ADATKEZELÉSI SZABÁLYZAT

Tartalomjegyzék

1. A Szabályzat célja

3. Lényeges fogalmak, meghatározások

4. Az adatkezelés elvei (GDPR 5. cikke alapján)

5. Adatkezelések leírása

6. A szervezet feladatai a megfelelő adatvédelem érdekében

7. Adatbiztonság

8. Adatvédelmi incidens

9. Ügyviteli és nyilvántartás célú adatkezelés

10. Milyen jogai vannak az Érintetteknek?

10.1. Hozzáférési jog

10.2. Helyesbítéshez való jog

10.3. Törléshez való jog

10.4. Elfeledéshez való jog

10.5. Adatkezelés korlátozásához való jog

10.6. Adathordozhatósághoz való jog

10.7. Reagálás a kérelmekre

11. Értesítési és intézkedési kötelezettség

12. Egyéb célból történő adatkezelés

13. A szabályzathoz tartozó egyéb dokumentumok

14. A szabályzat hatálya

15. Egyes speciális adatkezelések

15.1. Álláspályázatra jelentkezés adatvédelmi követelményei

15.2. Alkalmassági vizsgálatok adatvédelmi követelményei

15.3. Munkahelyi tréningek adatvédelmi követelményei

1. A Szabályzat célja

Peczán Krisztián Ferenc e.v. GyerekModell.info  (a továbbiakban: Adatkezelő) jelen Szabályzattal a 2018. május 25. napjától alkalmazandó, az Európai Parlament és Tanács (EU) 2016/679. számú Rendeletnek (a továbbiakban: GDPR), illetve a vonatkozó magyar jogszabályoknak, különös tekintettel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) való megfelelés érdekében az alábbi adatkezelési szabályzatot fogadja el az alulírott helyen és időben.

A jelen Szabályzat célja, hogy rögzítse az Adatkezelő által alkalmazott adatvédelmi és adatkezelési elveket és szabályokat, valamint az Adatkezelő adatvédelmi és adatkezelési politikáját.

Jelen Szabályzat az Adatkezelő valamennyi munkavállalójára, illetve vele megbízási jogviszonyban lévő személyekre nézve kötelező.

A szabályzat kiadásának célja továbbá, hogy megismerésével és betartásával a szervezet munkavállalói képesek legyenek a magánszemélyek adatainak kezelését jogszerűen végezni.

2. Munkáltató (adatkezelő) adatai

Név [Peczán Krisztián Ferenc e.v.]
Székhely [2760 Nagykáta, Víg u.70.]
Törvényes képviselő [Peczán Krisztián Ferenc]
Adószám [69325856-1-33]
Telefonszám [+3620 528 1650]
E-mail cím [info@gyerekmodell.info]

Ez a szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.

Adatvédelmi tisztviselő alkalmazási (kijelölési) kötelezettség kiterjed minden közhatalmi szervre vagy egyéb, közfeladatot ellátó szervre (függetlenül attól, hogy milyen adatokat dolgoz fel), valamint egyéb olyan szervezetekre, amelyek fő tevékenysége az egyének szisztematikus, nagymértékű megfigyelése, vagy amelyek a személyes adatok különleges kategóriáit nagy számban kezelik.

Figyelembe véve az Adatkezelő tevékenységét, adatvédelmi tisztviselő kinevezése nem kötelező a GDPR vonatkozó rendelkezései alapján.

3. Lényeges fogalmak, meghatározások

– a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete

– adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

– adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

– adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

– személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

– harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

– az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

– álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;  

– nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

– adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

4. Az adatkezelés elvei (GDPR 5. cikke alapján)

● A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

● A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet.

● A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet.

● A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell.

● A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.

● A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

● Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.

