Adatkezelési szabályzat (GDPR)

A

„BESSO” Zrt.

 Adatkezelési Szabályzata

 2018.


 

ADATKEZELÉSI IRÁNYELVEK

 

I. BEVEZETÉS

A „BESSO” Kereskedelmi és Szolgáltató Zártkörűen Működő Részvénytársaság (7734 Pécs, Pellérdi út 72., Cg.: 02-10-060170), mint alkalmazott munkavállalóival szemben a munkáltató, és mint ügyfeleivel szemben haszongépjármű kereskedés, gépjárműszerviz- és műszaki vizsgálóállomás - a továbbiakban együttesen úgy is, mint adatkezelő - magára nézve kötelezőnek ismeri el a jelen szabályzatban rögzített irányelveket. Jelen szabályzatban foglal helyet adatkezelő tevékenységével összefüggő valamennyi alkalmazott irányelv, továbbá jelen szabályzat segítséget kíván nyújtani az adatkezeléssel érintett személyeknek az őket az adataik kezelése alapján megillető jogok megismeréséhez, megértéséhez és iránymutatást adni e jogaik érvényesítéséhez. Amennyiben Önnek, mint adatkezeléssel érintettnek a jelen szabályzatban foglaltak értelmezése, egyértelműsítése körében kérdése merülne fel, adatkezelőhöz a besso@dravanet.hu címre írt levél útján elektronikusan, illetőleg adatkezelő székhelyére címzett postai küldemény útján, közvetlenül is fordulhat.

Adatkezelő fenntartja a jogot jelen tájékoztató megváltoztatására, azzal, hogy a tartalmat érintő érdemi változásokról az érintetteteket ésszerű időn belül értesíti.

Adatkezelő elkötelezett a munkavállalói és ügyfelei személyes adatainak védelme érdekében, e körben kiemelten fontos kérdésként kezeli az érintettek személyhez fűződő jogainak, különösen információs önrendelkezési jogainak tiszteletben tartását. Adatkezelő a tevékenysége során birtokába jutott valamennyi személyes adatot bizalmasan kezel és megtesz minden olyan biztonsági, technikai és szervezési óvintézkedést, mely az adatok biztonságát garantálja és jelen szabályzatban rögzített alapelvek érvényesülését biztosítja.

Adatkezelő adatkezelési alapelvei és jelen szabályzat rendelkezései összhangban vannak az adatvédelemmel kapcsolatos hatályos magyar- és uniós jogi normákkal, így különösen az alábbiakkal:

- Az Európai Parlament és Tanács (EU) 2016/679. számú Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban úgy is, mint: GDPR);

- 2013. évi V. törvény – a Polgári Törvénykönyvről (a továbbiakban úgy is, mint: Ptk.);

- 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban úgy is, mint: Infotv.).

Adatkezelő a jelen szabályzat kialakítása és alkalmazása során a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (továbbiakban úgy is, mint: NAIH) az előzetes tájékoztatás adatvédelmi követelményeiről szóló ajánlásban foglalt megállapítások, valamint a GDPR 5. cikkének figyelembevételével, különösen az 5. cikk (2) bekezdésében szereplő elszámoltathatóság elvének szellemében jár el.

Adatkezelő jelen tájékoztatót és szabályzatot naprakészen tartja, e körben figyelemmel van a magyar- és uniós jogalkotás változó produktumaira, továbbá a jogi környezetnek megfelelés érdekében és az adatkezelés során figyelemmel kíséri a hazai és uniós jogalkalmazás alakulását, valamint a 95/46/EK irányelv 29. cikke szerint felállított, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport és a GDPR által létrehozott Európai Adatvédelmi Testület végrehajtással kapcsolatos, nyilvánosságra hozott iránymutatásait is.

