Hatályos: 2023. január 1.
1. Bevezetés
Jelen adatvédelmi szabályzatot a Hard Dog Race Kft. mint adatkezelő – továbbiakban: Adatkezelő – adja ki adatkezelési tevékenysége szabályozása céljából. A szabályzat rendszeresen aktualizálásra kerül a hatályos hazai és Európai Uniós és a Magyar jogszabályoknak való folyamatos megfelelés érdekében. Az adatvédelmi szabályzat mindenkor hatályos változata megtekinthető a http://harddograce.hu weboldalon illetve a társaság székhelyén a recepción.
2. Az adat kezelő adatai
Adatkezelő megnevezése: Hard Dog Race Kft. (továbbiakban: Adatkezelő)
Székhely: 1036 Budapest, Lajos utca 78. Telefon: +36 (20) 385 2090
Email: info@harddograce.hu
Honlap: https://harddograce.hu
Cégjegyzék szám: 01-09-291006
Adószám: 25820922-2-41
Az adatvédelemi tevékenységeket összefogó munkatárs (adatvédelmi munkatárs): Púza András
3. A szabályzat célja
Jelen adatkezelési szabályzat célja, hogy meghatározza az Adatkezelő által kezelt személyes adatokkal kapcsolatos legfontosabb szabályokat, az adatkezelésekre vonatkozó információkat és alapelveket.
Adatkezelő Magyarországon, és más Európai Uniós országokban szervez akadályversenyeket. Ezeket a versenyeket alvállalkozókkal együtt szervezi, továbbá az arra szerződésben jogosultaknak átengedi a versennyel kapcsolatos jogokat, adatokat, információkat. A szabályzat célja, hogy az adatokat egyértelműen és az érintettek számára átláthatóan kezelje, figyelembe véve az előírásokat
Az adatvédelmi szabályzat célja elsősorban annak biztosítása, hogy az Adatkezelő megfeleljen a hatályos jogszabályok adatvédelemmel kapcsolatos rendelkezéseinek, így különösen, de nem kizárólagosan
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény,
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
- a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról szóló 2008. évi XLVII. törvény,
- a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény,
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény rendelkezéseinek.
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbi feltételek egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
4. Értelmező rendelkezések
1. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
2. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;
Jelen szabályzat szerinti adatkezelők:
Az Adatkezelő:
Elnevezése: | Hard Dog Race Kft. |
székhelye: | 1036 Budapest, Lajos utca 78. |
cégjegyzék száma: | Cg.01-09-291006 |
adószáma: | 25820922-2-41. |
ügyvezető: | Púza András |
honlap: | harddograce.hu |
e-mail. cím: | info@harddograce.hu |
telefon: | +36 (20) 385 2090 |
3. adatfeldolgozás:az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;
4. adatfeldolgozó:az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében személyes adatokat kezel;
Jelen szabályzat szerinti adatfeldolgozó:
Társszervezőként Lengyelországban: | |
Elnevezése: | Kreacje Kornelia Radzikowska |
székhelye: | Warszawa, ul. Poligonowa 2/18 04-051 |
adószáma: | PL1132359448 |
e-mail. cím: | radzikowska.kornelia@harddograce.pl |
mobil: | +48 510 501 791 |
Társszervezőként Németországban: | |
Elnevezése: | Cseh Brigitta |
székhelye: | D 21435 Stelle, Fliegenberg 102. |
adószáma: | 50/108/00345 |
e-mail. cím: | brigitta.cseh@harddograce.de |
mobil: | +49 151 21 353717 |
Könyvelőként: | |
Elnevezése: | AN-TOR Kft. |
székhelye: | 1173 Budapest 517. utca 1. |
adószáma: | 12081770-2-42 |