● A szervezet adatkezelést végző alkalmazottja kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a személyes adatok jogszerű kezeléséért. Amennyiben az alkalmazott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

5.ADATFELDOLGOZÁSRA VONATKOZÓ RENDELKEZÉSEK

Jelen fejezetben foglalt általános szerződési feltételeket kell alkalmazni a GyerekModell.info által jelen ÁSZF alapján a Felhasználó részére teljesített egyes szolgáltatásokhoz kapcsolódó adatkezelési tevékenységre, amelynek során a GyerekModell.info, mint adatfeldolgozó a Felhasználó, mint adatkezelő nevében – a GDPR 28. fejezetében meghatározottak szerint – személyes adatokat kezel. Az adatfeldolgozásra vonatkozóan általános szerződési feltételek alkalmazására a GDPR 28. cikk (6) bekezdése ad lehetőséget.

Az adatfeldolgozás tárgya

Az adatfeldolgozás tárgya a Felhasználóval jogviszonyban levő érintett természetes személyek adatainak kezelése a Szolgáltatások teljesítéséhez kapcsolódóan. A GyerekModell.info, mint adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása, amely a Szülő feladata és kötelezettsége.

Az egyes Szolgáltatásokhoz kapcsolódó adatfeldolgozói tevékenység részletezése:

GyerekModell.info használatával kapcsolatos adatfeldolgozói tevékenység:

Az oldal használata során a Szülő és a modell, mint érintettek személyes adatait tudja rögzíteni, amely felvitt adatok tartalmazhatnak akár különleges adatokat is.

A kezelt adatok köre, az adatkezelés joglapja, célja, és az adatkezelés időtartama, amelyeket az Felhasználó átad a GyerekModell.infonak:

Személyes adatok köre

az érintett neve, email címe, címére vonatkozó adatok: ország, irányítószám, település, kerület, közterület neve, közterület jellege, házszám, épület, lépcsőház, szint, ajtó; adószáma; bankszámlaszáma, illetve a Felhasználó által önkéntesen megadott egyéb személyes adatok

Adatfeldolgozás célja

a GyerekModell.info szolgáltatásainak igénybevételével a Felhasználó az ügynökségeknek személyes adatok megadásával küldi az ajánlatokra való jelentkezést vagy ezek alapján kereshet az ügynökség.

Adatfeldolgozás jogalapja

szolgáltatás teljesítése a GDPR rendelet alapján

Adatfeldolgozás időtartama

a szerződéses jogviszony megszűnéséig, illetve a vonatkozó jogszabályokban előírtaknak megfelelő 

Rögzített modell:

A GyerekModell.info lehetőséget biztosít a Felhasználó részére, hogy a személyes fiókjában a modellre vonatkozóan személyes adatokat rögzíthessen.

Személyes adatok köre

az érintett neve, email címe, szemszín, magasság, hajszín, életkor, egyéb különleges adatok

Adatfeldolgozás célja

a Felhasználó a modell személyes adatait rögzítheti a személyes GyerekModell.info fiókban

Adatfeldolgozás jogalapja

önkéntes hozzájárulás a GDPR rendelet 6. cikk (1) bekezdés a) pontja alapján

Adatfeldolgozás időtartama

megerősített regisztráció esetén a regisztráció végéig vagy a fiók törléséig vagy addig amíg a felhasználó ezt nem kéri.

A Felek jogai és kötelezettségei az adatfeldolgozási tevékenység során:

A Felhasználó szavatolja és kötelezettséget vállal arra vonatkozóan, hogy a személyes adatok kezelése, valamint azoknak a GyerekModell.info részére történő továbbítása megfelel a hazai és közösségi adatvédelmi jogszabályok hatályos rendelkezéseinek.

A Felhasználó ellátta a GyerekModell.info-t arra vonatkozó utasításokkal, hogy a személyes adatokat kizárólag a Felhasználó megbízásából, és az alkalmazandó hazai és közösségi adatvédelmi joggal, továbbá jelen szerződéssel összhangban kezelheti.

