Adatkezelési szabályzat

Előszó

Magyarország Alaptörvénye VI. cikkének (3) és (4) bekezdése szerint:

„Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok
megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.”

Az Országgyűlés az Alaptörvény fent idézett előírásaihoz igazodva megalkotta az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (a továbbiakban: Infotv.), amely részletes szabályozást tartalmaz a személyes adatokra, a különleges adatokra, a közérdekű adatokra, valamint a közérdekből nyilvános adatokra vonatkozóan, ide értve elsősorban a személyes és különleges adatokkal összefüggő – automatizált eszközzel vagy manuális módon végzett – adatkezelésre és adatfeldolgozásra vonatkozó előírásokat, valamint a GDPR hazai jogrendbe illesztésének biztosítására megalkotta az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvényt.

***

2014. március 15. napján hatályba lépett a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.), amelynek egyes előírásai, így különösen annak az egyes személyiségi jogokat és azok megsértésének szankcióit szabályozó 2:42.-2:54. §-ai a személyiségi jogokat is
érintő adatkezelési tevékenység kapcsán lényeges és kötelezően irányadó előírásokat
tartalmaznak. Egyes adatkezelési tevékenységek tekintetében irányadóak lehetnek továbbá a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.), valamint a személy és vagyonvédelmi, valamint magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Szvtv.) előírásai is.

***

Tevékenysége során a Tamarindus Kft. (cégjegyzékszám: 20-09-068368, 8983 Babosdöbréte, Kökényesmindszent u. 7. adószám: 13771096-1-20, a továbbiakban: Társaság) is végez az Infotv. 3. §-ának 10. pontja szerinti adatkezelést, így a
Társaság az Infotv. 3. §-ának 9. pontja szerinti adatkezelőnek minősül.
Adatkezelőként a Társaság köteles maradéktalanul betartani és munkavállalóival, valamint a vele más szerződéses vagy egyéb jogviszonyban álló harmadik személyekkel is betartatni az  Infotv. adatkezelésre (és az esetleges adatfeldolgozásra vagy adattovábbításra stb.) vonatkozó előírásait, valamint a Ptk., az Mt. és az Szvtv. ezzel összefüggő rendelkezéseit.

1. Cél

A szabályzat célja, hogy a Társaság, a személyes adatokat érintő adatkezelői és adatfeldolgozói tevékenységgel összefüggésben meghatározza a személyes adatok kezelésének, feldolgozásának rendjét, biztosítsa az adatvédelem elveinek, az adatbiztonság követelményeinek érvényesülését, megfelelve az Európai Parlament és a Tanács által elfogadott, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679 számú rendeletének (a továbbiakban: GDPR). az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben foglaltaknak, Az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvényben., az Egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény rendelkezéseinek.

2. Alkalmazási terület

Jelen szabályzat személyi hatálya kiterjed a Társaság valamennyi munkavállalójára, a
Társasággal üzleti kapcsolatba kerülő, és üzleti információkat megismerő természetes és jogi személyekre, jogi személyiség nélküli gazdasági társaságokra (továbbiakban: külső partnerek) a velük kötött szerződés alapján.
A szabályzat tárgyi hatályában kiterjed a személyes adatok kezelését, feldolgozását megvalósító rendszerekre, folyamatokra.

3. Fogalom-meghatározások

Adatfeldolgozó:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; Az adatfeldolgozó az adatkezelő rendelkezése szerint vehet igénybe további adatfeldolgozót;

Adatkezelés:

a személyes adatokon vagy adatállományokon automatizált, vagy nem automatizált módon végzett bármely művelet, vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés, vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás, vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő:

az a természetes, vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

Adattovábbítás:

az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

Adattörlés:

az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem
lehetséges;

Adatvédelmi incidens:

a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

Biztonsági esemény:

minden olyan rendkívüli esemény, vagy körülmény, ami a személyes adatok alapfenyegetettség elleni védelmét sérti, vagy veszélyezteti, vagy az ilyen adatok biztonsági rendszereinek rendelkezésre állását akadályozza, korlátozza;

Biometrikus adat:

egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi, vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a
daktiloszkópiai adat;

Érintett:

bármely információ alapján azonosított vagy azonosítható természetes személy; Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám,
helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható;

Érintettek jogai:

GDPR 12-22. cikkben szabályozott jogok

Harmadik fél:

az a természetes, vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, vagy az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása
alatt a személyes adatok kezelésére felhatalmazást kaptak;

Hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság

Hozzájárulás:

az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és
egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést
félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő
személyes adatok kezeléséhez;

Különleges adat:

a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji, vagy
etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy
szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a
természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi
adatok és a természetes személyek szexuális életére vagy szexuális irányultságára
vonatkozó személyes adatok;

Nyilvánosságra hozatal:

az adat bárki számára történő hozzáférhetővé tétele;

Profilalkotás:

személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a
személyes adatokat valamely természetes személyhez fűződő bizonyos személyes
jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez,
egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz,
viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére
vagy előrejelzésére használják;

Személyes adat:

azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely
információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett
módon, különösen valamely azonosító, például név, szám, helymeghatározó adat,
online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi,
gazdasági kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező
alapján azonosítható;

4. Általános elvek

4.1. A Társaság – 2011. évi CXII. évi az információs önrendelkezési jogról és az
információszabadságról szóló törvényben és a GDPR-ban foglaltaknak megfelelően (az
adatok megjelenési formájától függetlenül) betartja az adatkezelés törvényes elveit,
megőrzi a személyes adatok bizalmasságát. Gondoskodik azok biztonságáról, valamint
megteszi a szükséges technikai és szervezési intézkedéseket, kialakítja a megfelelő
eljárási szabályokat.
4.2. A Társaság valamennyi vezetője és munkavállalója köteles a Társaság által végzett
adatkezelés során az adatokat bizalmasan, a vonatkozó jogszabályoknak, a szakmaietikai szabályok szerint, valamint a belső szabályoknak megfelelően kezelni és védeni.
4.3. A titoktartási kötelezettség megszegéséért a Társaság és munkavállalói a jogszabályok
szerinti felelősséggel tartoznak.
4.4. A Társaság, mint adatkezelő, olyan személyes adatokat kezel, amelyek szerződés
teljesítéséhez, a Társaság jogos érdekeinek érvényesítéséhez, jogi kötelezettség
teljesítéséhez szükségesek, vagy amelyekhez az érintett hozzájárult.

A Társaság az adatbiztonság követelményeinek érvényesülése érdekében az alkalmazott rendszereket, az eszközök üzemeltetését úgy alakítja ki, hogy biztosított legyen:
• a kezelt adatok hozzáférhetősége – beleértve a megsemmisítés elleni védelmet – az arra feljogosítottak számára (rendelkezésre állás),
• az adatok hitelessége és a hitelesítés (adatkezelés hitelessége),
• az adatok változatlansága (adatintegritás),
• az adatok jogosulatlan hozzáférés ellen védettsége (adat bizalmassága).
4.5. A Társaság biztosítja, hogy az általa kezelt, feldolgozott személyes adatok az arra jogszabályban feljogosított-, e-szabályzatban meghatározott szervek kivétellel harmadik fél részére jogosulatlanul nem hozzáférhetők, meg nem ismerhetők, nem tárolhatók.
A jogosult hozzáférés is csak olyan mértékű és időtartamú, ami az adott munkavégzés
szempontjából szükséges és elégséges, egyben a legkevesebb kockázattal jár
4.6. A Társaság biztosítja az adatkezelést megelőzően – amennyiben jogszabályi korlátozás
nem áll fenn – az érintett tájékoztatását az általa kezelt, illetve az általa, vagy
rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról; az adatkezelő és az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adattovábbítás jogalapjáról és címzettjéről.

Egyben biztosítja, hogy azokban helyesbítést, módosítást, illetve az alapelvek sérülése
esetén a kezelt adatok korlátozását, törlését kérhesse. A személyes adatokat, azok
kezelését érintően az adat tulajdonosát a panaszjog is megilleti.

Amennyiben az érintett kérelme nem teljesíthető, az adatkezelő az érintettet írásban, haladéktalanul tájékoztatja:
• az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint
• az érintettet a törvény alapján megillető jogairól, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezel személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát a Hatóság közreműködésével is gyakorolhatja.

