ADATKEZELÉSI TÁJÉKOZTATÓ
AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL
SZEMÉLYES ADATAI KEZELÉSE VONATKOZÁSÁBAN
I. BEVEZETÉS
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (a továbbiakban: Rendelet) előírja, hogy az Adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, továbbá hogy az Adatkezelő elősegíti az érintett jogainak a gyakorlását.
Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény is előírja.
Az alábbiakban olvasható tájékoztatással e jogszabályi kötelezettségünknek teszünk eleget.
A tájékoztatást közzé kell tenni a társaság honlapján, vagy az érintett személy részére kérésére meg kell küldeni.
II. AZ ADATKEZELŐ MEGNEVEZÉSE
E tájékoztatás kiadója, egyben az Adatkezelő:
Cégnév: ABO HOLDING Zrt.
Székhely: 4400, Nyíregyháza Simai út 6.
Cégjegyzékszám: 15-10-040134
Adószám: 11248260-2-15
Képviselő: Simon György vezérigazgató
Telefonszám: +36 42 503 500
Fax: +36 42 503 598
E-mail cím: adatkezeles@aboholding.com
Honlap: www.aboholding.com
(a továbbiakban: Társaság)
III. ADATFELDOLGOZÓK MEGNEVEZÉSE
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; (Rendelet 4. cikk 8.)
Az adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása. Ennek megfelelően a következő tájékoztatást adjuk:
Magyar Posta
megbízott ügyvéd
megbízott könyvvizsgáló
megbízott vagyonvédelmi szolgáltató
számlavezető bank: UniCredit Bank Hungary Zrt.
IV. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
1. Munkaügyi, személyzeti nyilvántartás
A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
A Társaság munkáltatói jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait.
A kezelhető személyes adatok köre:
név, születési név, születési ideje, anyja neve, lakcíme, állampolgársága, adóazonosító jele, TAJ száma, nyugdíjas törzsszám (nyugdíjas munkavállaló esetén), telefonszám, e-mail cím, személyi igazolvány száma, lakcímet igazoló hatósági igazolvány száma, bankszámlaszáma, munkába lépésének kezdő és befejező időpontja, munkakör, iskolai végzettségét, szakképzettségét igazoló okmány másolata, fénykép, önéletrajz, munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok, a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát, a munkavállaló munkájának értékelése, a munkaviszony megszűnésének módja, indokai, munkakörtől függően erkölcsi bizonyítványa, a munkaköri alkalmassági vizsgálatok összegzése, magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma, külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma, munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat; a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat; a Társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve a helymeghatározó rendszerek által rögzített adatokat.
Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
Az adatkezelés jogalapja: az érintett hozzájárulása.
A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.
A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, a Társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul
2. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.
A munkaalkalmasságra, felkészültségre irányuló tesztlapokat a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal.
Az egyértelműen munkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a munkavállalók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.
A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek.
Az adatkezelés jogalapja: a munkáltató jogos érdeke.
A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.
A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményt a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
A személyes adatok kezelésének időtartama: a hatályos törvényekben meghatározottak szerint.
3. Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
Az adatkezelés jogalapja: a társaság csak a nyertes pályázó adatait kezeli a 6. pontban leírtak szerint.
A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók.
A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait nem kezeli.
A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
4. E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
Ha a Társaság e-mail fiókot bocsát a munkavállaló rendelkezésére – ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.
A kezelhető személyes adatok köre: A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
Az adatkezelés jogalapja: A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta – ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke.
A személyes adatok kezelésének célja: Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8. §, 52. ) ellenőrzése.
A személyes adatok címzettjei, illetve a címzettek kategóriái: Az ellenőrzésre a munkáltató vezetője, a munkáltatói jogok gyakorlója, vagy az informatikus jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során. Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, – milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, – milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat. A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
5. Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
A Társaság által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezést nem kezelhet és nem tárolhat. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi IV./4. pont rendelkezései irányadók.
6. A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
A munkaköri feladatként a Társaság nevében elvégzett internetes regisztrációk jogosultja a Társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni a Társaság.