e-mail. cím: | antor@antor.hu |
mobil: | +36 30 824 49 66 |
Honlap üzemeltetőként: | |
Elnevezése: | Hard Dog Race Kft. |
székhelye: | 1036 Budapest, Lajos utca 78 |
adószáma: | 25820922-2-41 |
e-mail. cím: | info@harddograce.hu |
Bizonylattároló: | |
Elnevezése: | Szamlazz.hu – KBOSS.hu Kft. |
székhelye: | 1031 Budapest Záhony u. 7. |
adószáma: | 13421739-2-41 |
e-mail. cím: | info@szamlazz.hu |
Adattároló: | |
Elnevezése: | Google LLC (úgyis, mint Alphabet Inc) |
székhelye: | 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA |
Hírlevélküldő: | |
Elnevezése: | The Rocket Science Group, LLC |
székhelye: | 675 Ponce de Leon Ave NE (Mailchimp)
Suite 5000 |
További Adatfeldolgozó: | |
Elnevezése: | Bohata Krisztina e.v. |
székhelye: | 1126 Budapest, Böszörményi út 9-11. |
Adószám: | 57782535-1-43 |
Telefonszám: | +36 203625993 |
Időmérőként: | |
Elnevezése: | EvoChip Hungary Sportszolgáltató Kft. |
székhelye: | 3232 Gyöngyös-Mátrafüred, Hegyalja u. 24/a |
Adószám: | 13130327-2-10 |
Telefonszám: | +36 20 283 52 66 |
5. adatmegsemmisítés:az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
6. adattörlés:az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
7. adattovábbítás:ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
Jelen szabályzat alapján az Adatkezelő adattovábbítást végez az alábbiak szerint:
a) Saját munkavállalók adattovábbítása, bérszámfejtés céljából. Az adattovábbítás kiterjed valamennyi munkaügyi adatra, beleértve a munkavállaló bankszámlaszámát is.
b) Természetes személyek, mint vásárlók adatainak továbbítása a NAV felé, törvényi kötelezettség teljesítése céljából, a vásárlást követő hónapban.
8. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
9. GDPR: az Európai Parlament és a Tanács (EU) 2016/679 (2016. április 27.) számú általános adatvédelmi rendelete;
10. hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
11. Info tv.: az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv.;
12. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
13. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
5. A szabályzat hatálya
5.1 Időbeli hatály Jelen szabályzat 2019. április 1. napjától visszavonásig hatályos.
5.2 Személyi hatály
Jelen szabályzat hatálya kiterjed az Adatkezelőre az adatkezelő Munkavállalóira és Partnereire; valamint minden további természetes személyre, akinek adatait e szabályzat hatálya alá tartozó adatkezelések érintik.
5.3 Tárgyi hatály
Jelen szabályzat hatálya kiterjed az Adatkezelő bármely szervezeti egységében folytatott, személyes adatokat érintő adatkezelésre, függetlenül attól, hogy az elektronikusan és/vagy papíralapon történik.
6. Tájékoztatás az adatkezelésről
Az adatkezelő kötelessége tájékoztatni az érintetteket személyes adataik kezeléséről.
Jelen szabályzat elválaszthatatlan részét képezik a mellékletekben található adatvédelmi tájékoztatók. A tájékoztatók részletesen tartalmazzák az egyes adatkezelésekre vonatkozó fontos információkat, így az adatkezelési tevékenység és a folyamat leírását, az érintettek megnevezését, a kezelt adatok körét, az adatok megőrzésének előre látható időtartamát, az adatkezelések jogalapját és céljait. A tájékoztatók tartalmazzák az adatok biztonsága érdekében alkalmazott szabályokat, az érintettek jogait és jogérvényesítési lehetőségeit.
Jelen adatkezelési szabályzat kizárólag ezekkel az információkkal együtt érvényes.