A GyerekModell.info kizárólag a Felhasználó megbízásából, annak utasításai alapján és kizárólag a jelen szerződésben meghatározott célra, a szerződésben foglaltakkal összhangban kezelheti a részére átadott személyes adatokat, ezért saját céljára adatfeldolgozást nem végezhet és adatkezelést érintő érdemi döntést nem hozhat, kivéve, ha az adatkezelést a GyerekModell.info-ra alkalmazandó hazai vagy közösségi jog írja elő. Köteles pontos és naprakész nyilvántartást vezetni az általa a Felhasználó nevében végzett adatfeldolgozási tevékenységekről.

A GyerekModell.info kijelenti, hogy nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák a Felhasználótól kapott utasítások és a jelen szerződésben foglalt kötelezettségek teljesítését.

A személyes adatokhoz hozzáféréssel rendelkező, GyerekModell.info-val munkaviszonyban, vagy egyéb, munkavégzésre irányuló jogviszonyban lévő természetes személyek titoktartásra kötelezettek és kizárólag a Felhasználó utasításának megfelelően kezelhetik az átadott személyes adatokat.

A GyerekModell.info szavatol azért, hogy a részére továbbított személyes adatok kezelése előtt végrehajtotta a szükséges technikai és szervezeti adatbiztonsági intézkedéseket annak érdekében, hogy a kockázattal arányos adatbiztonságot biztosítsa.

A GyerekModell.info köteles azonnal értesíti a Felhasználót az alábbi esetekben:

  • bűnüldözési szervek jogilag kötelező erejű felhívása a személyes adatok közlésére;
  • bármilyen véletlen vagy jogosulatlan hozzáférés és az érintettet fenyegető kár;
  • a felügyeleti hatóságtól érkező megkeresés;
  • közvetlenül az érintettek részéről történő tájékoztatás iránti kérelem.

A GyerekModell.info köteles lehetőség szerint a leghamarabb és szakszerűen reagálni a Felhasználótól érkező, az adatfeldolgozás tárgyát képező személyes adatok feldolgozására vonatkozó valamennyi megkeresésre, és alávetni magát a felügyeleti hatóság adatfeldolgozásra vonatkozó előírásainak.

A GyerekModell.info köteles a Felhasználó kérésére első sorban írásban megválaszolni, majd pedig további igény esetén rendelkezésre bocsátani, megtekinteni és megvizsgálni engedni az adatfeldolgozási tevékenységével összefüggő eszközöket a jelen szerződés tárgyát képező adatfeldolgozói tevékenységek ellenőrzése céljából.

A GyerekModell.info-nak nyilvántartás vezetési kötelezettsége áll fent a felmerülő esetleges adatvédelmi incidensekről, amely tartalmazza az incidens időpontját, az adatvédelmi incidenssel érintettek körét és számát, az érintett személyes adatok körét, az incidens körülményeit és annak hatásait, az elhárítására tett intézkedések leírását.

A GyerekModell.info köteles haladéktalanul felhívni a Felhasználó figyelmét, amennyiben a megítélése szerint annak utasítása ellentétben áll az adatvédelmi hazai, vagy közösségi szabályozással.

További adatfeldolgozó igénybevétele:

A GyerekModell.info kizárólag az Felhasználó hozzájárulásával vehet igénybe további adatfeldolgozót, alvállalkozót a jelen szerződés tárgyát képező adatfeldolgozási tevékenységre. Felek az egyértelműség okán rögzítik, hogy alvállalkozónak minősül minden természetes és jogi személy, aki vagy amely nem maga a GyerekModell.info, vagy annak munkavállalója vagy partnere.

A GyerekModell.info az általa jogszerűen igénybe vett további adatfeldolgozóval megkötendő írásbeli megállapodásban a jelen szerződésben foglaltakkal azonos adatvédelmi kötelezettségeket telepít a további adatfeldolgozóra, ideértve a Felhasználót megillető ellenőrzési jogosultságokat is. 

Felelősség:

Amennyiben a GyerekModell.info a hazai és közösségi jog alapján az érintettnek jogellenes adatkezeléssel vagy az adatbiztonsági követelmények megszegésével kárt okoz, köteles azt megtéríteni. Amennyiben a GyerekModell.info az érintett adatainak jogellenes kezelésével vagy az adatbiztonsági követelmények megszegésével az érintett személyiségi jogait megsérti, az érintett a GyerekModell.info-tól sérelemdíjat követelhet, melynek összege nem haladhatja meg a szerződéses díj összegét.