A munkavállaló munkahelyi internethasználatát a munkáltató ellenőrizheti, amelyre és jogkövetkezményire a IV./4. pont rendelkezései irányadók.
7. Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
A munkáltató engedélyezheti a céges mobiltelefon magáncélú használatát, a mobiltelefon nem csak munkavégzéssel összefüggő célokra használható, a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
Az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
Egyebekben az ellenőrzésre és jogkövetkezményire a IV./4. pont rendelkezései irányadók.
8. GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés
A GPS rendszer alkalmazásának jogalapja a munkáltatói jogos érdek, célja munkaszervezés, logisztika, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A kezelt adatok: gépjármű rendszáma, a megtett útvonal, távolság, gépjárműhasználat ideje.
Az ellenőrzés csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül. Egyebekben a munkáltatói ellenőrzésre és jogkövetkezményire a IV./4. pont rendelkezései irányadók.
9. Munkahelyi be- és kiléptetéssel kapcsolatos adatkezelés
A kezelhető személyes adatok köre: a természetes személy neve, lakcíme, gépkocsi rendszáma, belépés, kilépés ideje.
Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető.
A személyes adatok kezelésének időtartama: a hatályos törvényekben meghatározottak szerint.
10. Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés
Társaságunk a székhelyén, telephelyein, az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely képrögzítést tesz lehetővé, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
Az adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó képfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is.
A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) képfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített képfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni.
Az, akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
Ha a munkahely területén jogszerűen senki sem tartózkodhat – így különösen munkaidőn kívül vagy a munkaszüneti napokon – akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
V. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
1. Részvényes adatainak kezelése
A Társaság szerződés teljesítése, a tulajdonosok adatainak részvénykönyvben való nyilvántartása jogcímen kezeli részvényeseinek nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, TAJ számát, lakcímét, telefonszámát, e-mail címét, bankszámlaszámát.
Az adatkezelés jogalapja: az érintett hozzájárulása
A személyes adatok kezelésének célja: a tulajdonosi érdek védelme, Alapszabályban rögzítettek betartása.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság vezetői, valamint a részvénykönyv vezetésével kapcsolatos feladatokat ellátó munkavállalói.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
2. Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása
A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy adatait: nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
A személyes adatok tárolásának időtartama:a hatályos törvényekben meghatározottak szerint.
Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
3. Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
Az adatkezelés jogalapja: az érintett hozzájárulása
A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság vezetői, valamint az ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
VI. JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169. , és 202. §-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167. §-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési és társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
2. Kifizetői adatkezelés
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7. 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50. §-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40. ) és szakszervezeti (Szja 47. (2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljésítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
A személyes adatok tárolásának időtartama:a hatályos törvényekben meghatározottak szerint.
A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
VII. ÖSSZEFOGLALÓ TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
Érintett az adatkezelői tevékenységgel kapcsolatosan bármilyen észrevételt az adatkezeles@aboholding.com e-mail címre küldhet.
E fejezetben az áttekinthetőség és átláthatóság kedvéért röviden röviden összefoglaljuk az érintett jogait, amelyek gyakorlására vonatkozó részletes tájékoztatást a következő fejezetben adjuk meg.
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
(Rendelet 13-14. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. (Rendelet 16. cikk).
A törléshez való jog („az elfeledtetéshez való jog”)
1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben meghatározott indokok valamelyike fennáll. (Rendelet 17. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a rendeletben meghatározott feltételek teljesülnek. (Rendelet 18. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
(Rendelet 19. cikk)
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. (Rendelet 20. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség.
(Rendelet 21. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(Rendelet 22. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Korlátozások
Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban (Rendelet 23. cikk).
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(Rendelet 34. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. (Rendelet 77. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(Rendelet 78. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait. (Rendelet 79. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
VIII. RÉSZLETES TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon
A) Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
1. Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
2. Az 1. pontban említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
4. Az 1-3. pontok nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
(Rendelet 13. cikk)
B) Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
1. Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.
2. Az 1. pontban említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
b) ha az adatkezelés a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
d) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
g) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
3. Az adatkezelő az 1. és 2. pont szerinti tájékoztatást az alábbiak szerint adja meg:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
4. Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a 2. pontban említett minden releváns kiegészítő információról.
