Adatvédelmi Szabályzat

A Pro-Feed Takarmányozási, Kereskedelmi és Szolgáltató Kft

Adatvédelmi Szabályzata

az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR) előírásainak való megfelelés érdekében

 

 

 

Kelt: 2018. május 25.

 

Jelen szabályzat szellemi alkotásának minősül, annak egésze vagy bármely része csak a szabályzatnak való megfelelés érdekében, tájékozódás céljából, valamint a kapcsolódó esetleges jogérvényesítés során használható fel.

 

  1. Főbb adatok

1.1 Adatkezelő

Adatkezelő: Pro-Feed Kft (továbbiakban: Adatkezelő vagy Társaság)

címe:1175 Budapest Laskó utca 5.Iroda, telephely: 2161 Csomád Kossuth L. utca 42.

adatvédelmi képviselője: Sándor Levente

elérhetősége: 06-28-541-031

A Társaságnak nincsen kinevezett adatvédelmi tisztviselője.

1.2 Hatóság

Nemzeti Adatvédelmi és Információszabadság Hatóság (Budapest, Szilágyi Erzsébet fasor 22c, 1125.)

A Társaság NAIH nyilvántartási száma: ……………………………………

Bármely érintett személy jogosult arra, hogy a felügyeleti hatósághoz címezve panaszt nyújtson be az adatkezeléssel szemben.

1.3 Adatkezelés időtartama

Amennyiben az adott adat tekintetében más rendelkezés nem irányadó, a Társaság az általa kezelt személyes adatokat az 5 éves polgári jogi elévülési idő végéig, illetve az általában 6-7 éves adójogi elévülési idő végéig kezeli. 

Amennyiben a kezelt adat csak hozzájáruláson alapuló adatkezelés alapján kezelt adat, a Társaság az adatokat 2 évig őrzi. Adatok frissítése esetén a 2 éves időtartam ismételten kezdődik.

A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény szerint maradandó értékű iratnak minősülnek a munkaügyi iratok, amelyeket a Társaságnak határidő nélkül őriznie kell.

1.4 Az adatkezelés főbb elvei

Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (továbbiakban: GDPR) főbb elvei az adatkezelés kapcsán:

a)         A személyes adatok „kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”).

b) A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és csak a gyűjtéssel összeegyeztethető célból és módon kezelhető; „a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”)”.

c)         Az adatkezelésnek „céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”)”.

d)        Az adatok kezelésének „pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”)”.

e)         Az adatok „tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, … az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”)”.

f) Az adatok „kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”)”.

g) ”Az adatkezelő felelős a fentieknek való „megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”)”.

1.5 A személyes adatok kezelésének célja

A GDPR alapján valamely adatkezelés – többek között - akkor jogszerű, ha

· az érintett önkéntesen hozzájárulását adta személyes adatainak kezeléséhez az adott célhoz/célokhoz,

· az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél,

· az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, vagy

· az adatkezelés az adatkezelő jogos érdekeinek érvényesítéséhez szükséges feltéve, hogy az elsőbbséget élvez a személyes adatok védelmével szemben.

A Társaság által végzett adatkezelések jogcíme az érintett személy kategóriái alatt kerül elemzésre.

1.6 Adattovábbítás

A Társaság által kezelt törzsadat nyilvántartást a NOVITAX Kft.  gondozza a Társaság részére. Az adatfeldolgozó az adatkezelést a Pro-Feed Kft.-nél elhelyezkedő szerveren keresztül biztosítja.

A Társaság által kezelt munkavállalók tekintetében a bérszámfejtést a Fair-Team 2004 Kft., mint adatfeldolgozó végzi a Társaság részére. Az adatfeldolgozó az adatkezelést Magyarországon végzi.

Az e-mail levelezést a Társaság részére UNIOBIT Bt. gondozza a Pro-Feed Kft. által üzemeltetett adatszolgáltatáson keresztül.

A Társaság részére a működéséhez kapcsolódó szerver szolgáltatást UNIOBIT Bt, és a InforMix Média Kft .biztosítja a Pro-Feed Kft. által üzemeltetett adatszolgáltatáson keresztül.