A Felhasználó kérheti, hogy a bármelyik Adatkezelő tájékoztassa, hogy kezeli-e a Felhasználó személyes adatát, és ha igen, akkor az általa kezelt személyes adatokhoz biztosítson számára hozzáférést. A Felhasználó kérheti az Adatkezelők által kezelt személyes adatainak helyesbítését vagy módosítását. Figyelembe véve az Adatkezelés célját, a Felhasználó kérheti a
hiányos Személyes adatok kiegészítését. A Felhasználó kérheti az Adatkezelők által kezelt személyes adatainak törlését.
Az Adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt Személyes adatot az illetékes hatóságoknak továbbítani, amely személyes adat továbbítására őket jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt az Adatkezelők nem tehetők felelőssé.
4.7. Adatszolgáltatás nem teljesíthető, ha az adatot törvény alapján az arra jogosult szerv vezetője minősített adattá nyilvánította, továbbá az adatmegismeréshez való jogot a törvény honvédelmi, nemzetbiztonsági, bűnüldözési, vagy bírósági eljárásra tekintettel korlátozza.

4.8. A Társaság a személyes adatok biztonságát:
a) személyi biztonsági intézkedések (munkatársak kiválasztása, munkaköri leírások,
szabályozott eljárások, amelyek során a differenciált biztonsági vizsgálat hatálya
alatt álló dolgozók jogosultságai személyre szólóan kerülnek meghatározásra);
b). fizikai biztonsági intézkedések (informatikai rendszerek elhelyezését védő, épületek
és helyiségek fizikai biztonságát szavatoló őrzés-védelem; belépési és
benntartózkodási szabályozások);
c). dokumentum biztonsági intézkedések (adathordozók kezelése, az azokkal végzett
műveletek szabályozott intézkedései) rendszerével biztosítják.
4.9. A Társaságnál az adatvédelemi intézkedések betartásával és az ezzel kapcsolatos feladatok teljesítését a Társaság adatvédelmi tisztviselője Bohács Zoltán látja el. Az érintettek a feltételezett sérelem esetén a panaszukat a jelzett személynek terjesztik elő az info@gem.hu e-mail címen keresztül.
Az érintettnek lehetősége van arra, hogy panaszával a Nemzeti Adatvédelmi és
Információszabadság Hatósághoz (1125, Budapest, Szilágyi Erzsébet fasor 22/C, email: ugyfelszolgalat@naih.hu) terjessze elő.
Az érintett a jogainak megsértése esetén az adatkezelő ellen (az érintett választása
szerint az alperes székhelye vagy az érintett lakóhelye szerint illetékes) bírósághoz
fordulhat. A bíróság az ügyben soron kívül jár el. A személyes adatok védelmével
összefüggésével kapcsolatosan indított per illetékmentes.
Adatvédelmi incidens észlelése esetén a Társaság adatvédelemért felelős
tagja/adatvédelmi tisztviselője a tudomására jutott esemény kapcsán az alábbi intézkedéseket teszi:
4.10. Amennyiben a Társaság adatkezelő:
• késedelem nélkül, de legkésőbb 72 órával a tudomásszerzést követően be kell
jelenteni a hatóságnál (a Hatóság honlapján található bejelentő rendszeren, vagy szintén a társság honlapján található papír alapú formanyomtatvány kitöltésével és megküldésével.);
• ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről;
• amennyiben a bejelentési kötelezettséget akadályoztatása miatt határidőben nem
teljesíti, azt az akadály megszűnését követően haladéktalanul megteszi és a
bejelentéshez mellékeli a késedelem okait feltáró nyilatkozatát is;
• nyilvántartja az adatvédelmi incidenseket (1. számú melléklet).
4.11. Amennyiben a Társaság adatfeldolgozó:
• tudomásszerzését követően indokolatlan késedelem nélkül jelenti az adatkezelőnek.
4.12. Nem kell bejelenteni az adatvédelmi incidenst a Hatóságnak, illetve a bejelentés
mellőzhető, továbbá nem kell az érintetteket közvetlenül értesíteni, ha az adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és
szabadságaira nézve.
Az érintettet nem kell az adatvédelmi incidensről tájékoztatni, ha
• az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat);
• az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett,
amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat
a továbbiakban valószínűsíthetően nem valósul meg;
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
A Hatóság bármikor utasíthatja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről.
4.13. Adatvédelmi tisztviselőre vonatkozó rendelkezések:
A Társaság a GDPR Preambulum 91. pontjában meghatározott tevékenységet végez, ezért adatvédelmi tisztviselő kinevezésére kötelezett.
4.13.1 Adatvédelmi tisztviselő kijelölése, jogállása