5. Az 1-5. pontot nem kell alkalmazni, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
(Rendelet 14. cikk)
Az érintett hozzáférési joga
1. Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
2. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
3. Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
(Rendelet 15. cikk)
A törléshez való jog („az elfeledtetéshez való jog”)
1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi 1. pont értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
3. Az 1. és 2. pont nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d) a Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1. pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
(Rendelet 17. cikk)
Az adatkezelés korlátozásához való jog
1. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
2. Ha az adatkezelés az 1. pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
3. Az Adatkezelő az érintettet, akinek a kérésére az 1. pont alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
(Rendelet 18. cikk)
Az adathordozhatósághoz való jog
1. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
2. Az adatok hordozhatóságához való jog 1. pont szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.
3. E jog jog gyakorlása nem sértheti a Rendelet 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
4. Az 1. pontban említett jog nem érintheti hátrányosan mások jogait és szabadságait.
(Rendelet 20. cikk)
A tiltakozáshoz való jog
1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
3. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
4. Az 1. és 2. pontokban említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
5. Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
6. Ha a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
(Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
2. Az 1. pont nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
3. A 2. pont a) és c) pontjában említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
4. A 2. pontban említett döntések nem alapulhatnak a személyes adatoknak a Rendelet 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
(Rendelet 22. cikk)
Korlátozások
1. Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.
2. Az 1. pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,
b) a személyes adatok kategóriáira,
c) a bevezetett korlátozások hatályára,
d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
e) az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait és szabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.
(Rendelet 23. cikk)
Az érintett tájékoztatása az adatvédelmi incidensről
1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
2. Az 1. pontban említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
3. Az érintettet nem kell az 1. pontban említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 1. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
4. Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a 3. pontban említett feltételek valamelyikének teljesülését.
(Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog
1. Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
2. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.
(Rendelet 77. cikk)
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
2. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
(Rendelet 78. cikk)
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
1. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
(Rendelet 79. cikk)
IX. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI
A Társaságunk, mint adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Társaságunk, mint Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
Ha Társaságunknak, mint Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
ABO HOLDING Zrt.
2018. május 25.
I. BEVEZETÉS
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (a továbbiakban: Rendelet) előírja, hogy az Adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, továbbá hogy az Adatkezelő elősegíti az érintett jogainak a gyakorlását.
Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény is előírja.
Az alábbiakban olvasható tájékoztatással e jogszabályi kötelezettségünknek teszünk eleget.
A tájékoztatást közzé kell tenni a társaság honlapján, vagy az érintett személy részére kérésére meg kell küldeni.
II. AZ ADATKEZELŐ MEGNEVEZÉSE
E tájékoztatás kiadója, egyben az Adatkezelő:
Cégnév: ABO MIX Zrt.
Székhely: 4400, Nyíregyháza Simai út 6.
Cégjegyzékszám: 15-10-040305
Adószám: 10415917-2-15
Képviselő: Simon Adél vezérigazgató
Telefonszám: +36 42 503 500
Fax: +36 42 503 598
E-mail cím: adatkezeles@abomix.com
Honlap: www.aboholding.com
(a továbbiakban: Társaság)
III. ADATFELDOLGOZÓK MEGNEVEZÉSE
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; (Rendelet 4. cikk 8.)
Az adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása. Ennek megfelelően a következő tájékoztatást adjuk:
ABO HOLDING Zrt.
Magyar Posta
megbízott ügyvéd
számlavezető bank: UniCredit Bank Hungary Zrt.
IV. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
1. Munkaügyi, személyzeti nyilvántartás
A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
A Társaság munkáltatói jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait.
név, születési név, születési ideje, anyja neve, lakcíme, állampolgársága, adóazonosító jele, TAJ száma, nyugdíjas törzsszám (nyugdíjas munkavállaló esetén), telefonszám, e-mail cím, személyi igazolvány száma, lakcímet igazoló hatósági igazolvány száma, bankszámlaszáma, munkába lépésének kezdő és befejező időpontja, munkakör, iskolai végzettségét, szakképzettségét igazoló okmány másolata, fénykép, önéletrajz, munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok, a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát, a munkavállaló munkájának értékelése, a munkaviszony megszűnésének módja, indokai, munkakörtől függően erkölcsi bizonyítványa, a munkaköri alkalmassági vizsgálatok összegzése, magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma, külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma, munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat; a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükséges adatokat; a Társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, illetve a helymeghatározó rendszerek által rögzített adatokat.
Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
Az adatkezelés jogalapja: az érintett hozzájárulása.
A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.
A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, a Társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul
2. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is.
A munkaalkalmasságra, felkészültségre irányuló tesztlapokat a munkáltató mind a munkaviszony létesítése előtt, mind pedig a munkaviszony fennállása alatt kitöltetheti a munkavállalókkal.
Az egyértelműen munkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a munkavállalók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.
A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek.
Az adatkezelés jogalapja: a munkáltató jogos érdeke.
A személyes adatok kezelésének célja: munkaviszony létesítése, fenntartása, munkakör betöltése.
A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményt a vizsgált munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
A személyes adatok kezelésének időtartama: a hatályos törvényekben meghatározottak szerint.
3. Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés (ha van).
Az adatkezelés jogalapja: a társaság csak a nyertes pályázó adatait kezeli a 6. pontban leírtak szerint.
A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók.
A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait nem kezeli.
A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
4. E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
Ha a Társaság e-mail fiókot bocsát a munkavállaló rendelkezésére – ezen e-mail címet és fiókot a munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.
A kezelhető személyes adatok köre: A munkavállaló az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
Az adatkezelés jogalapja: A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta – ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke.
A személyes adatok kezelésének célja: Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói kötelezettségek (Mt. 8. §, 52. ) ellenőrzése.
A személyes adatok címzettjei, illetve a címzettek kategóriái: Az ellenőrzésre a munkáltató vezetője, a munkáltatói jogok gyakorlója, vagy az informatikus jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során. Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, – milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, – milyen jogai és jogorvoslati lehetőségei vannak az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az e-mail fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket alkalmazhat. A munkavállaló az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
5. Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
A Társaság által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a munkavállaló kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát a Társaság megtiltja, ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezést nem kezelhet és nem tárolhat. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi IV./4. pont rendelkezései irányadók.
6. A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
A munkavállaló csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
A munkaköri feladatként a Társaság nevében elvégzett internetes regisztrációk jogosultja a Társaság, a regisztráció során a társaságra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a munkaviszony megszűnésekor azok törlését köteles kezdeményezni a Társaság.
A munkavállaló munkahelyi internethasználatát a munkáltató ellenőrizheti, amelyre és jogkövetkezményire a IV./4. pont rendelkezései irányadók.
7. Céges mobiltelefon használatának ellenőrzésével kapcsolatos adatkezelés
A munkáltató engedélyezheti a céges mobiltelefon magáncélú használatát, a mobiltelefon nem csak munkavégzéssel összefüggő célokra használható, a munkáltató valamennyi kimenő hívás hívószámát és adatait, továbbá a mobiltelefonon tárolt adatokat ellenőrizheti.
Az ellenőrzés akként folytatható le, hogy a munkáltató hívásrészletezőt kér a telefonszolgáltatótól és felhívja a munkavállalót arra, hogy a dokumentumon a magáncélú hívások esetében a hívott számokat tegye felismerhetetlenné. A munkáltató előírhatja, hogy a magáncélú hívások költségeit a munkavállaló viselje.
Egyebekben az ellenőrzésre és jogkövetkezményire a IV./4. pont rendelkezései irányadók.
8. GPS navigációs rendszer alkalmazásával kapcsolatos adatkezelés
A GPS rendszer alkalmazásának jogalapja a munkáltatói jogos érdek, célja munkaszervezés, logisztika, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A kezelt adatok: gépjármű rendszáma, a megtett útvonal, távolság, gépjárműhasználat ideje.