 

II.    FOGALMAK

- érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

- személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

- az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

- tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

- adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

- adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

- adatvédelmi incidens: a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

- adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

- adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

- adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

- adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

- adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

- adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

- harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

- harmadik ország: minden olyan állam, amely nem EGT-állam;

- nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált, funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

 

III. AZ ADATKEZELÉS CÉLJA, ALAPELVEK

3.1. Alapvetés

A személyes adatok kezelése körében adatkezelő főszabályként az érintett adatait olyan, szerződéses viszony keretében kezeli, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, és/vagy az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.  Mindezeken túl kivételesen:

- az érintett személyes hozzájárulása alapján, mely alapján az érintett kifejezett hozzájárulását adta személyes adatainak egy, vagy több konkrétan meghatározott és vele előzetesen ismertetett célból történő kezeléséhez;

- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

Fentiektől eltérő célú adatkezelést adatkezelő nem végez.

Adatkezelő kizárja a felelősségét mindazon esetben, amely során az érintett nem a saját személyes adatait adja meg, ezen esetben az adatközlő felel az érintett hozzájárulásának beszerzése iránt.

 

 

3.2. Jogszerűség, tisztességes eljárás és átláthatóság

Adatkezelő a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi.

3.3. Célhoz kötöttség

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és adatkezelő azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon. Nem minősül azonban az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

3.4. Adattakarékosság

Adatkezelő az adatkezelést annak teljes időtartama alatt az adatkezelési célnak megfelelően és releváns módon, valamint kizárólag a szükséges mértékben végzi.

3.5. Pontosság

Adatkezelő minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelési célhoz mérten pontatlan és szükségtelen személyes adatokat haladéktalanul törölje, vagy helyesbítse.

3.6. Korlátozott átláthatóság

Adatkezelő a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor - a GDPR-ban az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

3.7. Integritás és bizalmi jelleg

Adatkezelő a személyes adatok kezelése körében a megfelelő technikai- és szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

3.8. Elszámoltathatóság

Az adatkezelési elveknek való megfelelésért Adatkezelő felel. E körben adatkezelő elszámoltatható, ezért az adatkezelés jogszerűségének és az adatkezelési elveknek való megfelelés igazolhatósága érdekében a szükséges technikai és szervezési intézkedéseket megteszi.

IV. A SZEMÉLYES ADATOK KÖRE, AZ EGYES ADATKEZELÉSEK CÉLJA ÉS IDŐTARTAMA

4.1.  A www.besso.hu és a www.bessoszerviz.hu honlapok látogatóinak adatai

Adatkezelő saját honlapokkal rendelkezik, melyek azonban adatgyűjtési célokat közvetve sem szolgálnak, az oldalak látogatói vonatkozásában semmilyen adatot nem gyűjt, és nem kezel.

4.2. Munkavállalói adatbázis

Az adatkezelés célja: a társaság munkavállalóinak azonosítása és egymástól való megkülönböztetése, a munkaszerződésben foglaltak teljesítése, a munkavállalók foglalkoztatása körében szükséges intézkedések megtétele, jogszabályi kötelezettségek teljesítése.

Az adatkezelés jogalapja: a GDPR 6. cikk (1) bekezdés b), d), f) pontjai szerinti, valamint c) pont szerinti jogszabályon alapuló adatkezelés, utóbbival összefüggésben a GDPR 6. cikk (3) bekezdés b) pontja alapján a munka törvénykönyvéről szóló 2012. évi I. törvény 10. §, 11. §, 45. §, 46. §, 51. §, 53. §, 58. §, 59. §, 61. §, 64. §, 65. §, 67. §, 68. § 69. § (3), 70. §, 71. §, 74. § (2), 75. - 79. §, 81. §, 82. §, 95. – 98. §, 103. – 134. §, 136. – 153. §, 166. – 176. §, 192. – 203. §, 285.- 289. §.

A kezelt adatok köre: vezeték- és keresztnév, születési év, lakcím (irányítószám, település, utca, házszám), adóazonosító jel, személyi azonosító okmányok száma, e-mail cím, telefonszám, foglalkoztatotti státusz, munkahelyi beosztás, döntéshozatali státusz, legmagasabb iskolai- és szakirányú végzettség, munkareferenciák, kitöltött- és ki nem töltött munkaidő, bérszámfejtéssel összefüggő adatok. Egészségügyi adatokat adatkezelő nem kezel, kivéve azon, előre nem látható esetet, ha orvosi okokkal igazolt távolmaradás esetén a távolmaradást igazoló kezelőorvos az egészségügyi okot az igazoláson feltünteti. Ebben az esetben a munkavállaló kartonjában, papír alapon kerül eltárolásra az általa benyújtott igazolás.