Az adatvédelmi tisztviselőt az ügyvezető jelöli ki, akinek felelősséggel tartozik.
A Társaság adatvédelmi tisztviselőt, feladatai ellátásával összefüggésben nem
bocsáthatja el, és szankcióval nem sújthatja.
Az adatvédelmi tisztviselő feladatai ellátása körében nem utasítható. Nem kaphat
instrukciót arra vonatkozóan, hogy a feladatait hogyan végezze, milyen eredményt kell elérnie, hogyan vizsgáljon meg egy panaszt, mikor kell konzultálnia a hatósággal, valamint nem lehet rá hatást gyakorolni arra vonatkozóan, hogy egy bizonyos adatvédelmi problémát hogyan értelmezzen.
Biztosítani kell, hogy különvéleményét a Társaság vezetésének kifejthesse.
Adatvédelmi tisztviselőnek kijelölhető az a személy, aki: szakmai rátermettsége,
különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, alkalmassá teszik.
Az adatvédelmi tisztviselő lehet a Társaság munkavállalója vagy szolgáltatási szerződés
keretében az előző bekezdésben meghatározott szakértelemmel rendelkező személy. A Társaság közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét és azokat a
felügyeleti hatósággal közli.
Összeférhetetlenségi szabályok: Nem lehet adatvédelmi tisztviselő az a személy,
akinek a szervezeten belüli egyéb feladatai végrehajtása során saját maga ellenőrzését
kell ellátnia.
Az adatvédelmi tisztviselő nem tölthet be a szervezeten belül olyan pozíciót, amelyben
az adatkezeléssel kapcsolatban döntéseket hozhat, különösen, ha meghatározhatja az
adatkezelés célját és eszközeit.
Megfelelő garanciák nélkül az adatvédelmi tisztviselői funkcióval összeférhetetlenséget
eredményeznek, felsőbb szinten, valamint a szervezet alacsonyabb szintjein elhelyezkedő olyan pozíciók is, amelyek az adatkezelési folyamatok meghatározásában
szerepet kapnak.
4.13.2 Adatvédelmi tisztviselő feladata:
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az adatvédelmi rendelet szerinti
kötelezettségeikkel kapcsolatban;
b) ellenőrzi az általános adatvédelmi rendeletnek, továbbá az adatkezelő vagy az
adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését, valamint a kapcsolódó auditokat is;
c) szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
d) az adatkezeléssel összefüggő ügyekben kapcsolattartóként szolgál a felügyeleti
hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;
e) a jelen szabályzásban foglalt általános közreműködés, koordináció, véleményezés,
valamint az ellenőrzés, továbbá az adatvédelemmel kapcsolatos ismeretek továbbadása és a szabályzat naprakészen tartása;
f) figyelemmel kíséri, ellenőrzi a személyes adatok védelmére vonatkozó jogszabályok,
a jelen szabályzat, valamint a kapcsolódó belső normatív adatvédelmi szabályok
érvényesülését, naprakészségét;
g) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetése érdekében kapcsolatba lép az adatkezelésben érintett illetékes
vezetővel;
h) végrehajtja az érintett, személyes adatkezeléssel összefüggő kérelméhez kapcsolódó intézkedést, a törvényben meghatározott eseteket kivéve az érintett tájékoztatását, a jogorvoslati lehetőségekről felvilágosítást ad;
i) igény szerint adatvédelmi szempontból véleményezi az új szolgáltatásokkal
kapcsolatos koncepciókat, terveket, normatív utasításokat;
j) közreműködik a publikus honlap adatvédelmi szempontú véleményezésében;
k) kezdeményezi és végrehajtja az adatvédelmi ismeretek társasági oktatását;
l) az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából vezeti a belső adatvédelmi nyilvántartást, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb
adatokat;
m) az adatvédelmi tisztviselő az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvény 16. § (3) bekezdése alapján az
elutasított kérelmekről a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente a tárgyévet követő év január 31-éig értesíti.
5. A Társaság által kezelt, vagy feldolgozott személyes adatok köre:
5.1. Munkatársak, alkalmazottak adatai:
A munkatársak, munkaviszonnyal, vagy megbízási jogviszonnyal és azok keretében
végzett feladatokkal összefüggésben keletkező személyes, munkaügyi, bér, valamint egyéb adó, járulék és nyugdíj megállapításhoz kapcsolódó, valamint tanulmányi szerződéssel összefüggő adatai az adatkezeléshez szükséges terjedelemben és ideig törvényi kötelezettség alapján kezeli.