Felek megállapodnak abban, hogy amennyiben az egyik fél jelen szerződés rendelkezéseit, a vonatkozó szerződéses vagy jogszabályi adatkezelési, adatfeldolgozási, adatbiztonsági követelményeket megszegi, és a másik felet ezzel összefüggésben bármilyen hatóság vagy bíróság által elmarasztalják, úgy a szerződésszegő vagy jogszabályi kötelezettségeket elmulasztó fél köteles a másik fél ebből eredő kárát, költségeit, kiadásait és veszteségeit megtéríteni.

A GyerekModell.info csak abban az esetben tartozik felelősséggel az adatkezelése által okozott károkért, ha nem tartotta be a GDPR-ban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy a Felhasználó jogszerű utasításait, vagy a jelen szerződésben foglaltakat figyelmen kívül hagyta, illetve azokkal ellentétesen járt el.

A GyerekModell.info akkor mentesül a felelősség alól, ha bizonyítja, hogy a szerződésszegést ellenőrzési körén kívül eső, a szerződéskötés időpontjában előre nem látható körülmény okozta, és nem volt elvárható, hogy a körülményt elkerülje, vagy a kárt elhárítsa.

 A személyes adatok feldolgozásának megszüntetése után fennálló kötelezettség:

Felek megállapodnak abban, hogy az adatfeldolgozás megszüntetését követően a GyerekModell.info a Felhasználó írásban közölt döntése alapján a személyes adatokat és azok valamennyi másolatát, vagy a szerződés megszűnésétől számított 30 napon belül véglegesen, visszavonhatatlanul és helyreállíthatatlanul megsemmisíti azokat.

A GyerekModell.info szavatolja, hogy biztosítja a továbbított személyes adatok bizalmasságát és a továbbított személyes adatokat a továbbiakban ténylegesen nem dolgozza fel.

A szervezet által megrendelő természetes személyek, vagy jogi személyek képviselőinek személyes adatai tekintetében végzett adatkezelések leírása a szervezet weboldalának adatkezelési tájékoztatóban megtalálható.

A szervezet partnerei, alvállalkozói által végzett adatkezeléseket a felek közötti adatfeldolgozói szerződések szabályozzák.

Figyelemmel az Info tv. 5. § (5) bekezdésére, a szervezet az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e.

6. A szervezet feladatai a megfelelő adatvédelem érdekében 

– Az adatvédelmi tudatosság. Biztosítani kell a szakmai felkészültséget a jogszabályoknak való megfeleléshez. Elengedhetetlen a munkatársak szakmai felkészítése és a szabályzat megismerése.

– Át kell tekinteni az adatkezelés célját, szempontrendszerét, a személyes adatkezelés koncepcióját. Az adatvédelmi és adatkezelési szabályzattal összhangban kell biztosítani jogszerű adatkezelést. 

– Az érintett személynek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, ezért azt világos és közérthető nyelven kell megfogalmazni és megjeleníteni.

– Az átlátható adatkezelés követelménye, hogy az érintett személytájékoztatást kapjon az adatkezelés tényéről és céljairól. A tájékoztatást az adatkezelés megkezdése előtt kell megadni és a tájékoztatáshoz való jog az adatkezelés során annak megszűnéséig megilleti az érintettet.

– Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A tájékoztatási kötelezettség biztosítható egy olyan biztonságos online rendszer üzemeltetésével, amelyen keresztül az érintett könnyen és gyorsan hozzáférhet a szükséges információhoz.

– A személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelőnek indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, –  meg kell tenni a bejelentést a felügyeleti hatóságnak, kivéve akkor, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogait tekintve. 

7. Adatbiztonság

Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. 

Az adatbiztonság megtervezésekor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

8. Adatvédelmi incidens

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést.