Az ellenőrzés csak munkaidőben történhet és nem ellenőrizhető a munkavállalók földrajzi helyzete munkaidőn kívül. Egyebekben a munkáltatói ellenőrzésre és jogkövetkezményire a IV./4. pont rendelkezései irányadók.
9. Munkahelyi be- és kiléptetéssel kapcsolatos adatkezelés
A kezelhető személyes adatok köre: a természetes személy neve, lakcíme, gépkocsi rendszáma, belépés, kilépés ideje.
Az adatkezelés jogalapja: a munkáltató jogos érdekeinek érvényesítése.
A személyes adatok kezelésének célja: vagyonvédelem, szerződés teljesítése, munkavállalói kötelezettségek teljesítésének ellenőrzése.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető.
A személyes adatok kezelésének időtartama: a hatályos törvényekben meghatározottak szerint.
10. Munkahelyi kamerás megfigyeléssel kapcsolatos adatkezelés
Társaságunk a székhelyén, telephelyein, az ügyfélfogadásra nyitva álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a vagyonvédelem céljából elektronikus megfigyelőrendszert alkalmaz, amely képrögzítést tesz lehetővé, ez alapján személyes adatnak tekinthető az érintett magatartása is, amit a kamera rögzít.
Az adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése, és az érintett hozzájárulása.
Az elektronikus megfigyelőrendszer adott területen történő alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatást minden egyes kamera vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes adatokat tartalmazó képfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról, a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető) személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is.
A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek) képfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a megfigyelt területre az oda kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról tájékoztató jelzés, ismertetés ellenére a területre bemegy.
A rögzített felvételeket felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg. Felhasználásnak az minősül, ha a rögzített képfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként kívánják felhasználni.
Az, akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
Ha a munkahely területén jogszerűen senki sem tartózkodhat – így különösen munkaidőn kívül vagy a munkaszüneti napokon – akkor a munkahely teljes területe (így például az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
Az elektronikus megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató vezetője, továbbá a megfigyelt terület munkahelyi vezetője jogosult.
V. SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
1. Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása
A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy adatait: nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
A személyes adatok tárolásának időtartama:a hatályos törvényekben meghatározottak szerint.
Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
2. Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.
Az adatkezelés jogalapja: az érintett hozzájárulása
A személyes adatok kezelésének célja: a Társaság jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság vezetői, valamint az ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
VI. JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169. , és 202. §-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167. §-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama: a hatályos törvényekben meghatározottak szerint.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési és társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
2. Kifizetői adatkezelés
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7. 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50. §-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40. ) és szakszervezeti (Szja 47. (2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljésítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
A személyes adatok tárolásának időtartama:a hatályos törvényekben meghatározottak szerint.
A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
VII. ÖSSZEFOGLALÓ TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
Érintett az adatkezelői tevékenységgel kapcsolatosan bármilyen észrevételt az adatkezeles@abomix.com e-mail címre küldhet.
E fejezetben az áttekinthetőség és átláthatóság kedvéért röviden röviden összefoglaljuk az érintett jogait, amelyek gyakorlására vonatkozó részletes tájékoztatást a következő fejezetben adjuk meg.
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
(Rendelet 13-14. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. (Rendelet 16. cikk).
A törléshez való jog („az elfeledtetéshez való jog”)
1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben meghatározott indokok valamelyike fennáll. (Rendelet 17. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a rendeletben meghatározott feltételek teljesülnek. (Rendelet 18. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Adatkezelő tájékoztatja e címzettekről.
(Rendelet 19. cikk)
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. (Rendelet 20. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükség.
(Rendelet 21. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(Rendelet 22. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Korlátozások
Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban (Rendelet 23. cikk).
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(Rendelet 34. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. (Rendelet 77. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(Rendelet 78. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait. (Rendelet 79. cikk)
A részletszabályokról a következő fejezetben adunk tájékoztatást.
VIII. RÉSZLETES TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon
A) Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
1. Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
2. Az 1. pontban említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
4. Az 1-3. pontok nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
(Rendelet 13. cikk)
B) Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
1. Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.