Amennyiben a munkavállaló személyes adatára a munkaviszony létesítése, teljesítése,
vagy megszűnése szempontjából lényeges körülmény miatt a továbbiakban már nincs
szükség, illetve eltelik a jogszabályban előírt időtartam, a munkáltató azt törli.
A jelenleg hatályos szabályozás szerint az adatokat/iratokat az érintett munkavállalóra
irányadó öregségi nyugdíjkorhatártól számított 5 évig meg kell őrizni.
A megőrzési kötelezettség az 1997. évi LXXX. törvény (Tbj.) alapján állapítható meg
(44.§ (1) bekezdés).
Megőrzésre kötelezett:
• a foglalkoztató (amelynek fogalmát a Tbj. 4. §-a határozza meg),
• az egyéni vállalkozó,
• az őstermelő, valamint
• az 56/A. § szerinti munkavállaló, foglalkoztatott (magyar jogszabályok szerint bejegyzésre nem kötelezett külföldi foglalkoztató javára biztosítási kötelezettséggel járó jogviszony keretében munkát végző foglalkoztatott).
A megőrzési kötelezettség nem az összes adat vonatkozásában terheli a kötelezettet,
hanem kizárólag a biztosítási jogviszonyával összefüggő, a szolgálati időről, vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat kell ez alapján megőrizni.
A Társaság szervezeti keretein belül, a munkavállalókkal, azok munkaviszonyával
összefüggő adminisztratív feladatokat végző szakmai részleg (munkatárs) nincs. Ezen szolgáltatást a Társaság az CONTUMÉLIA Kft., 2030 Érd, Makk utca 5. Adószám: 11682749-1-13 Cégjegyzékszám: 13 09 194957, a továbbiakban: Megbízott)
könyvelő a kötött megbízási szerződés keretében rögzítettek szerint végzi.

A munkatársak szolgáltatás igénybevételével kapcsolatos tájékoztatására, az érintett
adatkörre, az adatkezelésre/adatfeldolgozásra az ügyvezető intézkedik. A tájékoztatást
a Társaság munkatársai megismerték és elfogadták.

Az adatkezelés célja:

A munkáltatói jogkör gyakorlásával, a munkavállalókkal, munkaviszonnyal, megbízási jogviszonnyal és azok keretében végzett feladatokkal, valamint a munkaviszonyból származó jogok gyakorlásával és kötelezettségek teljesítésével összefüggő ügyintézéshez szükséges és elégséges mértékű és terjedelmű személyes és pénzügyi adat kezelése.

Adatkezelő:

A Társaság
Adatfeldolgozó:
CONTUMÉLIA Kft., 2030 Érd, Makk utca 5. Adószám: 11682749-1-13 Cégjegyzékszám: 13 09 194957

Az adatkezelés/adatfeldolgozás alapja

Az adatok kezelésének jogszabályi alapja a 2011. évi CXII. az információs
önrendelkezési jogról és az információszabadságról szóló törvény, a 2019. évi XXXIV.
az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges
törvénymódosításokról, a 2012. évi I. törvény a Munka Törvénykönyve, a 2013. évi V.
a Polgári Törvénykönyvről, az 1997. évi LXXXI. törvény a Társadalombiztosítási
nyugellátásról, valamint a munkaügyi szolgáltatások igénybevételére hatályos

Megbízási Szerződések.

Az adatkezelés határideje / a kezelt adatok törlésének időpontja
Amennyiben jogszabály eltérően nem rendelkezik, a Társaság a munkaviszonyból
eredő, illetőleg ahhoz kapcsolódó jogszabályi kötelezettségei teljesítése érdekében, ezen
kötelezettségek teljesítéséhez szükséges mértékben és időtartamig, kezeli a 2011. évi
CXII. információs önrendelkezési jogról és az információs szabadságról szóló törvény
rendelkezései szerint a Munkavállalók munkaszerződésében és munkaköri leírásában
foglalt, valamint a bérszámfejtéshez szükséges személyes adatait, továbbá a
munkavállalóknak a munkaviszonnyal összefüggésben megtett, személyes adatokat
tartalmazó írásbeli nyilatkozatait.
Az érintett személyek adataival kapcsolatos változásokat az adatfeldolgozó a tudomásra
jutást követően haladéktalanul, de legkésőbb 5 napon belül köteles jelezni a Megbízott felé.