A Társaság a részére jogi szolgáltatást nyújtókkal a jogi tanácsadáshoz szükséges mértékben személyes adatnak minősülő adatokat is megoszt.  Az adatok az ügyvédi törvény szerinti szakmai titoktartási kötelezettség által védettek.

A Társaság az adatkezelőkkel megkötötte illetve megköti a GDPR 28. cikke szerinti tartalmú szerződést.

A Társaság egyebekben a jogi érdekeinek biztosításához szükséges adattovábbításokat végzi, nem rendszeres módon, valamint a jogszabályi kötelezettségek teljesítése során továbbít harmadik félnek adatot az érintett személy kifejezett hozzájárulása nélkül.

  1. Jogszabályi háttér

2.1 - GDPR rendelet

A GDPR 2018. május 25-től alkalmazandó szabályai kiterjednek minden adatkezelő és adatfeldolgozó személyes adatokkal kapcsolatos adatkezelésére, kivéve azon adatkezelést a) amelyet természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végeznek, b) amelyet nem az EU-s jog alapján végeznek, valamint c) amelyet az EU tagállamok az EU szabályok alapján a közös kül- és belpolitikára vonatkozóan végeznek.

Főbb fogalmak az adatkezelés tekintetében:

  • adatkezelő: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”
  • adatfeldolgozó: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”
  • személyes adat: „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható” – azaz minden adat amely egy természetes személyhez köthető
  • adatkezelés: „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés” – azaz bármilyen személyes adatra vonatkozó nyilvántartást eredményező és annak használatával kapcsolatos tevékenység.

A GDPR az adatkezeléshez kapcsolódóan többek között szabályozza az adatkezelési korlátokat, az érintett személyek jogait, az adatkezelők kötelezettségeit.

A GDPR minden EU tagállamban közvetlenül alkalmazandó.  A GDPR-tól való eltérés csak az GDPR felhatalmazása esetén megengedett valamint a GDPR által nem szabályozott körben.

2.2 Magyarországi szabályozás

Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (Info tv.) módosító [………………….] törvény szabályozza az Info tv. harmonizációs módosításait.  [törvény főbb megállapításai]

A GDPR 88 cikke alapján a tagállamok jogszabályban szabályokat állapíthatnak meg „annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.” Magyarország e felhatalmazás alapján még nem adott ki jogi rendelkezést.

  1. Kezelt adatok köre

3.1 személyes adatok

A Társaság által kezelt személyes adatok köre az érintett személy kategóriái szerint változik.  Egy adott kategórián belül is változhat a kezelt személyes adatok köre, tekintettel a jogszabályi előírásokra, valamint az érintett személy által megadott személyes adatokra. 

3.2 Különleges adatok

A Társaság különleges adatot - faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok - csak akkor kezel, ha azt az adott személy a Társaság rendelkezésére bocsátotta. 

A fentiektől eltérően munkavállalók esetén a Társaság jogosult egészségügyi adatokat kezelni munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése érdekében. 

  1. Érintett személyek kategóriái

A Társaság az alábbi kategóriák szerinti érintett személyek adatait kezeli.

4.1 Törzsadat nyilvántartás

A Társaság Törzsadat nyilvántartásában kezeli az adott érintett személy által megadott személyes adatokat.  A Törzsadat nyilvántartásban az érintett személy által megadott személyes adatokon kívül nyilvánosan elérhető adatokat is kezelhet a Társaság.

Az adatkezelés az érintett személy hozzájárulásán alapul és az adatkezelés célja kapcsolattartás az adott személlyel.  A kapcsolattartás célja az adott személy által meghatározott kör, amely ha az adott személy másképp nem rendelkezik beszállítói, szállítói és vevői kapcsolattartás, valamint a Társaság működéséhez szükséges adminisztratív jellegű feladatok ellátása. Az adatkezelés kiterjedhet arra, hogy az érintett személyt a Társaság marketing tevékenysége során megkeresse.