7. Az adatkezelés alapvető elvei
A személyes adatok:
- kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
- gyűjtésé csak meghatározott, egyértelmű és jogszerű célból történhet („célhoz kötöttség”);
- az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
- tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
- kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). Az adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
Kezelt adatok köre:
Az Adatkezelő az Alábbi nyilvántartási rendszerekben folytat adatkezelést:
- munkaügyi nyilvántartás
- versenyzőkről önkéntesen átadott és a verseny során gyűjtött adatok
- szerződéses és más partnerekről kezelt adatok
- alkalmi jellegű adatkezelés
8. Felelősségek
Az Adatkezelő az adatkezelési tevekénységeiről nyilvántartást készített, mely adatcélonként tartalmazza az adatkezelési tevékenységeket és a hozzájuk kapcsolódó információkat (az adatkezelési tevékenység megnevezését és célját, az érintetteket, adat forrását, adatfajtákat, adatkezelés alapját (pl. hozzájárulás, szervezet jogos érdeke, jogszabály), a tárolási időt, a tárolás módját, az adattovábbítás címzettjeit (ha vannak)). Valamennyi adatkezelési tevékenység esetén meghatároztunk felelőst, aki érdemi döntéseket tud hozni az adatkezeléssel kapcsolatosan. A tevékenységünk során végrehajtandó adatkezelési tevékenységeket (pl. érintettek tájékoztatása, hozzájárulás megszerzése) beépítettük folyamatainkba. Az Adatkezelő szervezetén belül a kezelt személyes adatokat – a feladat elvégzéséhez szükséges mértékben és ideig – csak az üggyel érintett szervezeti egység munkavállalói ismerhetik meg és használhatják fel, feltéve, hogy a személyes adatok megismerése nélkül az ügyben érdemben eljárni nem lehet. A Hard Dog Race Kft. felelős azért, hogy minden adatkezelést végző munkavállalója megismerje jelen szabályzat rendelkezéseit. A szabályzat rendelkezéseinek betartását rendszeresen ellenőrizni kell.
9. Érintett jogainak biztosítása
Az érintettek az adatvédelmi tájékoztatókban meghatározott csatornákon keresztül jelezve élhetnek jogaikkal. A megkereséseket az adatvédelemmel foglalkozó munkatárs fogadja. A kérés teljesítésébe bevonja az adatkezelésben érintett felelősöket.
Az érintettek, az Adatkezelő és Adatfeldolgozó személyéről, a kezelt adatok köréről, céljáról, az őket megillető jogokról és azok érvényesítési lehetőségeiről az Adatkezelő által kiadott Adatkezelési Tájékoztatóból kapnak tájékoztatást.
a) hozzáférési jog~ az adatkezelés folyamatában az Érintett jogosult hozzáférni a róla tárolt adatokhoz, és tájékoztatást kapni a róla kezelt, illetve feldolgozott adatok céljáról, jogalapjáról, tárolásáról és tárolás időtartamáról. A tájékoztatási jog kiterjed a személyes adatok helyesbítésére, törlésére, kezelés korlátozására, illetve a felügyeleti hatósághoz címzett panasz benyújtásának lehetőségéről való tájékoztatásra. Az Adatkezelő az érintett jogai gyakorlására irányuló kérelmem teljesítését nem tagadja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.
b) helyesbítéshez való jog~ az Érintett jogosult kérni az Adatkezelőt, hogy a rá vonatkozó pontatlan, vagy hiányos adatokat kiegészítő nyilatkozat alapján helyesbítse.
c) törléshez (elfeledtetéshez) való jog ~ az Érintett kérelmére vonatkozó Adatkezelő általi adattörlést jelenti, ez azonban nem hárít automatikus kötelezettséget az Adatkezelőre. Az Adatkezelő köteles törölni az érintettre vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok a további adatkezelésre;
- a személyes adatot jogellenesen kezelték;
- az Adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítéséhez törölni kell.
Az Adatkezelő által kezelt személyes adatokat az adatkezelés jogalapjának megszűnését, ideértve a hozzájáruláson való adatkezelés esetén a hozzájárulás visszavonását is követő rövid időn belül törölni kell.
d) adatok zárolásához való jog~ Törlés helyett az Adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit.
Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az adatkezelési cél, amely a személyes adat törlését kizárta.
e) korlátozáshoz való jog~ ha felmerül az Érintettről kezelt személyes adatok pontatlansága, jogellenessége, szükségtelensége, vagy az Érintettnek az adatkezelésre vonatkozó tiltakozása, az Érintett kérheti, hogy az Adatkezelő korlátozza ezen adatok vonatkozásában az adatkezelést.
f) adathordozhatósághoz való jog~ az Érintett azon jogát takarja, hogy jogosult, géppel olvasható (pdf, doc, excel, txt) formában megkapni az általa rendelkezésre bocsátott adatokat, annak érdekében, hogy egy másik adatkezelő rendelkezésére bocsássa.
g) tiltakozáshoz való jog~ az Érintettre vonatkozó adatkezelés az Adatkezelő vagy egy harmadik fél érdekének érvényesítéséhez szükséges, ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint törvényben meghatározott egyéb esetben úgy az érintett bármikor tiltakozhat az ilyen célból kezelt személyes adatainak kezelése ellen.