A nyilvántartás módja

A hivatkozott adatok nyilvántartása a Társaságnál elsősorban papír alapon történik. Az adatokat tartalmazó dokumentumokat személyenként elkülönítve, dossziéban tárolják.
A tárolás helyének kiválasztása olyan módon történt, hogy a dossziék a napi
munkavégzés alatt folyamatos felügyelete biztosított legyen, ami meggátolja az
illetéktelen személyek hozzáférését.
Az állományok a Windows jogosultsági rendszerével, valamint jelszóval védetten
kerülnek tárolásra. A fájl szerver rendszeresen mentésre kerül, a mentett állományok földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.
Az adatfeldolgozónak átadott adatok tekintetében az adatfeldolgozó kötelezettséget vállal, hogy a hatályos szabályoknak megfelelően, az adatkezelő utasításai szerint kezeli.

Hozzáférés az adatokhoz

A tárolt adatokhoz a Társaság és a Megbízott, kijelölt munkatársai férnek hozzá.

Adattovábbítás, adatszolgáltatás

Az adatok továbbítására az adatkezelő közreműködésével, csak ebben a szabályzóban meghatározott feladatokat ellátó személy/szervezet részére kerül sor, a feladat elvégzéséhez szükséges terjedelemben és ideig. Az adatkezelő közreműködésével egyéb adattovábbításra harmadik személy részére (bűntető ügyben eljáró hatóság, bűnüldöző szervezetek, vagy nemzetbiztonsági szolgálatok) csak törvényben meghatározott esetekben kerülhet sor, vagy akkor, ha az
érintett ehhez előzetesen, írásban hozzájárult.

A szerződés tárgyában megjelölt feladatok teljesítésében további adatfeldolgozót nem
vehet igénybe, az adatokat harmadik félnek nem továbbíthatja.
A Megbízott a fentiekkel összhangban köteles a munkavállalói személyes adatot az
átadó szervezethez visszaküldeni és/vagy azt törölni, ha a feladat lezárult, illetve, ha az adatra már nincs szükség.

5. 4 A Társaság által meghirdetett álláspályázatok esetén alkalmazandó ügyrend:
Az adatkezelés célja: a Társaságnál betöltendő pozícióra, a megfelelő szakember
kiválasztására irányuló eljárásban való részvétel biztosítása és a kiválasztás.
Adatkezelő: a Társaság
Az adatkezelés/adatfeldolgozás alapja: a pályázó önkéntes hozzájárulása alapján
Az adatkezelés határideje / a kezelt adatok törlésének időpontja
A Társaság által meghirdetett álláspályázatok esetén, a Társaság speciális
tevékenységének figyelembe vételével, a pályázati anyag beérkezését követően az
elbírálás után, a nem nyertes pályázatokat, a Társaság az álláshely betöltését követően
2 évig őrzi, hogy a jövőben betöltendő hasonló álláslehetőség esetén a korábbi pályázót
értesítse, esetlegesen konkrét ajánlattal kereshesse meg.
A 2 év elteltével a pályázati anyagok visszaállíthatatlanul törlésre kerülnek.
A pályázati kiírásban meghirdetett állásokra történő pályázás esetén a pályázó ezt
tudomásul veszi és a pályázati anyag beküldésével önkéntes hozzájárulását adja, hogy
a Társaság a fent leírt módon kezelje az anyagot.
A pályázónak lehetősége van, a pályázati anyag beküldésével egy időben nyilatkozatot tenni, hogy pályázati anyagát az álláshely betöltését követően töröljék, ez esetben a Társaság ezen nyilatkozatnak megfelelően, az eljárás lezárultát követően törli, abban az esetben pedig, ha nem az érintett a pályázat nyertese, elektronikus úton értesíti a pályázat lezárultáról és az anyag törléséről.

A nyilvántartás módja:
A pályázatok beérkezése elektronikus úton történik. A beérkezést követően a pályázati
anyagok tárolása file szerveren, álláshelyenként elkülönítve történik.
Hozzáférés az adatokhoz

A pályázati anyagokat elsősorban a Társaság HR ügyekkel megbízott munkavállalója kezeli, valamint hozzáférnek továbbá a pályázat elbírálásában részt vevő személyek az
elbírálással összefüggésben.
Adattovábbítás, adatszolgáltatás
Az eljárás során nem kerül rá sor.