Az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani lehet, hogy az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. 

Az érintett személyt késedelem nélkül tájékoztatni kell, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságára nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.

9. Ügyviteli és nyilvántartás célú adatkezelés

A szervezet a tevékenységéhez tartozó esetekben illetve ügyviteli és nyilvántartási célból személyes adatokat is kezelhet.

Az ügyviteli és nyilvántartási célból történő adatkezelés az alábbi célokat szolgálja:

– a szervezet által megismert jelentkezők személyes adatainak a kezelése szerződéses kötelezettségek teljesítése céljából történik

– a szervezettel megbízási jogviszonyban álló személyek adatkezelése kapcsolattartási, elszámolási és nyilvántartási célból;

– a szervezettel üzleti kapcsolatban álló más szervezetek, intézmények és vállalkozások kapcsolattartói adatai, amelyek természetes személyek elérhetőségi és azonosítási adatai is lehetnek;

A fentiek szerinti adatkezelés jogszabályi, vagy szerződéses kötelezettségen, illetve a szervezet jogos érdekén alapul.

A szervezethez írásos formában eljuttatott – személyes adatokat is tartalmazó – dokumentumok (például önéletrajz, álláskeresési jelentkezés, egyéb beadvány, stb.) esetében az érintett személy hozzájárulását  előzetesen el kell kérni. Az ügy lezárulta után – további felhasználásra vonatkozó hozzájárulás hiányában – az iratokat meg kell semmisíteni. A megsemmisítés tényét jegyzőkönyvben kell rögzíteni.

Az ügyviteli célú adatkezelés esetében a személyes adatok kizárólag az adott ügy irataiban és a nyilvántartásokban szerepelnek. Ezen adatok kezelése a kezelés alapjául szolgáló irat selejtezéséig tart.

Az ügyviteli és nyilvántartási célból történő adatkezelést – annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, – évente felül kell vizsgálni, a pontatlan személyes adatokat haladéktalanul törölni kell.

Az ügyviteli és nyilvántartási célból történő adatkezelés esetében is biztosítani kell a jogszabályoknak való megfelelést.

10. Milyen jogai vannak az Érintetteknek?

Az Érintett ingyenes tájékoztatást kérhet személyes adatai kezelésének részleteiről, valamint jogszabályban meghatározott esetekben kérheti azok helyesbítését, törlését, zárolását, vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen. A tájékoztatás kérését és a jelen pontban szereplő kérelmeket az Érintett a szervezet 2. pontban szereplő elérhetőségeire tudja címezni.

10.1. Hozzáférési jog

Az Érintett visszajelzést kaphat a szervezettől személyes adatainak kezeléséről és ezekhez a személyes adatokhoz, illetve kezelésük részleteihez hozzáférhet.

10.2. Helyesbítéshez való jog

Az Érintett kérésére a szervezet indokolatlan késedelem nélkül helyesbíti a rá vonatkozó pontatlan személyes adatokat, illetve jogosult kérni a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

10.3. Törléshez való jog

Az Érintett kérésére a szervezet törli a rá vonatkozó személyes adatokat, ha azok kezelésére a szervezetnek nincsen szüksége, vagy visszavonja hozzájárulását, vagy tiltakozik az adatkezelés ellen, vagy kezelésük jogellenes.

10.4. Elfeledéshez való jog

Az Érintett törlésre irányuló kérelméről – ha igényli – a szervezet igyekszik értesíteni minden olyan szervezett, aki az Érintett esetlegesen nyilvánosságra került adatait megismerte, illetve megismerhette.

10.5. Adatkezelés korlátozásához való jog

A szervezet – az Érintett kérésére – korlátozza az adatkezelést, ha a személyes adatok pontossága vitatott, vagy jogellenes az adatkezelés, vagy az Érintett tiltakozik az adatkezelés ellen, illetve ha a szervezetnek nincsen szüksége a továbbiakban a megadott személyes adatokra.

10.6. Adathordozhatósághoz való jog

Az Érintett a rá vonatkozó, általa megadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatja, illetve ezeket továbbíthatja egy másik a szervezetnek.