Az Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül
- megvizsgálja,
- annak megalapozottsága kérdésében döntést hoz, és
- döntéséről a kérelmezőt írásban tájékoztatja.
10. Adattovábbítás
Személyes adat harmadik személyeknek csak az érintett előzetes írásbeli hozzájárulása esetén adható át. Az adatfeldolgozók személyéről az Adatkezelő a 4. fejezet 4. pontjában tájékoztatja az Érintetteket. Törvény alapján kötelező adattovábbítások (lsd: 4. fejezet 7/b. pont ).
Az Adatkezelő a harmadik személyek részére történő, adattovábbításra vonatkozó jogviszony létrejöttekor messzemenőkig elvárja szerződéses adatfeldolgozó partnereitől, hogy a személyes adatok feldolgozása során maximálisan, – de legalább a jelen Szabályzat által garantált mértékig – betartsák az Infotv., a GDPR, valamint a mindenkor hatályos adatvédelmi jogszabályok rendelkezéseit. Az Adatkezelő minden olyan esetben az érintettek külön hozzájárulását kéri, amennyiben az adattovábbítás EGT-n kívüli országba irányul. Mind a tájékoztatásnak, mind a hozzájáruló nyilatkozatnak ki kell terjednie az adatfeldolgozó személyének pontos megjelölésére (név és cím vagy cégnév és székhely), a továbbított adatok körére, az adatok tárolásának és feldolgozásának pontos fizikai helyére.
Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintetti kört tájékoztatása céljából a jelentősebb adatállományt érintő, nagyobb kockázattal járó adattovábbításról nyilvántartást vezet, amely tartalmazza a kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
11. Adatbiztonság
Az adatok védelmét, biztonságát Adatkezelő a működése során úgy biztosítja, hogy papír alapon tárolt személyes adatokat zárt szekrényben tárolja, azokhoz kizárólag azok a munkatársai férhetnek hozzá, akik munkájuk során azzal dolgoznak.
Az elektronikusan tárolt adatok titkosítva kerülnek tárolásra. Adatkezelő a titkosítást valamennyi eszközén alkalmazza, ahol személyes adatokat tárol. Továbbított személyes adatok esetén valamennyi adatot legalább 8 karakteres, kis- nagybetűt, számot és legalább 1 speciális karaktert tartalmazó jelszóval véd. Emellett meggyőződik a címzettről, és a jelszót külön csatornán továbbítja.
12. Munkavállalók adatainak kezelése és menete
Az adatkezelő a vele szerződésben álló munkavállalókról munkaügyi nyilvántartást vezet, melyet törvényi kötelezettség ír elő, továbbá a munkavállaló adatszolgáltatása révén szerződéses kötelezettségét teljesíti. A munkavégzés céljából a munkaszerződés nyomtatott és aláírt példányát a Munkaadói jogokat gyakorló ügyvezető(k) zárható, mások számára nem hozzáférhető helyen kell őrizni. Elektronikus másolat nem készül a munkavállaló személyes adatairól, sem a munkaszerződésről. A munkaszerződés melléklete a munkavállaló adatkezeléshez hozzájáruló nyilatkozata (6. sz. Melléklet), melynek aláírása a munkavégzés feltétele.
Munkaadó kötelezheti a munkavállalót, hogy a munkájáról munkaidő nyilvántartást végezzen, melyet az adatkezelő, vagy a munkavállaló továbbít a 4. 4 szerinti adatfeldolgozónak. Az adatok továbbítása olyan formában kell, hogy történjen, hogy azt illetéktelen ne tudja olvasni (tömörített és vagy titkosított fájlként, vagy olyan borítékban, melynek ellenőrizhető a címzett általi átvételkor annak sértetlensége). Adatfeldolgozó a szükséges adatfeldolgozás (bérszámfejtés) után személyes adatokat nem jogosult tárolni, a tárolásra szánt adatokat az adatkezelőhöz kell eljuttatnia úgy, hogy annak megérkezése előtt illetéktelen annak tartalmát elolvasni (tömörített, és vagy titkosított fájlként, vagy olyan borítékban, melynek ellenőrizhető a címzett általi átvételkor annak sértetlensége) ne tudja, illetve tartalmát módosítani ne tudja. Az adatok ilyen formában történő továbbítása az adatfeldolgozó felelőssége.