Az adatokat a Társaság 6 évig őrzi azzal, hogy azok frissítésekor a 6 éves időtartam újból kezdődik. Amennyiben valamilyen kapcsolatfelvételi kísérlet során kiderül, hogy a kapott kapcsolattartási adatok nem helytállóak, a Társaság saját döntése szerint – jogos érdekeinek figyelembevételével – módosítja, anonimizálja vagy törli az adatokat.

 

A Társaság a nyilvántartást a NOVITAX Kft, UNIOBIT Bt, és az InforMix Média Kft. által kezelt számítógépes rendszerben tartja nyilván.  A szerver a Pro Feed Kft, 2161 Csomád Kossuth Lajos utca 42.szám alatt lévő szerveren található.  A rendszerhez belépési jelszóval – egyedi felhatalmazások alapján - a Társaságon belül az fér hozzá, akinek a munkaköre igényli.

Amennyiben az érintett személy a hozzájárulását visszavonja, a Törzsadat nyilvántartásban az adatai anonimizálásra vagy törlésre kerülnek.  Ez nem érinti a Társaság esetlegesen egyéb jogcímen történő adatkezelését (pl. amennyiben a Társaság az érintett személlyel korábban valamilyen szerződéses kapcsolatba került, a Társaság a személy adatait egyéb jogcím alapján is kezeli).  A Társaság a Törzsadat nyilvántartásról biztonsági másolatot készíthet, amelyet elkülönülten kezel és csak a rendszer visszaállítása céljából használhat.

Az érintett személy jogosult arra, hogy a hozzájárulását visszavonja.  Az esetleges visszavonás ellénére a Társaság a Törzsadat nyilvántartásban szereplő adatokat továbbra is kezelheti jogszabályi kötelezettségének teljesítése érdekében, valamint statisztikai célokból. Ebben az esetben az adatkezelés céljának megfelelően a Társaság az adatok körét korlátozza vagy a kezelt adatokat anonimizálja.

A Törzsadat nyilvántartásban kezelt adatok köre az érintett személy által szolgáltatott adatok köre.  Amennyiben az érintett személy nem adja meg nevét, elérhetőségét meghatározását, a Társaság nem tudja vele a kapcsolatot tartani.

4.2 Szerződő partnerek

A szerződő partnerek a Társaság által értékesített termékek szerződő felei, valamint a Társaság részére termékeket és szolgáltatásokat értékesítő szerződéses partnerek. 

Ebben az esetben a Társaság a szerződésben meghatározottak szerint a felek valamint a kapcsolattartási információk rendelkezésre állása érdekében kezel személyes adatokat. 

A személyes adatokat – a képviselő nyilvánosan elérhető neve és beosztása, vagy meghatalmazás alapján kijelölt képviselő neve és beosztása, a kapcsolattartó neve, elérhetősége – a szerződő partner adja meg, a Társaság a szerződés megkötésekor megkéri a szerződő partnertől az érintett személy adatkezelési hozzájárulását is. 

Az adatszolgáltatás szerződéses kötelezettségen alapul, a szerződő partner jogosult arra, hogy amennyiben az érintett személy az adatkezeléshez nem járul hozzá, más személyt és annak adatait adja meg képviselőként, kapcsolattartóként.

4.3 Munkavállalók

Munkavállalók a Társaság alkalmazásában álló természetes személyek.

A Társaság a munkavállalók tekintetében az adózás rendjéről szóló 2017. évi CL. törvény (továbbiakban: Art.) 1. sz. melléklete 3 pontja alapján bejelentendő adatokat kezeli: a foglalkoztatott biztosított családi és utóneve, adóazonosító jele, születési ideje, biztosítási jogviszonyának kezdete, kódja, megszűnése, a biztosítás szünetelésének időtartama, a heti munkaideje, a FEOR-száma, a TAJ száma, a végzettsége, szakképzettsége, szakképesítését, továbbá az ezt igazoló okiratot kibocsátó intézmény neve és az okirat száma. Ha a biztosított nem rendelkezik adóazonosító jellel, a születési családi és utóneve, születési helye, anyja születési családi és utóneve és a biztosított állampolgársága.