Az adatkezelés időtartama: a munkaszerződés létrejöttétől számítottan a munkaviszony megszűnését követő 5 évig.

A jelen pont szerinti adatkezeléssel érintett személyes adatok módosítására és törlésére az adatkezelés teljes időtartama alatt, díjmentesen lehetőség van, kivéve a jogszabályi kötelezettség teljesítéséhez és a munkaviszony fenntartásához, így a munkaszerződés teljesítéséhez szükséges adatcsoportok elemeit.

4.3. Adatkezelő szolgáltatásait igénybe vevők személyi adatbázisa, aranykártya szolgáltatás

Az adatkezelés célja: a szolgáltatást igénybe vevő személyek azonosítása és egymástól való megkülönböztetése a személyre szabott, további megkeresés (hírlevél), illetőleg szolgáltatás nyújtása körében egyéni ajánlat közlése érdekében, kapcsolatfelvétel, kedvezményes szolgáltatás biztosítása, valamint statisztikai célú ügyfélnyilvántartás. Jelen pontban részletezett adatkezelés profilalkotási célt közvetve sem szolgál.

Az adatkezelés jogalapja: az érintett hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont).

A kezelt adatok köre: vezeték- és keresztnév, cégnév, e-mail cím, telefonszám, tulajdonolt, illetőleg üzemben tartott, szolgáltatással érintett jármű típusa, rendszáma, gyártmánya, alvázszáma, motorkódja és a gépjármű utolsó műszaki vizsgájának időpontja.

Az adatkezelés időtartama: hozzájárulás visszavonásáig, melyre érintett terjedelmi- és időbeli korlátozás nélkül, bármikor jogosult, azzal, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

A jelen pontban rögzített adatkezeléssel érintett személyes adatok módosítására és törlésére a jelen szabályzatban rögzített kapcsolat-felvételi csatornákon megküldött kérelem útján bármikor, díjmentesen lehetőség van. Amennyiben azonban az érintett a jelen pont szerinti adatai részben, vagy egészben történő törlését kéri, úgy a továbbiakban nem kap értesítést a járműve műszaki vizsgájának lejárta előtt a lejárat tényéről, valamint az aranykártya szolgáltatásban a továbbiakban részt venni nem tud, kedvezmény igénybe vételére nem lesz jogosult.

4.4. Számlázással összefüggő adatkezelés

Az adatkezelés célja: a szolgáltatást igénybe vevő személyek, valamint beszállításra szerződött partnerek azonosítása és egymástól való megkülönböztetése, valamint teljesítések mennyiségi- és minőségi nyilvántartása, ellenőrzése, igazolása, szavatossági teljesítés és számlakibocsátás.

Az adatkezelés jogalapja: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (GDPR 6. cikk (1) bekezdés b.) pont), illetőleg az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont), utóbbi esetben az adatkezelés jogalapja a GDPR 6. cikk (3) bekezdés b) pontja alkalmazásában, valamint annak második fordulatában rögzített kötelezettség alapján a számvitelről szóló 2000. évi C. tv. 169. §-a.

A kezelt adatok köre: vezeték- és keresztnév, cégnév, adószám, adóazonosító jel, e-mail cím, telefonszám, tulajdonolt, illetőleg üzemben tartott, szolgáltatással érintett jármű típusa, rendszáma, gyártmánya, alvázszáma, motorkódja és a gépjármű utolsó műszaki vizsgájának időpontja, továbbá az igénybe vett szolgáltatás (ill. vásárolt termék) mennyiségi- és minőségi adatai, valamint a teljesítéssel összefüggő adatok.

Az adatkezelés időtartama: Az adatok megőrzése szerződési kötelezettség teljesítése körében kezelt adatok esetében az adott szerződés megszűnéséig, illetőleg a jótállási/szavatossági időtartam lejártáig, valamint jogszabályi kötelezettség teljesítése körében végzett adatkezelés esetében a számviteli bizonylat kiállításától számított 8 évig történik.