10.7. Reagálás a kérelmekre

A szervezet a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap – tiltakozás esetén 15 nap – alatt megvizsgálja, és annak megalapozottsága kérdésében döntést hoz, amelyről a kérelmezőt írásban tájékoztatja. Ha a szervezet az Érintett kérelmét nem teljesíti, döntésében közli a kérelem elutasításának ténybeli és jogi indokait az Érintettel.

11. Értesítési és intézkedési kötelezettség

11.1. Címzettek értesítése

Helyesbítésről, törlésről, adatkezelés-korlátozásról a szervezet minden esetben értesíti azokat a címzetteket akikkel, illetve amelyekkel az Érintett személyes adatait közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintett kérésére a szervezet tájékoztatást nyújt ezekről a címzettekről.

11.2. Tájékoztatás módja, határideje

A 10. ponthoz kapcsolódó kérelmek nyomán hozott intézkedésekről legfeljebb a kérelem beérkezésétől számított egy hónapon belül – ha az Érintett másként nem kéri – elektronikus formában tájékoztatást kell nyújtani az Érintettnek. Ez a határidő szükség esetén – a kérelem összetettsége, illetve a kérelmek számára tekintettel – további két hónappal meghosszabbítható. A határidő meghosszabbításáról annak okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatni kell az Érintettet.

Az Érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolja személyazonosságát.

Amennyiben a szervezet nem intézkedik a kérelem nyomán, legfeljebb annak beérkezésétől számított egy hónapon belül tájékoztatni kell az Érintettet ennek okairól, valamint arról, hogy panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál és élhet bírósági jogorvoslati jogával.

11.3. Ellenőrzés

Kivételes esetben, ha a szervezetnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, személyazonosság megerősítéséhez szükséges információk nyújtását kérjük. Ez az intézkedés a GDPR 5. cikk (1) bekezdés f) pontjában meghatározott, az adatkezelés bizalmasságának elősegítése, azaz a személyes adatokhoz való jogosulatlan hozzáférés megakadályozása céljából szükséges.

11.4. Tájékoztatás és intézkedés költségei

A 10. ponthoz kapcsolódó kérelmekre adott tájékoztatást, illetve az azok alapján megtett intézkedéseket díjmentesen kell biztosítani.

Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, – figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre – ésszerű díj számítható fel, vagy megtagadjuk a kérelem alapján történő intézkedést.

12. Egyéb célból történő adatkezelés

Amennyiben a szervezet olyan adatkezelést kíván végezni, amely ebben a szabályzatban nem szerepel, előzetesen ezen belső szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész-szabályokat hozzákapcsolni.

13. A szabályzathoz tartozó egyéb dokumentumok

Az adatkezelési szabályzathoz kell kapcsolni és azzal együtt kezelni azokat a dokumentumokat és szabályozásokat, amelyek szorosan kapcsolódnak annak tartalmához, így például a munkavállalói titoktartási nyilatkozatot, a kameraszabályzatot, a munkahelyi adatkezelési tájékoztatót, az adatkezelések felülvizsgálatára szolgáló dokumentumot, a céges eszközök ellenőrzésére vonatkozó tájékoztatást, illetve a munkavállalói e-mailek ellenőrzésére vonatkozó tájékoztatót  is.

14. A szabályzat hatálya

E szabályzat visszavonásig érvényes, hatálya kiterjed a szervezet minden munkavállalójára.

Dátum: Budapest, [2020.12.01.]

15. Egyes speciális adatkezelések
15.1. Álláspályázatra jelentkezés adatvédelmi követelményei
Nem fogadható el az anonim álláshirdetések feladása, mivel az esetek túlnyomó többségében ezzel aránytalanul sérül a jelentkezők információs önrendelkezési joga, így különösen az a joga, hogy a jelentkezők az adatkezelés megkezdése előtt (a pályázati anyag elküldése előtt) valamennyi lényeges adatkezelési körülményéről tájékoztatást kapjanak. A munkáltatók érdekei csak különösen indokolt, rendkívüli esetben, és akkor is legfeljebb korlátozott mértékben (például egy rövid, átmeneti időtartamig) írhatják felül a jelentkezők információs önrendelkezési jogát.