A Társaság továbbá nyilvántartja a munkavállaló részére kifizetendő és kifizetett bért, egyéb juttatásokat, költségeket, esetleges kölcsönösszegeket, valamint a bíróságok, hatóságok által esetlegesen előírt egyéb adatokat. 

A kifizetésekhez kapcsolódóan a Társaság kezeli a munkavállalók pénzforgalmi számlájának a kifizetéshez szükséges adatait (bank neve, bankszámla száma, számlatulajdonos neve.

A Társaság a jogszabályi előírások, jogszabályi valamint a cafetéria rendszer által nyújtott kedvezmények alkalmazásához szükséges egyéb adatokat is kezelheti, így különösen a munkavállaló gyermekeinek neve, születési ideje, TAJ száma, adószáma, lakcíme, munkavállaló házastársának neve, címe, TAJ száma, adószáma, lakáshitel felvétele esetén banki szerződés, életbiztosítás kötése esetén a kötvény.

Fogyatékos munkavállaló esetén a fogyatékosságra vonatkozó igazolást is nyilvántartja a Társaság. Ezen adatokat a Társaság a munkavállaló hozzájárulása alapján kezeli, az adatkezelés ezen adatok tekintetében bármikor visszavonhatók.

A Társaság továbbá kezeli, kezelheti az adott munkavállaló által a Társaság részére a jelentkezés során vagy a későbbiekben átadott bármely más adatot, tekintettel arra, hogy a Társaság vélelmezi, hogy a munkavállaló az adatot azért adta át, mert azt a munkaviszony szempontjából relevánsnak tartotta. Ezen adatokat a Társaság a munkavállaló hozzájárulása alapján kezeli, az adatkezelés ezen adatok tekintetében bármikor visszavonhatók.

A Társaság jogos érdekének biztosítása miatt jogosult a munkavállaló kifejezett hozzájárulásával a munkavállaló fenti adatait igazoló iratokat lemásolni, és tárolni. 

A Társaság az általa kezelt adatokat csak a jogszabályi előírások, valamint hatósági rendelkezések teljesítése érdekében, valamint egyes esetekben a saját jogos érdekének biztosítása érdekében (pl. jogvita) adja át harmadik félnek.  Így különösen a Társaság átadja a munkavállalók kötelezően kezelendő adatait a NAV-nak, a NAV az Art 1. sz. melléklet 6-9 pontja előírásai szerint az adatok egy részét megküldi az egészségbiztosítás biztosítotti nyilvántartásnak, az állami szakképzési és felnőttképzési szerv pályakövetési rendszert működtető nyilvántartása részére, a munkaügyi hatóság részére.

A munkavállaló az e-mail címét és annak adattartalmát saját döntése alapján jogosult az e-mailes levelezésében használni, és egyes adatokat az alkalmazásból kizárni.  Emiatt a munkavállaló által megosztott kezelt adatnak minősül az általa küldött e-mailekben szereplő személyes adat.

Az adatszolgáltatás alapvetően jogszabályi kötelezettségen, kisebb részben a munkavállaló hozzájárulásán alapul. Amennyiben a munkavállaló a jogszabályi kötelezettség szerinti adatokat nem adja meg, a munkaszerződést a Társaság nem tudja megkötni. A munkavállaló hozzájárulásán alapuló adatszolgáltatás a munkavállaló munkakörének ellátását segíti vagy kedvezmények igénybevételéhez szükségesek, a Társaság annak elmaradásához következményt nem fűz.

4.4 E-mail levelezés

A Társaság munkavállalói által @profeed.hu  végződésű e-mail címekről írt e-mailek valamint a Társaság részére a munkavállalók által használat @pofeed.hu  végződésű e-mail címekre írt e-mailek a Társaság által jogos érdekeinek biztosítása céljából megőrzésre kerülnek, amennyiben azt a munkavégzése során az e-mail küldője, címzettje azt kifejezetten nem törli.  Az e-mailekről azok törlése ellenére biztonsági másolatok készülhettek és azokat a Társaság biztonsági okokból őrizheti.  Az e-maileket a Társaság irattározási rendjének keretében időről időre átvizsgálja/átvizsgálhatja és határoz azok további őrzéséről, vagy törléséről.