A jelen pontban rögzített adatkezeléssel érintett személyes adatok módosítására és törlésére a jelen szabályzatban rögzített kapcsolat-felvételi csatornákon megküldött kérelem útján bármikor, díjmentesen lehetőség van, kivéve azon adatok körét, amelyek kezelését adatkezelő jogszabályi kötelezettség teljesítése okán végzi. Amennyiben azonban a szerződésekkel összefüggő adatkezelés körében az érintett a jelen pont szerinti adatai részben, vagy egészben történő törlését kéri, úgy előfordulhat, hogy adatkezelőnek az érintett felé vállalt kötelezettségei teljesítése lehetetlenülnek, így a szerződés teljesítése részben-, vagy egészben lehetetlenné válhat.

4.5.  Levelezés

Amennyiben az érintett részéről kérdés, probléma, észrevétel merül fel, az a besso@dravanet.hu címen közölhető. Adatkezelő az ezen kategóriába tartozó leveleket a küldő által az űrlapon megadott adatokkal, a levél szövegével és valamennyi, esetlegesen az érintett által önként megadott, egyéb személyes adatával együtt, a levélre történt válaszadást, illetőleg a kérelemre induló ügy elintézését követően késedelem nélkül, de legkésőbb 30 napon belül törli, azzal, hogy ezen adatok a levélben foglaltak értelmezésén, elintézésén és a válaszadás teljesítésén kívül egyéb célra nem kerülnek felhasználásra.

Amennyiben az érintett az adatkezelő képviselőjéhez intéz elektronikus levelet, mely nem áll összefüggésben semmilyen, jelen szabályzat által érintett tevékenységgel, az a GDPR (18) bekezdése alapján személyes levelezésnek minősül – melyre a rendelet – és jelen szabályzat - hatálya nem terjed ki.

 4.6.  Biztonsági kamerák

Az adatkezelés célja: a társaság telephelyének vagyonvédelme. Adatkezelő a telephelyén (7634 Pécs, Pellérdi út 72.) összesen hat kamerát üzemeltet, melyből öt az épületen kívüli telephelyrészeket teljes mértékben lefedi, míg egy az épületben, annak tetején került elhelyezésre.

Az adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés d.) és f.) pontjai, továbbá e körben a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII törvény 31. §-a.

A kezelt adatok köre: az érintettről, illetőleg az érintett vagyontárgyairól készült, rögzített képanyag.

Az adatkezelés időtartama: az adatok felhasználása hiányában a felvételek elkészültétől számított 3 munkanap.

Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más személyes adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot adatkezelő ne semmisítse meg, illetve ne törölje. Bíróság, ügyészség, nyomozó hatóság, előkészítő eljárást folytató szerv vagy más hatóság megkeresésére vagy adatkérésére a rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben megkeresésre vagy adatkérésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell.

A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot csak az a személy- és vagyonvédelmi tevékenységet végző személy jogosult megismerni, akinek ez a szerződésből fakadó kötelezettségei érvényesítéséhez szükséges, és a jogsértő cselekmény megelőzése vagy megszakítása érdekében mellőzhetetlen. A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint személyes adatot kezelő, vagy egyéb okból annak megismerésére jogosult személy- és vagyonvédelmi tevékenységet végző személy nevét, az adatok megismerésének okát és idejét jegyzőkönyvben kell rögzíteni.

A rögzített felvételt – annak további felhasználása hiányában - adatkezelő portaszolgálatát teljesítő személy jogosult megismerni.

4.7. Egyéb adatkezelések

Jelen szabályzat által nem érintett, esetleges egyéb adatkezelésekről a jelen szabályzatban rögzített alapelvek szerint, az egyéb adatkezeléssel érintett adat felvételét megelőzően tájékoztatja adatkezelő az érintettet. A tájékoztatás kiterjed valamennyi, jelen szabályzatban részletezett körülményre, így különösen, de nem kizárólagosan az adat jellegére, az adatkezelés céljára, az adatkezelés időtartamára, valamint az adatkezeléssel kapcsolatosan az érintett jogaira.

A bíróság, az ügyész, a nyomozó hatóság, szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek (pl. munkaügyi felügyeleti hatóság) tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett az adatkezelőt megkeresheti.

Adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához, illetőleg jogszabályi kötelezettség teljesítéséhez elengedhetetlenül szükséges.

V. AZ ADATTÁROLÁS, ADATHORDOZHATÓSÁG ÉS ADATKEZELÉSI BIZTONSÁG

Adatkezelő az érintettek adatait elektronikusan, adatkezelő saját üzemeltetése alatt álló informatikai hálózaton (vegyes, szerver-kliens és P2P típusú hálózaton), valamint a szükséges körben papír alapon, önálló kartotékrendszer alapján tárolja és kezeli.

Adatkezelő a PROGEN Kft. által készített, Nagy Machinátor megnevezésű elektronikus vállalatirányítási rendszert használja az adatok bevitele, rendszerezése, paraméterezése, valamint az adatokon történő módosítás és adattörlés körében. A vállalatirányítási rendszer modulrendszerű, annak felhasználása érinti a jelen szabályzat 4.2. és 4.4. pontjában részletezett adatkezeléssel érintett adatcsoportokat. A szoftver alapértelmezettként saját adatformátumot használ, mely külsős alkalmazással nem nyitható meg, azonban a felhasználó által meghatározott paraméterek szerint listázott adatokat – a GDPR 20. cikkében foglaltak alapján - tagolt, széles körben használt, géppel olvasható formátumban képes exportálni, így fent hivatkozott adatkezelési körökben az érintett adathordozhatóság iránti igénye kérelemre egyszerűen teljesíthető.

Egyéb, jelen pontban nem hivatkozott adatkezelési körökben érintett adatokat adatkezelő eredetben is széles körben használható formátumokban kezeli, az adatok hordozhatósága e körben is biztosított az érintett részére. Érintett az adathordozhatóság körében kérheti adatkezelőt, hogy – amennyiben az érintett kérése technikailag megvalósítható – az adatokat adatkezelő közvetlenül továbbítsa más adatkezelő felé.

Adatkezelő épületében több, egyedi célra létrehozott informatikai munkaállomás található, mely munkaállomások a társaság munkavállalóinak használatában állnak. Valamennyi munkaállomás védett a:

- külső illetéktelen hozzáféréstől (tűzfal, vírusvédelem) és a

- belső jogosulatlan hozzáféréstől (egyedi, képernyővédelemmel összekötött, jelszavas beléptetés).

A belső védelem körében valamennyi jelszavas fiókhoz az adott munkakör ellátásához szükséges adathozzáférési-jogosultsági szint van rendelve, a kötelező felhasználói bejelentkezés mellett azzal, hogy a felhasználónevek jellege a munkakörhöz kapcsolódik, azok nem tartalmaznak a munkakört ellátó személyekkel összefüggésbe hozható adatot.

Adatkezelő a jelszót semmilyen elektronikus, illetőleg papír alapú eszközön nem tárolja, sem kifejezetten, sem kriptográfiai úton, továbbá azt harmadik személyek részére – ideértve más, egyidejűleg alkalmazott munkavállalót is - semmilyen körülmények között nem adja ki.

Adatkezelő a személyes adatok kezelése körében - egyrészt az adatvédelmi elvek megvalósítása, másrészt a GDPR 32. cikkében foglalt adatbiztonsági követelmények teljesítése és az érintettek jogainak védelméhez szükséges garanciák biztosítása érdekében – alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:

- az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);

- hitelessége és hitelesítése biztosított (adatkezelés hitelessége);

- változatlansága igazolható (adatintegritás);

- a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.

Adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

E körben Adatkezelő biztonsági mentést készítő rendszert üzemeltet, mely biztonsági mentés kiterjed a rendszerállományokra, rendszerállományok által generált további adatokra, a levelezésre és az alkalmazott ügyviteli rendszer elemeire is.

Adatkezelő a különböző nyilvántartásaiban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

Adatkezelő a technika mindenkori fejlettségére tekintettel olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

Adatkezelő az adatkezelés során megőrzi:

a) a titkosságot: védi az információt, hogy csak az férhessen hozzá, aki erre jogosult;

b) a sértetlenséget: védi az információnak és a feldolgozás módszerének a pontosságát és teljességét;

c) a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Adatkezelő informatikai rendszere és hálózata védett a számítógéppel elkövetett és támogatott támadások ellen, naprakész vírusvédelemmel és tűzfallal rendelkezik; adatkezelő a biztonság érdekében szerverszintű és alkalmazásszintű védelmi eljárásokat működtet és tart fenn.