2. Az 1. pontban említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
b) ha az adatkezelés a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
d) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
g) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
3. Az adatkezelő az 1. és 2. pont szerinti tájékoztatást az alábbiak szerint adja meg:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
4. Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a 2. pontban említett minden releváns kiegészítő információról.
5. Az 1-5. pontot nem kell alkalmazni, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
(Rendelet 14. cikk)
Az érintett hozzáférési joga
1. Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
2. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
3. Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
(Rendelet 15. cikk)
A törléshez való jog („az elfeledtetéshez való jog”)
1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi 1. pont értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
3. Az 1. és 2. pont nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d) a Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1. pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
(Rendelet 17. cikk)
Az adatkezelés korlátozásához való jog
1. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
2. Ha az adatkezelés az 1. pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
3. Az Adatkezelő az érintettet, akinek a kérésére az 1. pont alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
(Rendelet 18. cikk)
Az adathordozhatósághoz való jog
1. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
2. Az adatok hordozhatóságához való jog 1. pont szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.
3. E jog jog gyakorlása nem sértheti a Rendelet 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
4. Az 1. pontban említett jog nem érintheti hátrányosan mások jogait és szabadságait.
(Rendelet 20. cikk)
A tiltakozáshoz való jog
1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
3. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
4. Az 1. és 2. pontokban említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
5. Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
6. Ha a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
(Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
2. Az 1. pont nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
3. A 2. pont a) és c) pontjában említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
4. A 2. pontban említett döntések nem alapulhatnak a személyes adatoknak a Rendelet 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
(Rendelet 22. cikk)
Korlátozások
1. Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.
2. Az 1. pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,
b) a személyes adatok kategóriáira,
c) a bevezetett korlátozások hatályára,
d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
e) az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait és szabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.
(Rendelet 23. cikk)
Az érintett tájékoztatása az adatvédelmi incidensről
1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
2. Az 1. pontban említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
3. Az érintettet nem kell az 1. pontban említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 1. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
4. Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a 3. pontban említett feltételek valamelyikének teljesülését.
(Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog
1. Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
2. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.
(Rendelet 77. cikk)
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
2. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
(Rendelet 78. cikk)
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
1. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
(Rendelet 79. cikk)
IX. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI
A Társaságunk, mint adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Társaságunk, mint Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
Ha Társaságunknak, mint Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
ABO MIX Zrt.
2018. május 25.
INFORMARE PRIVIND PRELUCRAREA DATELOR,
DREPTURILE PERSOANEI FIZICE VIZATE
REFERITOR LA PRELUCRARE DATELOR SALE CU CARACTER PERSONAL
I. INTRODUCERE
REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestora, precum și de abrogare a Regulamentului 95/46/CE, prevede că Operatorul de date trebuie să ia măsuri corespunzătoare în vederea informării persoanei vizate în mod transparent, inteligibil și accesibil, formulat clar și pe înțelesul tututror, referitor la prelucrarea datelor cu caracter personal, precum și sprijinirea de către Operatorul de date a exercitării drepturilor de către persoana vizată.
Obligația privind informarea prealabilă a persoanei vizate este prevăzută de către regulamentul mai sus menționat.
Prin informarea de mai jos ne-am îndeplinit obligația prevăzută prin lege.
Informarea trebuie publicată pe pagina web a societății sau trebuie transmisă persoanei vizate la cererea acesteia.
II. DENUMIREA OPERATORULUI DE DATE
Emitentul acestei informări și totodată Operatorul de date este:
Denumire: ABO MIX S.A.
Sediu: Loc. Satu Mare, str. Depozitelor, nr. 31, jud. Satu Mare
Nr. de înreg. la ORC: J30/576/2011
Cod fiscal: RO 646126
Reprezentant: Simon Adél – Președinte C.A.
Telefon: 0261/769.305
Fax: 0261/769.569
Adresă de e-mail: abomix@abomix.com
Pagină web: www.aboholding.com
(în continuare: Societate)
III. DENUMIREA PROCESATORILOR DE DATE
Procesator de date: persoana fizică sau juridică, autoritatea administrației publice, agenția sau orice alt organ, care gestionează date cu caracter personal în numele operatorului de date; (Regulament art. 4. alineatul 8.)