Az alkalmazás megszűnését követő 12 hónap elteltével az e-mail cím megszűnik, és annak tartalmát a Társaság saját döntése alapján jogos érdekeit, jogszabályi kötelezettségeit és szerződéses kötelezettségeit figyelembe véve megőrzi, anonimozálja vagy törli. 

4.5 Honlapot látogatók

A Társaság honlapja nem tárol a honlapot látogatókról adatokat.  A honlapon információ keresése, a honlapon keresztül a Társasággal való kapcsolatfelvétel a honlapot látogató döntésén alapul.

4.6 Társaság részére küldött iratok

A Társaság részére megküldött iratokban szereplő személyes adatokat a Társaság az irat adattartalma alapján kezeli.  Amennyiben szükséges a Társaság az érintett személyt tájékoztatja a GDPR 13. illetve 14. cikk szerint.

Amennyiben az érintett személy tájékoztatásához szükséges kapcsolattartási cím nem áll rendelkezésre a kapott iratban, vagy a kapott kapcsolattartási címről a tájékoztatásra semmilyen válasz nem érkezik, a Társaság saját döntése alapján – amely figyelembe veszi a kapott irat tartalmát is – jogosult az iratot és az abban foglalt személyes adatokat megőrizni, anonimizálni illetve megsemmisíteni.  A Társaság saját jogos érdekeinek biztosítása jogcím alapján kezeli ezen adatokat. Amennyiben a Társaság az adatok megőrzése mellett dönt, azokat időről időre az irattározási folyamat keretében ellenőrzi és dönt azok további őrzéséről vagy megsemmisítéséről.

Az adatszolgáltatás az érintett személy kezdeményezése, a Társaság annak elmaradásához semmilyen következményt nem fűz.

4.7 Pénzügyi tranzakciók

A Társaság által indított valamint a Társaság részére érkező pénzügyi tranzakciókban szereplő esetleges személyes adatokat részben a jogszabályi előírások, részben a szerződései teljesítése részben saját jogos érdekeinek biztosítása jogcím alapján kezeli az általános polgári jogi valamint adójogi elévülési időtartamig.  Ennek letelte után a Társaság az irattározási folyamat keretében ellenőrzi és dönt azok további őrzéséről vagy megsemmisítéséről.

Az adatszolgáltatás a jogszabályi vagy szerződéses kötelezettség teljesítéséhez szükséges, amennyiben a pénzügyi tranzakció lebonyolításához szükséges adatokat nem bocsátják a Társaság rendelkezésére, a pénzügyi tranzakció nem teljesíthető.

A pénzügyi tranzakciók szerinti adatok kezeléséről és azok tartalmáról az érintett személynek tudnia kell, ezért ezen esetekben a Társaságot a GDPR alapján tájékoztatási kötelezettség nem terheli.

4.8 Egyéb

4.8.1 Internetes keresés

A Társaság nyilvános kereséseket (Nyilvános céginformációk, NAV adatbázisok, Facebook, Linkedin) is folytat keresleti kínálati lehetőségeinek, partnereinek ellenőrzésére. 

4.8.2 Statisztikai célú adatkezelés

A Társaság a jogszabályi előírások teljesítése valamint a saját maga számára a szolgáltatás színvonalának emelése érdekében végez/végezhet statisztikai célú adatkezelést. A GDPR alapján „statisztikai célúnak minősül a személyes adatok statisztikai felmérések vagy statisztikai eredmények kiszámításának céljából történő gyűjtése és kezelése” (GDPR Preambulum 162).

A statisztikai célú adatkezelés eredménye összesített adat kell, hogy legyen, és az eredmény vagy az annak részét képező személyes adatok nem használhatók fel konkrét természetes személyekre vonatkozó intézkedések vagy döntések alátámasztására.