Tájékoztatjuk az érintetteket, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek lehetnek a külső hálózati fenyegetésekkel szemben. Az ilyen fenyegetésektől megvédendő, az adatkezelő megtesz minden, tőle elvárható óvintézkedést. A rendszereket megfigyelik annak érdekében, hogy minden biztonsági eltérést rögzíthessenek, és bizonyítékkal szolgálhassanak minden biztonsági esemény, illetőleg adatvédelmi incidens esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.

Adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységek nyilvántartása körében a GDPR 30. cikke által előírt kötelezettségének jelen szabályzat útján tesz eleget.

Adatvédelmi incidens esetén adatkezelő a GDPR 33. és 34. cikkei szerint köteles eljárni. Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

VI. ADATKEZELŐ ADATAI ÉS ELÉRHETŐSÉGE

6.1.

Név: „BESSO” Zrt.

Székhely: 7634 Pécs, Pellérdi út 72.

Képviselő: Heinek Gábor

Cégjegyzékszám: 02-10-060170

Nyilvántartó bíróság: Pécsi Törvényszék Cégbírósága

Adószám: 11368155-2-02

Telefon: +36209379491

E-mail: besso@dravanet.hu

 

VII. ADATFELDOLGOZÓK

7.1. A 4.2. és 4.4. pontokban részletezett adatkezelések körében érintett adatbázisok fenntartása és informatikai működtetése keretében adatkezelő adatfeldolgozót vesz igénybe:

Név: PROGEN Mérnöki Fejlesztő és Szolgáltató Korlátolt Felelősségű Társaság

Székhely: 1118 Budapest, Homonna utca 8/A.

Képviselő: Tóth István György

Cégjegyzékszám: 01-09-169361

Nyilvántartó bíróság: Fővárosi Törvényszék Cégbírósága

Adószám: 10788110-2-43

Telefon: 06-1/481-9000

E-mail: info@progen.hu

Adatkezelési tájékoztató: http://www.progen.hu/adatvedelmi-tudnivalok

Adatkezelő fenntartja a jogot adatfeldolgozó igénybevételére, melynek személyéről legkésőbb az adatfeldolgozás megkezdésekor ad az érintettek számára egyedi módon tájékoztatást.

VIII. JOGORVOSLAT

Az érintett ingyenes tájékoztatást kérhet személyes adatai kezelésének részleteiről, valamint jogszabályban meghatározott esetekben kérheti azok helyesbítését, törlését, zárolását, vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen. A tájékoztatás kérését és a jelen pontban szereplő kérelmeket a besso@dravanet.hu címre tudja címezni, vagy a társaság székhelyére feladott postai küldemény útján tudja eljuttatni.

8.1. Hozzáférési jog (GDPR 15. cikk)

Az érintett visszajelzést kaphat adatkezelőtől személyes adatainak kezeléséről és ezekhez a személyes adatokhoz, illetve kezelésük részleteihez (GDPR 15. cikk (1) bekezdés) hozzáférhet.

8.2. Helyesbítéshez való jog (GDPR 16. cikk)

Az érintett kérésére adatkezelő indokolatlan késedelem nélkül helyesbíti a rá vonatkozó pontatlan személyes adatokat, illetve jogosult kérni a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

8.3. Törléshez való jog (GDPR 17. cikk (1) bekezdés)

Az érintett kérésére adatkezelő indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha azok kezelésére az adatkezelőnek nincsen szüksége, vagy az érintett visszavonja hozzájárulását, vagy tiltakozik az adatkezelés ellen, vagy az adatkezelés jogellenes.

8.3. Elfeledéshez való jog (GDPR 17. cikk (2) bekezdés)

Az érintett törlésre irányuló kérelméről – ha igényli – adatkezelő értesít minden olyan adatkezelőt, aki(k) az érintett adatait az érintett kifejezett, előzetes hozzájárulása alapján, valamely szolgáltatás nyújtása körében megismerhették.

