valósítják meg, fizikai tárolásukat pedig adattárolók segítségével. Mind az adattárolókat, mind pedig a szervereket külön erre a célra kialakított helyiségben kell elhelyezni. Erre a helyiségre vonatkozóan ki kell alakítani egy hozzáférési jogosultsággal rendelkező munkavállaló bázist, akik engedéllyel férhetnek hozzá ezekhez az eszközökhöz és esetlegesen a rajtuk tárolt adatokhoz. A szerverszobába való belépési jogosultságot a munkavállalónak külön kell igényelnie, amit az informatikai vezetőnek (amennyiben kinevezésre vagy megbízásra került belső adatvédelmi felelős, abban az esetben vele egyetértésben) kell elbírálnia. A helyiségbe csak előre meghatározott és tételesen felsorolt személyek léphetnek be. A személyes adatok tárolásának helyén, a szerverszobákban tárolt szerverek fizikai védelme érdekében a Társaság az alábbi intézkedéseket hozza:
– a szerverszoba fizikai védelmét tűzgátló falak biztosítják;
– a szerverszoba klimatizált és tűzjelző berendezéssel ellátott;
– a szerverszobába csak a szerverszoba kulcsfelvételi engedéllyel rendelkező rendelkezhet saját kulccsal vagy veheti át a kulcs kezelőjétől a szerverszoba kulcsát; – a kulcsfelvételi engedéllyel rendelkezőkről nyilvántartást vezet az adatkezelő; – aki nem a Társaság alkalmazottja, az nem rendelkezik kulcsfelvételi engedéllyel; – a kezelt kulcsok típusa lehet állandó vagy eseti, állandó kulcsfelvételi jogosultság birtokában dedikált kulccsal rendelkezhet az engedély birtokosa;
– Társaság ezen feladattal megbízott munkatársa folyamatosan rögzíti a nem dedikált kulcsok felvételét és leadását;
– amennyiben olyan személynek kell tevékenysége ellátása érdekében bemenni a szerverszobába, aki nem jogosult a kulcs felvételére vagy nem a Társaság alkalmazottja, akkor minden esetben tartózkodik vele egy olyan személy is a szerverszobában, aki kulcsfelvételi engedéllyel rendelkezik.
24.4. Papíralapú nyilvántartások védelme
Az Adatkezelő a papírlapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
A munkavállalók és egyéb, az Adatkezelés érdekében eljáró személyek az általuk használt, vagy birtokukban lévő személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától kötelesek biztonságosan őrizni, és védeni a jogosultatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.
A manuálisan kezelt iratokat a Dokumentumkezelési Szabályzatnak megfelelően kell irattárba helyezni.
- Adattovábbítás
25.1. Az adattovábbítás általános szabályai
A Társaság által kezelt adatokból személyes adatot továbbítani csak jogszabályban meghatározott körben, illetve ezen kötelezettség teljesítése érdekében, valamint az érintett beleegyezésével lehet a célhoz kötöttség elvének maradéktalan érvényesítésével.
Az adattovábbítás jogszerű, ha a személyes adat birtokába lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig jogszabályi felhatalmazással vagy az érintett hozzájárulásával rendelkezik. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a jogszabályban kötelezően előírt adattovábbítás esetét kivéve – az érintett szervezeti egység vezetője, amennyiben az adattovábbítás jogalapja kérdéses, kérheti az adatvédelmi felelős állásfoglalását.
Az adatigénylés abban az esetben teljesíthető, ha tartalmazza:
– az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését),
– a kért adatok körének pontos meghatározását és
– az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
Az adattovábbítás történhet kérelemre vagy törvény ilyen tartalmú rendelkezése alapján automatikusan, illetve a hozzáférés biztosítható kérelem alapján történő egyedi adatszolgáltatással vagy számítógépes (online) lekérdezés lehetővé tételével közvetlen lekérdezéssel.
Számítógépes adatállomány rendszerbe állítása esetén az adattovábbítás naplózását programtechnikailag biztosítani kell. A már működő adatállományok esetében a technikai és költségvetési lehetőségek függvényében szintén kezdeményezni kell az adattovábbítás céljának naplózásához szükséges technikai feltételek megteremtését. Manuális adatkezelések esetén – vagy ha a számítógépes adatkezelésnél a naplózás nem biztosítható – manuális módon kell gondoskodni az adattovábbítási nyilvántartás vezetéséről.
Az Adatkezelő külföldre nem továbbít adatokat. Nem minősül külföldre való továbbításnak, ha az érintett külföldi szolgáltatóknál regisztrált elektronikus kapcsolattartási címet ad meg.
- Vonatkozó jogszabályok
Az EGER VÁROSI TURISZTIKAI NONPROFIT KFT. adatkezelési alapelvei összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal:
- az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR); • 2011. évi CXII. törvény — az információs önrendelkezési jogról és az információszabadságról
- 2013. évi V. törvény — a Polgári Törvénykönyvről (Ptk.);
- 1997. évi CLV. törvény — a fogyasztóvédelemről (Fgytv.);
- 2017. évi XC. törvény — a büntetőeljárásról (Be.);
- 2000. évi C. törvény — a számvitelről (Számv. tv.);
- 2007. évi CXXVII. törvény – az általános forgalmi adóról szóló,
- HATÁLYBALÉPTETŐ RENDELKEZÉSEK
Ez a szabályzat 2019. július 19. napján lép hatályba.
Eger, 2019. július 19.
Törőcsik Gábor
ügyvezető