A GDPR 14. cikk 5 (b) pontja alapján az érintett személyeket a statisztikai adatkezelésről nem kell tájékoztatni.

4.8.3 Az irodaépület, raktár ellenőrzése miatti esetleges adatkezelés

Az irodaépületben, raktárban, a telephelyen tartózkodókat a Pro-Feed Kft. által üzemeltetett kamera figyeli biztonsági okokból, az ott tartózkodókra vonatkozó személyes adat rögzítésre kerül a videó felvételek során.  Az adatkezelés célja a biztonság növelése, amely a GDPR alapján olyan jogos érdek, amely előbbre rangsorol az érintett személyek jogainál.  Az adatkezelés időtartama 48 óra, amennyiben valamilyen rendkívüli esemény nem történik.  A Társaságon belül a videó felvételekhez korlátozott a hozzáférés. 

4.8.4 Rendezvényeken, kiállításokon részvétel

A Társaság rendezvényekről, kiállításokról videó felvételeket készíthet, amelyen az ott tartózkodó munkavállalók, partnerek is szerepelnek. A felvételek készítése előtt illetve után a Társaság az esetlegesen érintett személyeket tájékoztatja, kérve hozzájárulásukat, amennyiben ez az irányadó jogszabályok alapján szükséges. 

  1. Az érintett személyek jogai

Amennyiben az érintett személy jogából más eljárás nem következik, az érintett személy jogait a Társaság részére Pro-Feed Kft. 2161 Csomád Kossuth Lajos utca 42. címre postai úton vagy a [EmailProtect|penzugy@profeed.hu{+}penzugy@profeed.hu]  címre e-mailben küldött levélben gyakorolhatja.

5.1 Érthető kommunikációhoz való jog

Az Adatkezelőnek minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni, az érintett kérésére szóbeli tájékoztatás is adható. (GDPR 12 cikke)

5.2 Informáltsághoz való joga

Az Adatkezelő a személyes adatok megszerzésének időpontjában, illetve azt követően meghatározott időn belül az érintett rendelkezésére bocsát meghatározott információkat az adatkezelésről. (GDPR 13 cikke és 14 cikke)

5.3 Személyes adatokhoz való hozzáférés joga

Az érintett személy jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult meghatározott információkhoz. (GDPR 15 cikke)

5.4 Helyesbítéshez való jog

Az érintett személy jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. (GDPR 16 cikke)

5.5 A törléshez való jog („az elfeledtetéshez való jog”)

Az érintett személy meghatározott esetekben jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat (GDPR 17 cikke), ez azonban nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét, valamint az egyéb jogcímek alapján végzett adatkezelés jogszerűségét.

5.6 Az adatkezelés korlátozásához való jog

Az érintett meghatározott esetekben jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést. (GDPR 18 cikke)

5.7 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az Adatkezelő minden olyan címzettet, akivel a személyes adatot közölték, tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, kivéve, ha lehetetlen, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről (GDPR 19 cikke).

5.8 Az adathordozhatósághoz való jog

Az érintett személy jogosult arra, hogy a rá vonatkozó, általa rendelkezésre bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja (GDPR 20 cikke).

5.9 A tiltakozáshoz való jog

Az érintett személy bizonyos adatkezelések ellen tiltakozhat (GDPR 21 cikke).

5.10 Automatizált döntéshozatal kizárásához való jog

Bizonyos esetekben az érintett személy jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

  1. A GDPR előtti adatkezelések megújítása

A GDPR alapján minden korábban megkezdett adatkezelésnek is meg kell felelnie a GDPR előírásainak.  Ezek közül a leglényegesebb az, hogy az érintett személyt tájékoztatni kell az adatkezeléshez kapcsolódóan több adatról és jogairól, valamint amennyiben a kezelés hozzájáruláson alapul és a korábban kapott hozzájárulás nem felel meg az GDPR előírásainak, új hozzájárulást kell kérni vagy törölni kell a kezelt adatokat. 