6. Ügyféladatok
A Társaság alaptevékenységének elérésére, illetőleg a kapcsolattartás biztosítása alapvető érdek, mely a következő módon valósul meg.
A Társaságtól történő tájékoztatáskérés formái lehetnek. E-mailen keresztül és papír alapon.
E-mailen keresztül kezelésre irányuló tájékoztatás kérés esetén az ajánlat kérésére irányuló megkereséssel az tájékoztatást kérő tudomásul veszi és önkéntes hozzájárulását adja, hogy az ezzel kapcsolatos személyes adatait a Társaság kezelje.
A tájékoztatást követően, amennyiben nem történik szerződéskötés, az ezzel
kapcsolatban keletkezett és kezelt adatokat a Társaság haladéktalanul, de legkésőbb a
tájékoztatás alapján kiállított kezelési terv elutasítását követő 3 napon belül törli.
Esetlegesen papír alapon történő ajánlatkérés esetén ezen szabályok alkalmazandók, azzal, hogy a törlés végrehajtását iratmegsemmisítővel végzik.
A Társaság a tájékoztatás kérést követően elkészített kezelési terv elfogadásáról szóló
értesítés megérkezése után kezelésre irányuló szerződést készít, mely tartalmazza a tájékoztatás kérés során kezelésébe került személyes adatokat is, melyeket a szolgáltatás teljesítését követő ellentételezés után egy évig kezeli, utána megsemmisíti.
A Társaság az ezzel kapcsolatosan birtokába jutott személyes adatokat harmadik félnek e szabályzóban foglaltak kivételével nem adja tovább, további adatfeldolgozót nem vehet igénybe.

Az adatkezelés célja:
A társaság alaptevékenységi körébe tartozó tevékenység igénybevétele és annak
biztosítására szolgáló intézkedések hatékonyan végrehajthatóvá tétele

Adatkezelő:
a Társaság
Az adatkezelés/adatfeldolgozás alapja:
A Társaság által ezen körben kezelt adatok a jogalapjai a következők:
Alaptevékenység ellátásával kapcsolatos adatok:
Gyerekekkel kezelésével kapcsolatos adatok: a tevékenység megkezdése előtt minden esetben szerződéskötés történik, melyet a gyereket képviselő személy köt a Társasággal, így a jogalap vonatkozásában az önkéntes hozzájárulás tekintendő mérvadónak.
A szülők/törvényes képviselők esetében az adatkezelés szintén önkéntes hozzájáruláson alapul, melynek részletes szabályairól-e dokumentum rendelkezik.

Egyéb a Társasággal szerződésben álló felek vonatkozásában a kapcsolattartókra vonatkozó adatok tekintetében az adatkezelés jogalapjaként a szerződés teljesítése a releváns.
Az adatkezelés határideje/a kezelt adatok törlésének időpontja:
Az alaptevékenységgel összefüggésben kezelt adatok vonatkozásában a gyerekekkel kapcsolatosan az egészségügyi törvényben meghatározott időtartam elteltével.
Az alaptevékenységet igénybe vevő gyerekek szüleikkel kapcsolatos adatokat a
jogviszony megszűnését követő 1 év után törlik.
Egyéb szerződő partnerek esetében a szerződés jellegétől függően ágazati
jogszabályban meghatározott időtartam eltelte esetén, illetőleg a szerződés megszűnését követő 1 év elteltével.
A nyilvántartás módja:
A gyerekekről készült adatlapok és egyéb vélemények elektronikusan és papír alapon
is tárolásra kerülnek. Elektronikus formában, file szerveren, gyerekenként külön mappában, jelszóval védett informatikai eszközön.
A papír alapon tárolt adatokat szintén gyerekenként külön, mappában tárolják, olyan helyiségben, ahol a hozzáférés a napi munkavégzés alatt is csak azon személyek
számára lehetséges, akiknek munkaköri leírásukban szerepel, valamint a napi
munkavégzés után az ajtó zárásával biztosítják.
Adattovábbítás, adatszolgáltatás
Gyerekek adatainak továbbítása a GIBSON teszt kitöltésével kapcsolatban, a szülők
meghatározott adatainak számla kiállítása miatt, a Learning RX Inc részére történik,
melyhez a szülő/törvényes képviselő, illetve az érintett kifejezett és előzetes
hozzájárulását adja.
Egyéb esetben adattovábbítás nem történik.