Bármely postai úton történő személyes adatot tartalmazó irat sértetlen kézbesítése a feladó felelőssége.
Adatkezelő a munkaügyi adatokat – és a kapcsolódó dokumentumokat, mint bérszámfejtés – a törvény által elvárt ideig megőrzi, ezt követően megsemmisíti. Minden olyan személyes adatot, melyet munkavállaló adott át (például, de nem kizárólag a bankszámlaszámot), adatkezelő a munkavállaló kilépését követő 6 hónapig megőrzi, ezt követően a következő éves felülvizsgálat során törli elektronikus rendszereiből. Ilyen jellegű személyes adatot tárolni kizárólag törvényi kötelezettség esetén tárol, például bankszámla kivonatokban.
Adatkezelő elektronikusan személyes adatokkal kitöltött munkaszerződést nem tárol. Valamennyi munkaszerződést eredeti példányban zárt szekrényben tárolja, azokhoz csak a munkaadói jogokkal rendelkező ügyvezető férhet hozzá. A munkaszerződéseket Adatkezelő 10 évig tárolja törvényi kötelezettségeinek teljesítése miatt.
Az Adatkezelő a munkavállalóira vonatkozó adatkezelési szabályokat az 1. sz. Mellékletben rögzíti.
Adatkezelő a munkavégzéshez eseti vagy kizárólagos használatú gépjárművet biztosíthat. Adatkezelő a használatot a Gépjármű használati szabályzatában rögzíti.
Az Adatkezelő működéséből eredően adódnak olyan pozíciók, melyekre új munkatársak toborzása szükséges. Ilyen esetben Adatkezelő a jelentkezőktől önéletrajz formájában személyes adatokhoz jut. Ezen személyes adatokhoz a pozíció betöltése céljából, az üzletmenet fenntartása érdekében jogos érdekből van szüksége. Adatkezelő nem kér különleges személyes adatokat, kizárólag olyan adatokat kér az önéletrajzban, amelyek a jelöltek szakmai hátterét, hozzáértését, tapasztalatát hivatottak bemutatni, továbbá elérhetőséget, hogy megfelelő jelölt esetén a jelölttel kapcsolatba tudjon lépni.
Adatkezelő, amennyiben az önéletrajzban különleges adatot talál, azt haladéktalanul törli. Az önéletrajzokat a pozíció megnyitását követően 1 évig megőrzi saját szerverén annak érdekében, hogyha a korábban ugyanarra a pozícióra felvett jelölt mégsem válna be szakmailag, akkor tudja biztosítani a megfelelő jelölteket. Ez az Adatkezelő jogos érdeke. Ennek elteltét követően Adatatkezelő az önéletrajzokat és csatolt dokumentumokat törli. Az önéletrajzokhoz kizárólag azok a munkatársak férnek hozzá, akik a kiválasztással, toborzással kapcsolatban vannak, és munkájukhoz elengedhetetlen.
13. Zárt láncú rendszer, és ahhoz történő hozzáférés
Adatkezelő a telephelyén zárt láncú kamerarendszert nem üzemeltet.
14. IT és telekommunikációs eszközökön tárolt személyes adatok és az azokhoz való hozzáférés, weblap
14.1 Az adattárolás általános módja
Adatkezelő saját telephelyén üzemelteti az(oka)t a szerver(eke)t, illetve adattároló egysége(ke)t, melyen személyes adatokat tárol. Ez az adatkezelés az Adatkezelő jogos érdeke, és bizonyos esetben törvényi kötelezettsége.
A szerveren illetve felhőszolgáltatásokbank tárolt személyes adatok körét, a tárolt adatok kezelésének jogalapját a 8. sz. melléket tartalmazza.
A szerveren illetve felhőszolgáltatásokbank tárolt személyes adatokhoz kizárólag olyan munkavállalók és alvállalkozók férnek hozzá, akiknek munkaköréhez vagy szerződésük teljesítéséhez tartozik az azokkal való munkavégzés. Ezeket a hozzáféréseket az Adatkezelő ügyvezetője osztja ki, illetve vonja vissza.