6.1 Törzsadat nyilvántartás

A Társaság az általa korábban feltételezetten kapott hozzájárulások megerősítésére megkeresi elektronikus úton az érintett személyeket, kérve a hozzájárulásuk megerősítését a GDPR alapján.  

Amennyiben az e-mail megkeresésre nem érkezik semmilyen válasz 30 napon belül a Társaság ismételten kiküldi az e-mailt.  Amennyiben ezt követően további 30 napon belül sem érkezik válasz, a Társaság úgy tekinti, hogy a kapcsolat már nem élő, és anonimizálja, vagy törli a Törzsadat nyilvántartási rendszeréből, ez az esetleges egyéb jogcímek alapján fennálló adatkezelést nem érinti.

6.2 Szerződő partnerek és Beszállítók

A Társaság a szerződő partnereitől és beszállítóitól kapott információkat – amelyek közül alapvetően a szerződést aláíró személyek neve és a kapcsolattartókra vonatkozó e-mail címek minősülhetnek személyes adatnak – a szerződés teljesítése érdekében szükséges információnak tekinti, amelynek a kezelése a GDPR 6 cikke (1) bek b) pontja alapján jogszerű. 

Amennyiben a kapcsolattartó személy nem a szerződő partner illetve a beszállító képviselője, a Társaság a kapcsolattartó személyre vonatkozó e-mail cím, telefonszám kezeléséhez az adott természetes személy külön hozzájárulását is megkéri a szerződő partnertől illetve a beszállítótól.

Az adatkezelésről a Társaság elektronikus levélben, illetve amennyiben elektronikus elérhetőség nem áll rendelkezésre, postai levélben tájékoztatja a szerződő partnereket, és rajtuk keresztül az érintett személyeket.

6.3 Munkavállalók

A munkavállalók tekintetében a Társaság alapvetően a jogszabályi előírások által meghatározott adatokat kezeli, más adatot csak a munkavállaló hozzájárulása alapján kezel, a munkavállaló által meghatározott körben annak érdekében, hogy a munkavállaló adott kedvezményeket igénybe tudjon venni.

Az adatkezelésről a Társaság elektronikus levélben, illetve amennyiben elektronikus elérhetőség nem áll rendelkezésre, postai levélben tájékoztatja az alkalmazottakat, a volt alkalmazottakat.

6.4 Egyéb

A Társaság nyilvánosságra hozott személyes adatnak minősülő adatokat is kezelhet.  Az így kezelt adatok esetében a nyilvánosságra hozatallal az érintett hozzájárulását megadottnak lehet tekinteni. 

  1. Adatkezelő kötelezettsége

7.1 Adatkezelő kötelezettsége a biztonságos őrzés érdekében szervezési és technikai intézkedéseket végrehajtani

Az adatkezelő megfelelő technikai és szervezési intézkedések végrehajtásával biztosítja, hogy a személyes adatok kezelése a GDPR előírásainak megfelel. 

A Társaság a jelen Adatvédelmi Szabályzattal és annak Társaságon belüli kötelező alkalmazásával kíván megfelelni a szervezési intézkedéseknek.  

Az elektronikusan nyilvántartott adatok technikai védelmét és használatának személyhez kötöttségével illetve a számítógépes eszközök, és így az adatállományok használatának jelszóval való védésével teljesíti.

Fizikai formában előállításra kerülő iratok megfelelő zárt őrzésének biztosítása és jelen Adatvédelmi Szabályzat szerinti kezelése az azt előállító munkatárs feladata. A szerződés teljesítését követően a Társaság irattározási szabályai szerint az iratok irattározásra kerülnek.

A munkavállalók személyes adatait tartalmazó iratokat a Társaság az irodavezetőnél, zárt szekrényben őrzi, korlátozott hozzáféréssel.

A Társaság irattározási eljárása biztosítja a kezelt adatok rendszeres ellenőrzését és adattakarékosság szerinti kezelését. 

A Társaság évente felülvizsgálja jelen Szabályzatát valamint az ehhez kapcsolódó egyéb eljárási szabályait. Új eljárás bevezetése előtt a Társaság soron kívül is felülvizsgálja, és ha szükséges frissíti a szabályzatot.

