Adatkezelési tájékoztató álláskeresők részére

 A BFB plus Mezőgazdasági, Termelői és Kereskedelmi Korlátolt Felelősségű Társaság,  az ABC Logis Korlátolt Felelősségű Társaság, a Maselis Hungária Gabonafeldolgozó Korlátolt Felelősségű Társaság és a  Monortáp Takarmányozási Korlátolt Felelősségű Társaság (a továbbiakban: Társaság vagy Adatkezelő) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: Szabályzat) alkotja.

 Adatkezelő megnevezése:                              BFB plus Mezőgazdasági, Termelői és Kereskedelmi Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           BFB plus Kft.

Adatkezelő cégjegyzékszáma:                        13-09-067592

Adatkezelő adószáma:                                     10677508-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Adatkezelő megnevezése:                              ABC Logis Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           ABC Logis Kft.

Adatkezelő cégjegyzékszáma:                        13-09-181861

Adatkezelő adószáma:                                     25594605-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Adatkezelő megnevezése:                              Maselis Hungária Gabonafeldolgozó Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           Maselis Hungária Kft.

Adatkezelő cégjegyzékszáma:                        13-09-070671

Adatkezelő adószáma:                                     12063451-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Adatkezelő megnevezése:                               Monortáp Takarmányozási Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           Monortáp Kft.

Adatkezelő cégjegyzékszáma:                        13-09-070656

Adatkezelő adószáma:                                     12063444-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Balla Zoltán

Benjamins Marcel Johan

 Adatkezelés helyszíne: 2212 Csévharaszt, Nyáregyházi út 51.

 Jelen Szabályzatban használt rövidítések:

Infotv.                           az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

GDPR vagy

Rendelet                       az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről    

Mt.                                 a munka törvénykönyvéről szóló 2012. évi I. törvény

Mvt.                               a munkavédelemről szóló 1993. évi XCIII. törvény

Ptk.                                a polgári törvénykönyvről szóló 2013. évi V. törvény

Sztv.                               a számvitelről szóló 2000. évi C. törvény

Szvmt.                           a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény

NAIH vagy

Hatóság                         Nemzeti Adatvédelmi és Információszabadság Hatóság

  A Szabályzat célja és hatálya

 A Társaság jelen Szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a GDPR 12.-14. cikkeiben meghatározott megfelelő tájékoztatáson alapuló adatkezelés megvalósulását.

 Jelen Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

 Jelen Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A Szabályzat tárgyi hatálya kiterjed a Társaságnál folytatott valamennyi olyan folyamatra, amely során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése megvalósul.

 A szabályzat felülvizsgálatának legutóbbi időpontja: 2019. július

  Fogalmak

 E szabályzat alkalmazásában:

 Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.)

 Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.)

 Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatoka, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);

 Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.);

 Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.);

 Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);

 Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:

• tájékoztatás joga, 
• hozzáférési jog,
• helyesbítéshez való jog,
• törléshez való jog,
• adatkezelés korlátozhatóságához való jog,
• adathordozhatósághoz való jog,
• tiltakozáshoz való jog
• elfeledtetéshez való jog;

 Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés);

 Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);

 Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);

 Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);

 Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);

 Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.);

 Adatkezelés korlátozásához való jog: 

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
• az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben [GDPR 18. cikk. (1)];

 Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.);

Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.);

 Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.);

 Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.);

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);

 EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.);

 Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.);

 Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.);

 Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.);

 Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.);

 Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);

 Genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered (GDPR 4. cikk 13.);

 Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat (GDPR 4. cikk 14.);

 Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.);

 Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában (GDPR 4. cikk 17.);

 Kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ (GDPR 4. cikk 20.);

 Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);

Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);

 Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.);

Adatkezelés munkára jelentkezők adataival kapcsolatos adatkezelés

A Társaság adatvédelmi rendszere

 A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.

 A Szabályzatban előírtak betartatásáért a feladatkörében minden munkavállaló felelős.