Az Adatkezelő IT rendszereit az Adatkezelő erre szerződtetett alvállalkozójának, mint (4.4) jogosult munkatársai felügyelik távfelügyeleti rendszeren keresztül, illetve személyesen. Az alvállalkozó azonban sem adatkezelőként, sem pedig adatfeldolgozóként nem jogosult személyes adatokhoz hozzáférni.
Az Adatkezelő a szerver adattartalmát titkosítással védi, hogy illetéktelenek annak tartalmához ne férjenek hozzá. A fizikai mentés minden esetben titkosított tárolón történik. Az Adatkezelő gondoskodik arról, hogy a valamennyi felhasználó a hozzáférési jelszavát 90 naponta változtassa meg.
Adatkezelő e-mailben személyes adatokat kizárólag a fogadó/címzett megfelelő azonosítása után jogosult küldeni. Annak érdekében, hogy az e-mailben kapott és küldött személyes adatokhoz illetéktelen ne férhessen hozzá, Adatkezelő gondoskodik arról, hogy valamennyi felhasználó 90 naponta változtassa meg e-mail hozzáférési jelszavát. Nagyobb mennyiségű személyes adat (bérszámfejtőlapok, vagy munkavállalói adatok) kizárólag titkosítottan és/vagy jelszóval védve küldhetők. A jelszóvédelem érdekében legalább 8 karakteres jelszót kell használni, amely tartalmaz kis- és nagybetűt, számot és legalább 1 speciális karaktert. A jelszót minden esetben külön csatornán kell továbbítani a címzettnek.
14.1.1 A tárolt adatok titkosítása
Az Adatkezelő által biztosított valamennyi számítógépen titkosított tárhelyen kerülnek tárolásra az adatok amellett, hogy a munkaállomásokon (laptop, vagy asztali számítógép) személyes adatok nem kerülnek tárolásra. A belső hálózathoz kapcsolódó eszközök MAC cím hozzárendeléssel kapcsolódhatnak a hálózatra.
14.2 Biztonsági mentések
Az Adatkezelő a szerveren tárolt adatokról rendszeresen mentést készít annak érdekében, hogy az üzletmenetét és az adatok biztonságát garantálni tudja. Ez az adatkezelő jogos érdeke. Ezeket a mentéseket a telephelyén, elzártan tárolja, melyhez az ügyvezető(k) illetve a Clicktech Bt. erre jogosult munkatársai férhetnek hozzá. Ezen hozzáféréseket Adatkezelő naplózza, melyben köteles feltüntetni a hozzáférés idejét, okát, és a hozzáférő nevét, a jelen levőket, illetve a hozzáférés végét.
A szerverhez történő hozzáféréseket Adatkezelő naplózza, ezáltal garantálható, hogy az illetéktelen hozzáférések azonosíthatóak. A szerver az Adatkezelő székhelyén zárt, riasztóval védett szobában van. A szerver szobáját az Adatkezelő erre kijelölt ügyvezetője kell, hogy nyissa vagy zárja, a szerverszoba ajtajának kulcsát elzárt helyen szükséges tárolni.
14.3 Használt szoftverek és rendszerek
Az Adatkezelő az Google rendszerén keresztül végzi többek között a versenyzők adatainak tárolását, az üzletmenetének folytonosságát, és a számviteli vevők adatait is ezen rendszerben tárolja. Az adatkezelő ügyvezetője felelős azért, hogy a hozzáféréseket kiadja visszavonja.
A mobiltelefonokra, és hordozható kommunikációs eszközökre vonatkozóan az Adatkezelő Mobil és vezetékes telefon használati szabályzata ad iránymutatást.
Az Adatkezelő széles körűen használ a működéséhez elengedhetetlenül szükséges alkalmazásokat, programokat, szoftvereket, melyekben személyes adatok tárolása történik, ezek listája a 9. sz. mellékletben érhetőek el. Adatkezelő bizonyos munkakörök esetén a hordozható eszközökön (mobiltelefonok, tabletek) biztosítja az informatikai rendszerekhez történő hozzáférést. Ezen keresztül az adatok biztonságát úgy biztosítja, hogy valamennyi eszközt biztonságos jelkód védi és a szoftverek használatához külön jelszó beírása szükséges.