8.4. Adatkezelés korlátozásához való jog (GDPR 18. cikk)

Adatkezelő – az érintett kérésére – korlátozza az adatkezelést, ha a személyes adatok pontossága vitatott, vagy jogellenes az adatkezelés, vagy az érintett tiltakozik az adatkezelés ellen, illetve ha az adatkezelőnek nincsen szüksége a továbbiakban a megadott személyes adatokra.

8.5. Adathordozhatósághoz való jog (GDPR 20. cikk)

Az érintett a rá vonatkozó, általa megadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatja, illetve ezeket továbbíthatja.

8.6. Értesítési és intézkedési kötelezettség (GDPR 19. cikk)

Adatkezelő a kérelmet annak benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap – tiltakozás esetén 15 nap – alatt megvizsgálja, és annak megalapozottsága kérdésében döntést hoz, amelyről a kérelmezőt írásban tájékoztatja. Ha adatkezelő az érintett kérelmét nem teljesíti, döntésében közli a kérelem elutasításának ténybeli és - a vonatkozó jogszabályhelyek megjelölésével - annak jogi indokait az érintettel.

Helyesbítésről, törlésről, adatkezelés-korlátozásról adatkezelő minden esetben értesíti azokat a címzetteket, akikkel, illetve amelyekkel az érintett személyes adatait esetlegesen közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintett kérésére adatkezelő tájékoztatást nyújt ezekről a címzettekről.

Az e fejezethez kapcsolódó kérelmek nyomán hozott intézkedésekről legfeljebb a kérelem beérkezésétől számított egy hónapon belül – ha az érintett másként nem kéri – elektronikus formában adatkezelő tájékoztatást nyújt. Ez a határidő szükség esetén – a kérelem összetettsége, illetve a kérelmek számára tekintettel – további két hónappal meghosszabbítható. A határidő meghosszabbításáról annak okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül adatkezelő tájékoztatja az érintettet.

Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolja személyazonosságát.

Amennyiben adatkezelő nem intézkedik a kérelem nyomán, legfeljebb annak beérkezésétől számított egy hónapon belül tájékoztatja az érintettet ennek okairól, valamint arról, hogy az érintett panaszt nyújthat be a NAIH-nál, és élhet bírósági jogorvoslati jogával (8.7. pont).

Kivételes esetben, ha az adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, adatkezelő további, személyazonosság megerősítéséhez szükséges információ nyújtását kérheti. Ez az intézkedés a GDPR 5. cikk (1) bekezdés f) pontjában meghatározott alapelv, az adatkezelés bizalmasságának elősegítése, azaz a személyes adatokhoz való jogosulatlan hozzáférés megakadályozása céljából szükséges.

Az e fejezethez kapcsolódó kérelmekre adott tájékoztatást, illetve az azok alapján megtett intézkedéseket adatkezelő díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, – figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre – adatkezelő ésszerű díjat számít fel, vagy megtagadja a kérelem alapján történő intézkedést.

8.7. Jogérvényesítés

Adatkezelő számára fontos a személyes adatok védelme, egyúttal tiszteletben tartja az érintettek információs önrendelkezési jogát, ezért igyekszik minden kérelemre korrekt módon és határidőn belül reagálni. Kérjük a tisztelt érintetteket, hogy az esetleges hatósági és bírósági igényérvényesítés igénybevétele előtt – panasz megtétele céljából – adatkezelővel a felmerült konfliktusok békés úton történő rendezése érdekében a kapcsolatot felvenni szíveskedjenek.

Amennyiben a megkeresés nem vezet eredményre, az érintett a Polgári Törvénykönyvről szóló 2013. évi V. törvény alapján bíróság előtt érvényesítheti jogait (a per az érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható) valamint az Infotv.-ben foglaltak szerint a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1125 Budapest, Szilágyi Erzsébet fasor 22/c.; https://www.naih.hu/panaszuegyintezes-rendje.html) fordulhat és panaszt tehet.

 

Pécs, 2018. május 25.

 

 

„BESSO” Zrt.

képv.: Heinek Gábor igazgatósági tag