 A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

 A Társaság adatvédelmi rendszerének felügyeletét a vezető tisztségviselő látja el. A vezető tisztségviselő adatvédelemmel kapcsolatos feladatai:

• felelős az érintettek GDPR-ben, Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
• felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
• felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
• vizsgálatot rendelhet el;
• kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait;
• hozzájárulását adja valamennyi munkavállaló szerverhozzáférési jogosultságához;
• szervezi és koordinálja a munkavállalók, és kifejezetten az informatikus munkavállalók adatvédelemmel, információbiztonsággal kapcsolatos munkáját;
• továbbá minden, az adatvédelemmel kapcsolatban felmerült kérdés megoldása.

A Társaság informatikáért felelős munkavállalója adatvédelemmel kapcsolatos feladatai:

• ellátja a munkaköri leírásában meghatározott rendszergazdai feladatokat;
• ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására;
• a közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik;
• használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását);
• a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról;
• igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban;
• elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását;
• vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését;
• szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről;
• ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül;
• üzemzavar esetén elvégzi az informatikai rendszerek újra indítását, a hálózat alkalmazásainak és adatainak a visszatöltését;
• folyamatosan üzemelteti a számítógépes hálózatot;
• igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél;
• ellátja az Informatikai Biztonsági Szabályzatban meghatározott feladatokat, biztosítja az abban foglaltak teljesítését.

Adatvédelmi incidens észlelése és jelentése

 A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a vezető tisztségviselőnek. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.

 Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor a bejelentést az informatikusnak is meg kell küldeni. A bejelentés beérkezését követően az adatvédelmi tisztviselő haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

•  Adatvédelmi incidens kivizsgálása, értékelése
•  Az adatvédelmi tisztviselő megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér. 
•  Felhívására a bejelentő köteles megadni az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.
•  A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 24 órán belül teljesíteni köteles.
•  Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel a vezető tisztségviselő lefolytatja a vizsgálatot.
•  A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.
•  A vizsgálat eredményeként az adatvédelmi tisztviselő a vezető tisztségviselővel meghatározza az incidens kezeléshez szükséges intézkedéseket.
•  A vizsgálatot legkésőbb a bejelentésnek a vezető tisztségviselőhöz érkezésétől számított 72 órán belül le kell folytatni.

 Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet.

 A nyilvántartás tartalmazza:

• az érintett személyes adatok körét,
• az adatvédelmi incidenssel érintettek körét és számát,
• az adatvédelmi incidens időpontját,
• az adatvédelmi incidens körülményeit, hatásait,
• az elhárítására megtett intézkedéseket és
• egyéb jogszabályban előírt adatokat.

 Az Adatvédelmi incidensnyilvántartás (3. sz. melléklet) pontos vezetéséről, aktualizálásáról az adatvédelmi tisztviselő gondoskodik.

 Az adatvédelmi incidens bejelentése a Hatóság részére

Az adatvédelmi tisztviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az adatvédelmi tisztviselő köteles ennek okát igazolni a Hatóság részére.

A hatósági bejelentésnek tartalmaznia kell:

• az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
• az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
• az adatvédelmi incidens jellegét, körülményeit, 
• az adatvédelmi tisztviselő nevét és elérhetőségét,
• az adatvédelmi incidens valószínűsíthető következményeit és
• az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

Az érintettek tájékoztatása az adatvédelmi incidensről 

Ha a vizsgálat eredményeként megállapítást nyer, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve és az érintettek tájékoztatása szükséges, az adatvédelmi tisztviselő haladéktalanul értesíti az érintetteket és erről a Társaság vezető tisztségviselőjét is értesíti. Az Értesítendők listáját a 4. sz. melléklet tartalmazza.

Nem kell az érintetteket tájékoztatni:

• ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét;
• ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg;
• ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

Az érintettek jogainak érvényesítése

 Tájékoztatás joga

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint más tényezőkről.

 Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

 A tájékoztatás fő szabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

 Hozzáférés joga:

Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• az adatkezelés célja;
• az érintett személyes adatok kategóriái;
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket, nemzetközi szervezeteket;
• a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges ezen időtartam meghatározásának szempontjai;
• az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
• a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
• ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
• Az érintett továbbá jogosult arra is, hogy az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátsa. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. kivéve, ha az érintett máshogy kéri.

 Helyesbítés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.

 A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, a GDPR 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

 Törlés és elfeledtetés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; 
• az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre; 
• a személyes adatokat jogellenesen kezelték; 
• a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; 
• a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;
•  Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles, valamint az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket– ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. 
•  A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

 Korlátozáshoz/korlátozáshoz való jog

Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
• az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
•  A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
•  Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelési korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan nagy erőfeszítést igényel. Az érintetett kérésére az Adatkezelő tájékoztatja e címzettekről.

 Adathordozhatósághoz való jog

Az érintett – a GDPR 27. cikk (1) bekezdésében foglalt feltételek fennállása esetén - jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

 Tiltakozás joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

 Az érintett tiltakozhat személyes adatának kezelése ellen:

• ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
• ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint 
• törvényben meghatározott egyéb esetben.
•  Az Adatkezelő a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül áttenni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.
•  Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
•  Ha az Adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is – megszünteti, az adatokat korlátozza, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
•  Amennyiben az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet az adatvédelmi tisztviselőtől, aki azt három napon belül teljesíti.

Bírósághoz fordulás joga és panasztétel joga

Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. 

 Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be NAIH-nál (1125 Budapest, Szilágyi Erzsébet fasor 22/C.) és élhet - lakóhelye vagy tartózkodási helye szerint illetékes törvényszéknél is - bírósági jogorvoslati jogával.

 Záró rendelkezések

A szabályzat felülvizsgálatának legutóbbi időpontja: 2019. július

Adatkezelési tájékoztató álláskeresők részére

A BFB plus Mezőgazdasági, Termelői és Kereskedelmi Korlátolt Felelősségű Társaság,  az ABC Logis Korlátolt Felelősségű Társaság, a Maselis Hungária Gabonafeldolgozó Korlátolt Felelősségű Társaság és a  Monortáp Takarmányozási Korlátolt Felelősségű Társaság (a továbbiakban: Társaság vagy Adatkezelő) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: Szabályzat) alkotja.

Adatkezelő megnevezése:                              BFB plus Mezőgazdasági, Termelői és Kereskedelmi Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           BFB plus Kft.

Adatkezelő cégjegyzékszáma:                        13-09-067592

Adatkezelő adószáma:                                     10677508-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Adatkezelő megnevezése:                              ABC Logis Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           ABC Logis Kft.

Adatkezelő cégjegyzékszáma:                        13-09-181861

Adatkezelő adószáma:                                     25594605-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Adatkezelő megnevezése:                              Maselis Hungária Gabonafeldolgozó Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           Maselis Hungária Kft.

Adatkezelő cégjegyzékszáma:                        13-09-070671

Adatkezelő adószáma:                                     12063451-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Adatkezelő megnevezése:                               Monortáp Takarmányozási Korlátolt Felelősségű Társaság

Adatkezelő rövidített neve:                           Monortáp Kft.

Adatkezelő cégjegyzékszáma:                        13-09-070656

Adatkezelő adószáma:                                     12063444-2-13

Adatkezelő székhelye:                                     2212 Csévharaszt, Nyáregyházi út 51.