Az adatkezelő a törvényi megfelelés biztosítása érdekében külső elektronikus dokumentumtárolást végez. Ilyenek például a számlák, szerződések, egyéb pénzügyi és számviteli bizonylatok. A dokumentumok biztonságáért saját maga felel. Az elektronikusan tárolt dokumentumokhoz kizárólag az Adatkezelő erre feljogosított munkakörük ellátásáért felelős munkavállalói férhetnek hozzá. Az adatok biztonságáért és illetéktelenektől való védelme az Adatkezelő feleleőssége. Az Adatkezelő nem vállal felelősséget az adattároló hibájából történő adatvesztésekért, adatlopásokért.
14.4 Vezetékes és vezeték nélküli munkahelyi hálózat
Adatkezelő a székhelyén vezetékes és vezeték nélküli hozzáférést is biztosít. A vezetékes hálózathoz kizárólag az erre feljogosított munkaállomások férnek hozzá. A vezeték nélküli hálózatnál WPA2 titkosítással ellátott hálózatot üzemeltet, melyhez az ügyvezető(k) adhat(nak) hozzáférést az arra jogosultaknak. A munkahelyi hálózathoz kizárólag munkavégzés céljából történhet hozzáférés.
14.5 Wifi hálózat
Az Adatkezelő a székhelyén vezeték nélküli, úgynevezett vendég hálózatot (vendég WiFi) is üzemeltet annak érdekében, hogy a hozzá érkező vendégek internet elérését biztosítsa. A vendég hálózatról a szerverhez nem lehet közvetlenül hozzáférni. A vendég hálózatot a felhasználók szabadon használhatják. A vendég hálózat használatával a használók hozzájárulnak a vendég WiFi használati szabályzathoz, melyet Adatkezelő köteles kihelyezni a telephelyén. A vendég WiFi használati szabályzat jelen adatkezelési szabályzat 10. pontja.
14.6 Honlap
Adatkezelő tulajdonát képezi a www.harddograce.hu honlap. Adatkezelő a honlapján cookie-kat használ, melyek a felhasználói élményt, illetve statisztikai adatokat rögzítenek. Adatkezelő a honlapján továbbá webshopot is üzemeltet. Az Adatkezelő Cookie és webshop szabályzata a 12. sz. mellékletben található, amely elérhető a honlapon is. Adatkezelő lehetőséget biztosít, hogy a honlapot látogatók a cookie-kat elfogadják vagy elutasítják.
A honlap üzemeltetését a Rendszergazda (4.4) végzi. Az Adatkezelő felel a honlap biztonságáért.
A honlapon a versenyzők regisztrálhatnak, és személyes adataikat önként megadhatják. Erre a felületre regisztrálni kizárólag akkor lehet, ha a regisztráló hozzájárul az adatkezelési szabályzathoz. A regisztráció önkéntes. Az adatokért, azok valódiságáért a regisztráló köteles felelősséget vállalni. Az adatokat a regisztráló saját belátása szerint tudja módosítani, illetve fiókját törölni. Adatkezelő felhívja a regisztrálni akaró felhasználók figyelmét, ha nem járulnak hozzá Adatkezelési szabályzat elfogadásához, akkor ne regisztráljanak a honlapon.
14.7 Hálózatra kapcsolat eszközök ellenőrzése
Adatkezelő a hálózatra kapcsolt eszközeit rendszeresen ellenőrizi annak érdekében, hogy azok megfeleljenek jelen szabályzatban foglaltaknak. Az ellenőrzésbe bevonja a Rendszergazdát, hogy rendszeresen végezzen a szoftvereken frissítéseket.
Minden további, IT rendszerekkel kapcsolatos szabályozást Adatkezelő az IT szabályzatában rögzít.
15. Beléptető rendszer
Az Adatkezelő székhelyén beléptetőrendszert nem használ.
16. Fotók és videófelvételek kezelése
Adatkezelő a versenyeken marketing, promóciós célból készít fénykép- és videó felvételeket. Ezeket a felvételeket marketing és PR célból felhasználja honlapján, e-mailben, nyomtatottan, vagy közösségi média felületein, különösen a youtube.com oldalon.
Az Adatkezelő rendezvényein is történik fénykép- vagy videó felvétel készítés, melyhez a résztvevők a 11. sz. melléklet szerinti hozzájárulás kitöltését követően vehetnek részt.
Adatkezelő ezeket a felvételeket alapvetően nevek tárolása nélkül tárolja a szerverén, amelyhez kizárólag az arra jogosult kollégák férhetnek hozzá munkavégzés céljából.