Előzetes tájékoztatást kell biztosítani a jelentkezők számára. Így például ismertetni kell a jelentkezőkkel, hogy a felvételi eljárás folyamata kiterjed arra is, hogy a munkáltató is megtekinti a jelentkező közösségi oldalon létrehozott, bárki számára nyilvános információit. Azaz a munkáltató nem „rejtheti el” ezen gyakorlatát a jelentkezők elől, fel kell fednie a kiválasztási folyamat minden lényeges részét. Nem fogadható el az, ha a munkáltató a korlátozottan nyilvános adatokat ismeri meg.

Csak azok az információk ismerhetőek meg, amelyek lényegesek az álláspályázattal vagy a munkakörrel kapcsolatban. A munkaviszony létesítése szempontjából így például nem lényeges adat a magánéletre, párkapcsolatra, családi életre, vallásra vonatkozó adat. – Az érintett közösségi oldalon végzett, nyilvános tevékenysége megismerhető, következtetést vonható le arról, de a további adatkezelési műveletek már jogellenesnek minősülnek. Vagyis arra nincs lehetőség, hogy a jelentkező profiloldalát a munkáltató lementse, tárolja vagy más számára továbbítsa.

Ha a munkáltató bármilyen feljegyzést készít a pályázóról, akkor az is a pályázó személyes adatának minősül. Ezzel kapcsolatban két adatvédelmi követelményt szükséges tisztázni: egyrészt erre is kiterjed az érintettet tájékoztatáshoz való joga, vagyis, hogy megismerje, a munkáltató milyen következtetéseket vont le a pályázati anyagával összefüggésben. Másrészt a munkáltatónak törölnie kell az ilyen természetű, az érintettre levont következtetéseket tartalmazó feljegyzéseket is.

A 118/2001. (VI. 30.) Korm. rendelet 10. § (1) bekezdés e) pontja meghatározza, hogy milyen adatokat nem lehet kezelni magán-munkaközvetítés során. A jogszabály értelmében tilos olyan személyes adatokat kezelni, amelyekre a munkát keresők alkalmasságának a megítéléséhez nincs szükség, illetve amelyek a keresett munkával nincsenek közvetlen összefüggésben. Erre tekintettel a magán-munkaközvetítő – mint a munkáltató szerződéses partnere – a képesítésre, szakmai tapasztalatra vonatkozó adatokat és az alkalmasság megítéléséhez szükséges adatokat kezelheti.

15.2. Alkalmassági vizsgálatok adatvédelmi követelményei

Részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.

A vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg az eredményeket. Ezt azért is fontos hangsúlyozni, mert a tesztből akár olyan következtetés is levonható, amely maga az érintettek, a munkavállalók számára sem volt ismert. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban nem ismerheti meg.

15.3. Munkahelyi tréningek adatvédelmi követelményei

Általában a tréningek, különböző alkalmassági vizsgálatok keretén belül elvégzett tesztek komoly személyiségjellemzést adnak a munkavállalókról, amelyek megismerése, tárolása, nyilvántartása nem fogadható el a munkáltatók részéről. A tesztek kitöltése a trénernek (szakembernek) ad iránymutatást a tréningen résztvevő munkavállalókról: kinek milyen képességét szükséges fejleszteni, milyen módszerrel lehet eredményesebb munkavégzést elérni. Azaz a teszteredményeket a szakértő kezeli a tréning során, és ennek átadása a munkáltató részére nem elfogadható. Továbbá a tréninget követően a tréner vagy a trénercég arra alapvetően nem jogosult, hogy egy tréningen résztvevő személy eredményeit névhez köthetően a jövőben is kezelje, ehelyett javasolt a kitöltött tesztlapok, dokumentumok kitöltő részére való átadása.