7.2 Adattakarékosság, adatkorlátozottság, biztonsági előírások

A Társaság az adattakarékosság érdekében adatokat csak az alábbiak szerint kezel:

  • a jogszabályi előírások teljesítése érdekében a jogszabály által előírt körben és mértékben,
  • a Társaság funkcionális működéséhez szükséges körben és mértékben; valamint
  • a Társaság tevékenységéhez kapcsolódóan olyan elsődlegesen a kapcsolattartás biztosítására.

A Társaság a kezelt adatok rendszeres átvizsgálásával, csökkentésével illetve anonimizálásával biztosítja az adattakarékosságot. 

Fizikai formában előállított adatok esetében az iratok zárt helyen történő őrzésével, a tényleges szolgáltatásnyújtást követően pedig korlátozott hozzáférésű, zárt kezelésű irattárban való elhelyezésével biztosítja, hogy azokat csak a megjelölt célok érdekében lehessen kezelni. 

7.3 Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

A Társaság minden adatvédelmi incidensről – amely a definíció szerint „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi” - indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott jegyzőkönyvet vesz fel, amely legalább az alábbiakat tartalmazza:

a)    az adatvédelmi incidens jellege, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)    a további tájékoztatást nyújtó kapcsolattartó neve és elérhetősége;

c)    az adatvédelmi incidensből eredő, valószínűsíthető következmények;

d)    az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az Adatkezelő ugyanezen időtartamon belül a fenti adatokkal bejelenti az adatvédelmi incidenst az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatfeldolgozóval kötött megállapodás előírja, hogy a nála bekövetkezett adatvédelmi incidenst köteles az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintett személyeket is az adatvédelmi incidensről.

Az érintetteket elegendő nyilvánosan közzétett információk útján tájékoztatni (vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását) ha az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták. Ilyennek minősül különösen olyan intézkedések alkalmazása – mint például a titkosítás –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; olyan további intézkedéseket megtétele, amelyek biztosítják, hogy a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.  Elegendő a nyilvános tájékoztatás akkor is, ha a személyes tájékoztatás aránytalan erőfeszítést tenne szükségessé.

7.4 Egyéb

7.4.1 Adatvédelmi tisztviselő kötelező kijelölése

A GDPR 37. cikke (1) bekezdése b) pontja kimondja, hogy kötelező adatvédelmi tisztviselőt kijelölni, ha „az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé”.   

A biztonsági kamera felvételeinek esetleges vizsgálata nem minősül a Társaság fő tevékenységének. A fentiek alapján a Társaságnál nem kell adatvédelmi tisztviselőt kijelölni.

7.4.2 Hatásvizsgálat

A GDPR alapján hatásvizsgálatot kell végezni a kezelt adatok tekintetében, ha az „adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”, .. így különösen az alábbi esetekben:

„a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b)         a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy

c) nyilvános helyek nagymértékű, módszeres megfigyelése”. (GDPR 35. (1)) 

A fentiekre tekintettel a Társaság hatásvizsgálat elvégzésére nem köteles a GDPR alapján.

7.4.3 Automatizált döntéshozatal

A profilalkotás definíciója alapján - „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják - a Társaság tevékenysége részben profilalkotásnak is tekinthető lenne. Ez azonban a Társaságnál nem automatikus, a jellemzők alapján történő keresés kizárólag a lehetséges jelölteknek az állásajánlathoz kapcsolódó megfelelő szűkítését célozza, az adatok értékelése minden esetben a Társaság munkavállalói által történik.

A fentiek alapján a Társaság nem végez automatizált döntéshozatalt. 

 

  1. Mellékletek

1          Törzsadat nyilvántartást - tájékoztatás a GDPR alapján és hozzájárulás

2          Munkavállalói adatok kezelése - tájékoztatás a GDPR alapján és hozzájárulás

3          Korábbi munkavállalók adatainak kezelése - GDPR tájékoztatás  

4          Beszállítói, szerződéses partnerek - tájékoztatás a GDPR alapján és hozzájárulás