Adatkezelő fenntartja valamennyi szerzői jogot a telephelyén, illetve a rendezvényein készült fényképekre. Azok publikálására kizárólag írásos hozzájárulás esetén kerülhet sor.
Adatkezelő fenntartja a jogot továbbá, hogy készült felvételeket adatfeldolgozás céljából továbbítsa harmadik személynek. Ilyen esetben Adatkezelő megfelelő gondossággal jár el, hogy az adatfeldolgozó ezeket a felvételeket legalább jelen adatkezelési szabályzatnak megfelelő gondossággal dolgozza fel és járjon el.
Adatkezelő a sajtónyilvános versenyeket rendez. A versenyző a 11. sz. melléklet szerint hozzájárulnak ahhoz, hogy a versenyen róluk olyan felvételek is készülhetnek, amelyek széles nyilvánosság előtt többször is levetíthetők. A sajtó által készített felvételekkel kapcsolatban Adatkezelő kizárja mindennemű felelősségét.
17. Incidensek kezelése
17.1 Az adatvédelmi incidens fogalma
Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
17.2 Eljárás adatvédelmi incidens esetén
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. Ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a személyazonossággal való visszaélés, a pénzügyi veszteség, a jó hírnév sérelme stb.
17.2.1 Bejelentés
Az adatkezelő feladata, hogy amint tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül bejelentése a NAIH felé. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
A bejelentésben legalább
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Amennyiben az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, a bejelentéstől el lehet tekinteni.
17.2.2 Értesítés
Abban az esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő az érintetteket is indokolatlan késedelem nélkül tájékoztatja, annak érdekében, hogy megtehessék a szükséges óvintézkedéseket. Az érintettnek nyújtott tájékoztatás közérthető formában kell, hogy tartalmazza a NAIH felé teljesítendő bejelentésre vonatkozóan a 17.2.1 pontban leírt információkat.
Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást.
Az érintetteket a 4. sz. mellékletben található minta felhasználásával kell tájékoztatni. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
17.2.3 Felelősségek
Az adatkezelő bármely munkatársa, aki adatvédelmi incidenst észlel, köteles arról haladéktalanul értesíteni az adatvédelmi munkatársat.
Az adatvédelmi munkatárs gondoskodik a 17.2.1 pontban meghatározott feladatok végrehajtásáról, valamint nyilvántartásba veszi az incidenst (5. sz. melléklet).
Az adatvédelmi munkatárs ezek mellett haladéktalanul intézkedik, hogy adatkezelő érintett munkatársai megtegyenek minden lehetséges lépést, amivel az érintett személyes adatok biztonságának és jogszerű kezelésének visszaállítása garantálható.
18. Adatkezelési szabályzat alkalmazása, felülvizsgálata, és érvényessége
Adatkezelő adatkezelési szabályzatát elérhetővé teszi telephelyén magyar nyelven. Az adatkezelési szabályzat az Adatkezelő ügyvezetőjének aláírásának napján kerül kiadásra. Az Adatkezelési Szabályzat hatálya kiterjed valamennyi munkavállalóra és partnerre. Adatkezelő szerződéseit ennek megfelelően felülvizsgálja, és az érintetteket tájékoztatja annak alkalmazásáról.
Adatkezelő jelen Adatkezelési Szabályzatból kivonatokat készíthet, melyeket az érintettek rendelkezésére bocsájt.
Adatkezelő fenntartja a jogot jelen Adatkezelési Szabályzat előzetes bejelentés nélküli megváltoztatására.
Adatkezelő az Adatkezelési szabályzatának tartalmát valamennyi munkavállalója részére kötelezően alkalmazandóvá teszi és gondoskodik arról, hogy a munkavállalók megismerjék az ebben foglaltakat és mindent megtesz annak érdekében, hogy alkalmazzák is ezt.
Jelen Adatkezelési szabályzatot az ügyvezetők legalább évente egyszer felülvizsgálják, szükség esetén módosítják, és újra kiadják. Az Adatkezelő ügyvezetője köteles megőrizni a törvény által előírt ideig valamennyi kiadott Adatkezelési Szabályzatot.
Budapest, 2023. január 1.
Púza András
ügyvezető