7. Weblap látogatása során keletkező adatok:
Az Adatkezelés elvei, módja
Az Adatkezelők a Személyes adatokat a jóhiszeműség és a tisztesség és átláthatóság
elveinek, valamint a hatályos jogszabályok és jelen Tájékoztató rendelkezéseinek
megfelelően kezelik.
A Szolgáltatások igénybevételéhez elengedhetetlenül szükséges Személyes adatokat az Adatkezelők az érintett Felhasználó hozzájárulása alapján, és kizárólag célhoz kötötten használják fel.
A kezelt Személyes adatok köre arányban áll az adatkezelés céljával, azon nem
terjeszkedhet túl. Adatkezelő a megadott Személyes adatokat nem ellenőrzi. A megadott Személyes adatok megfelelőségéért kizárólag az azt megadó személy felel.

A 16. életévét be nem töltött személy érintett személyes adatai csak a felette szülői felügyeletet gyakorló nagykorú személy hozzájárulása esetén kezelhetők. Az Adatkezelőnek nem áll módjában a hozzájáruló személy jogosultságát, illetve
nyilatkozatának tartalmát ellenőrizni, így a felhasználó illetve a felette szülői
felügyeletet gyakorló személy szavatol azért, hogy a hozzájárulás megfelel a
jogszabályoknak. Hozzájáruló nyilatkozat hiányában az Adatkezelő 16. életévét be nem töltött érintettre vonatkozó Személyes adatot – a Szolgáltatás felhasználásakor használt IP cím kivételével, amelynek rögzítésére az internetes szolgáltatások jellegéből adódóan automatikusan sor kerül – nem gyűjt.

Az adatkezelés célja
A Társaság által üzemeltetett web-lap látogatása során a weblap által rögzített adatok IBSZ-ben meghatározott célból való kezelése.

Adatkezelő:
A Társaság

Adatfeldolgozó:
3 in 1 Hosting Bt. CÍM: 2310, Szigetszentmiklós, Brassó u. 4/a., Csoportos adószám vagy Adószám, 22206118213. Cégjegyzékszám, 13 06 055290.

Az adatkezelés/adatfeldolgozás alapja:
Az érintett önkéntes hozzájárulása

Az adatkezelés határideje / a kezelt adatok törlésének időpontja:
Az automatikusan rögzített IP címeket az Adatkezelő a rögzítésüket követően legfeljebb 7 napig tárolja.
A Felhasználó által küldött e-mailek esetén, ha a Felhasználó egyébként nem rendelkezik regisztrációval, a megkeresett Adatkezelő az e-mail címet a megkeresésben hivatkozott ügy lezárását követő 90. napon törli, kivéve, ha egyedi esetben az Adatkezelő jogos érdeke, -melynek jogszerűségét érdekmérlegelési teszttel támasztotta alá – a személyes adat további kezelését indokolja, az Adatkezelő e jogos érdekének fennállásáig.
A Felhasználó által megadott személyes adatok kezelése mindaddig fennmarad, amíg a Felhasználó a szolgáltatásról – az adott felhasználói névvel – ki, illetve le nem iratkozik, vagy egyébként nem kéri a Személyes adatok törlését. Ez esetben a személyes adatot az Adatkezelő rendszereiből haladéktalanul, de legkésőbb 3 napon belül törli.

A nyilvántartás módja:
A 3 in 1 Hosting Számítástechnikai és Szolgáltató Betéti Társaság által üzemeltetett szerveren kerül tárolásra.

Adattovábbítás, adatszolgáltatás:
Adattovábbítás, adatszolgáltatás a törvényben feljogosított szervek, jogszabályban meghatározott tevékenységeinek ellátása kivételével nem történik.

8. Záró rendelkezések:
A jelen dokumentum tartalmát a jogszabályi, szervezeti, minőségi változásokat nyomon
követve változtatni kell. Amennyiben a szabályozott körülmények változatlanok, ez
esetben is az adatvédelmi tisztviselőnek a dokumentum tartalmát 3 évente felül kell
vizsgálni, melyről jegyzőkönyvet kell felvenni.
A szabályzóval kapcsolatban a gyakorlati tapasztalatok alapján ajánlatosnak látszó
helyesbítő, kiegészítő, módosító indítványokat és észrevételeket a -megfelelő indokolással- az adatvédelmi tisztviselőhöz lehet benyújtani.
A Társaság mindenkori vezetése jogosult a jelen szabályzat/eljárásrend bármely
rendelkezését a jövőre nézve egyoldalúan – a mindenkor hatályos jogszabályi előírások
keretei között – módosítani.
Jelen szabályzat az aláírás napján válik hatályossá.
Babosdöbréte, 2023.