Adatkezelő e-elérhetősége:                             georgina.vigh@bfbplus.hu

Adatkezelő képviselője:                                   Jacques Dorny ügyvezető 

Balla Zoltán

Benjamins Marcel Johan

Adatkezelés helyszíne:

2212 Csévharaszt, Nyáregyházi út 51.

Jelen Szabályzatban használt rövidítések:

Infotv.                           az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

GDPR vagy

Rendelet                       az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről    

Mt.                                 a munka törvénykönyvéről szóló 2012. évi I. törvény

Mvt.                               a munkavédelemről szóló 1993. évi XCIII. törvény

Ptk.                                a polgári törvénykönyvről szóló 2013. évi V. törvény

Sztv.                               a számvitelről szóló 2000. évi C. törvény

Szvmt.                           a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény

NAIH vagy

Hatóság                         Nemzeti Adatvédelmi és Információszabadság Hatóság

A Társaság jelen Szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a GDPR 12.-14. cikkeiben meghatározott megfelelő tájékoztatáson alapuló adatkezelés megvalósulását.

Jelen Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

Jelen Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A Szabályzat tárgyi hatálya kiterjed a Társaságnál folytatott valamennyi olyan folyamatra, amely során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése megvalósul.

A szabályzat felülvizsgálatának legutóbbi időpontja: 2019. július

E szabályzat alkalmazásában:

Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.)

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.)

Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatoka, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);

Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.);

Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.);

Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);

Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:

• tájékoztatás joga, 
• hozzáférési jog,
• helyesbítéshez való jog,
• törléshez való jog,
• adatkezelés korlátozhatóságához való jog,
• adathordozhatósághoz való jog,
• tiltakozáshoz való jog
• elfeledtetéshez való jog;

Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés);

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.);

Adatkezelés korlátozásához való jog: 

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben [GDPR 18. cikk. (1)];

Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.);

Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.);

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.);

Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.);

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);

EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.);

Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.);

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.);

Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.);

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.);

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);

Genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered (GDPR 4. cikk 13.);

Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat (GDPR 4. cikk 14.);

Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.);

Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában (GDPR 4. cikk 17.);

Kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ (GDPR 4. cikk 20.);

Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);

Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);

Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.);

Adatkezelés munkára jelentkezők adataival kapcsolatos adatkezelés

A Társaság adatvédelmi rendszere

 A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.

 A Szabályzatban előírtak betartatásáért a feladatkörében minden munkavállaló felelős.

 A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

 A Társaság adatvédelmi rendszerének felügyeletét a vezető tisztségviselő látja el. A vezető tisztségviselő adatvédelemmel kapcsolatos feladatai:

• felelős az érintettek GDPR-ben, Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
• felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
• felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
• vizsgálatot rendelhet el;
• kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait;
• hozzájárulását adja valamennyi munkavállaló szerverhozzáférési jogosultságához;
• szervezi és koordinálja a munkavállalók, és kifejezetten az informatikus munkavállalók adatvédelemmel, információbiztonsággal kapcsolatos munkáját;
• továbbá minden, az adatvédelemmel kapcsolatban felmerült kérdés megoldása.

A Társaság informatikáért felelős munkavállalója adatvédelemmel kapcsolatos feladatai:

• ellátja a munkaköri leírásában meghatározott rendszergazdai feladatokat;
• ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására;
• a közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik;
• használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását);
• a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról;
• igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban;
• elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását;
• vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését;
• szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről;
• ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül;
• üzemzavar esetén elvégzi az informatikai rendszerek újra indítását, a hálózat alkalmazásainak és adatainak a visszatöltését;
• folyamatosan üzemelteti a számítógépes hálózatot;
• igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél;
• ellátja az Informatikai Biztonsági Szabályzatban meghatározott feladatokat, biztosítja az abban foglaltak teljesítését.

Adatvédelmi incidens észlelése és jelentése

 A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a vezető tisztségviselőnek. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.

 Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor a bejelentést az informatikusnak is meg kell küldeni. A bejelentés beérkezését követően az adatvédelmi tisztviselő haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

•  Adatvédelmi incidens kivizsgálása, értékelése
•  Az adatvédelmi tisztviselő megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér. 
•  Felhívására a bejelentő köteles megadni az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.
•  A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 24 órán belül teljesíteni köteles.
•  Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel a vezető tisztségviselő lefolytatja a vizsgálatot.
•  A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.
•  A vizsgálat eredményeként az adatvédelmi tisztviselő a vezető tisztségviselővel meghatározza az incidens kezeléshez szükséges intézkedéseket.
•  A vizsgálatot legkésőbb a bejelentésnek a vezető tisztségviselőhöz érkezésétől számított 72 órán belül le kell folytatni.

 Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet.

 A nyilvántartás tartalmazza:

• az érintett személyes adatok körét,
• az adatvédelmi incidenssel érintettek körét és számát,
• az adatvédelmi incidens időpontját,
• az adatvédelmi incidens körülményeit, hatásait,
• az elhárítására megtett intézkedéseket és
• egyéb jogszabályban előírt adatokat.

 Az Adatvédelmi incidensnyilvántartás (3. sz. melléklet) pontos vezetéséről, aktualizálásáról az adatvédelmi tisztviselő gondoskodik.

 Az adatvédelmi incidens bejelentése a Hatóság részére

Az adatvédelmi tisztviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az adatvédelmi tisztviselő köteles ennek okát igazolni a Hatóság részére.

A hatósági bejelentésnek tartalmaznia kell:

• az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
• az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
• az adatvédelmi incidens jellegét, körülményeit, 
• az adatvédelmi tisztviselő nevét és elérhetőségét,
• az adatvédelmi incidens valószínűsíthető következményeit és
• az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

Az érintettek tájékoztatása az adatvédelmi incidensről 

Ha a vizsgálat eredményeként megállapítást nyer, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve és az érintettek tájékoztatása szükséges, az adatvédelmi tisztviselő haladéktalanul értesíti az érintetteket és erről a Társaság vezető tisztségviselőjét is értesíti. Az Értesítendők listáját a 4. sz. melléklet tartalmazza.

Nem kell az érintetteket tájékoztatni:

• ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét;
• ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg;
• ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

Az érintettek jogainak érvényesítése

 Tájékoztatás joga

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint más tényezőkről.

 Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

 A tájékoztatás fő szabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

 Hozzáférés joga:

Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• az adatkezelés célja;
• az érintett személyes adatok kategóriái;
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket, nemzetközi szervezeteket;
• a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges ezen időtartam meghatározásának szempontjai;
• az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
• a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
• ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
• Az érintett továbbá jogosult arra is, hogy az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátsa. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. kivéve, ha az érintett máshogy kéri.

 Helyesbítés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.

 A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, a GDPR 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

 Törlés és elfeledtetés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; 
• az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre; 
• a személyes adatokat jogellenesen kezelték; 
• a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; 
• a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;
•  Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles, valamint az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket– ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. 
•  A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

 Korlátozáshoz/korlátozáshoz való jog

Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
• az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
•  A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
•  Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelési korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan nagy erőfeszítést igényel. Az érintetett kérésére az Adatkezelő tájékoztatja e címzettekről.

 Adathordozhatósághoz való jog

Az érintett – a GDPR 27. cikk (1) bekezdésében foglalt feltételek fennállása esetén - jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

 Tiltakozás joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

 Az érintett tiltakozhat személyes adatának kezelése ellen:

• ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
• ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint 
• törvényben meghatározott egyéb esetben.
•  Az Adatkezelő a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül áttenni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.
•  Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
•  Ha az Adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is – megszünteti, az adatokat korlátozza, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
•  Amennyiben az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet az adatvédelmi tisztviselőtől, aki azt három napon belül teljesíti.

Bírósághoz fordulás joga és panasztétel joga

Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. 

 Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be NAIH-nál (1125 Budapest, Szilágyi Erzsébet fasor 22/C.) és élhet - lakóhelye vagy tartózkodási helye szerint illetékes törvényszéknél is - bírósági jogorvoslati jogával.

 Záró rendelkezések

A szabályzat felülvizsgálatának legutóbbi időpontja: 2019. július