În privința apelării la procesatorul de date nu este necesară consimțământul prealabil a persoanei vizate, dar este necesară informarea acesteia. Corespunzător acestei prevederi oferim informarea de mai jos:
1. Procesator de date
Denumire: ABO HOLDING Zrt.
Sediu: 4400, Nyíregyháza Simai út 6.
Nr. de înreg. la ORC: 15-10-040134
Cod fiscal: 11248260-2-15
Societatea noastră apelează la procesatorul de date în vederea gestionării și administrării paginii web, asigurării serviciilor de IT (găzduire web) și realizarea activității de controlling.
2. Procesator de date
Denumire: Poșta Română
Sediu: București, B-dul Dacia, nr. 140, etaj 3-10, sector 2, cod poștal 020065
Nr. de înreg. la ORC: J40/8636/1998
Societatea noastră apelează la procesatorul de date în vederea realizării serviciilor poștale, înmânării corespondenței și trimiterii de colete.
3. Procesator de date
Denumire: RODNA CONT S.R.L.
Sediu: loc. Satu Mare, str. Corneliu Coposu, nr. 2/ 40
Nr. de înreg. la ORC: J30/1911/1994
Cod fiscal: 6594565
Societatea noastră apelează la procesatorul de date în vederea realizării serviciilor de audit financiar.
4. Procesator de date
Denumire: Cabinet de Avocat Bot Ovidiu
Sediu: Loc. Oradea, Al.Emanoil Gojdu nr.7, ap.7 , judetul Bihor
Cod fiscal: RO20473038
Societatea noastră apelează la procesatorul de date în vederea realizării serviciilor de reprezentanță juridică.
IV. OPERĂRI DE DATE LEGATE DE RAPORTUL JURIDIC DE MUNCĂ
Evidența personalului angajat
De la angajați pot fi solictate și stocate exclusiv date, respectiv angajații pot fi supuse doar examenelor medicale de aptitudine care sunt necesare înființării, menținerii sau încetării raportului juridic de muncă, respectiv care sunt necesare asigurării serviciilor de asistență socială și de sănătate și care nu lezează drepturile personale ale angajaților.
În vederea validării intereselor legitime de angajator (Regulament art. 6. alineatul (1) punctul f)), Societatea va gestiona în scopul înființării, menținerii sau încetării raportului juridic de muncă, datele de mai jos ale angajaților.
Sfera datelor personale care pot fi gestionate:
1. nume,
2. nume de naștere,
3. data nașterii,
4. numele mamei,
5. adresa de domiciliu,
6. cetățenia,
7. număr de identificare fiscală,
8. numărul asigurării sociale,
9. numărul matricol al pensionarului (în cazul angajatului pensionar),
10. număr de telefon,
11. adresa de e-mail,
12. serie număr act de identitate,
13. numărul actului de atestare a domiciliului,
14. număr cont bancar,
15. cod de identificare online (dacă există)
16. data începerii și încetării raportului juridic de muncă,
17. postul ocupat,
18. copia actului care certifică studiile, calificarea profesională,
19. poză,
20. autobiografie,
21. cuantumul salariului, date legate de plata salariului și a altor indemnizații,
22. reținerile din salariul angajatului, în baza unei hotărâri definitive sau prevederi legale, respectiv a acordului dat de angajator,
23. evaluarea muncii depuse de angajat,
24. modul și motivele încetării raportului juridic de muncă,
25. cazier judiciar în funcție de postul ocupat
26. centralizatorul privind avizele medicale de aptitudine ale angajatului,
27. în cazul în care angajatul este membru al unei case de pensii private, denumirea și codul de identificare al acesteia și numărul matricol de membru al angajatului,
28. în cazul angajatului din străinătate numărul de pașaport; denumirea și numărul actului care certifică eligibilitatea angajării acestuia,
29. datele înregistrate în procesele verbale privind accidentele suferite de angajat;
30. datele necesare pentru a beneficia de serviciile de asistență medicală, educație etc.;
31. datele înregistrate de sistemul de supraveghere și sistemul de acces, respectiv de sistemele de localizare utilizate de Societate în vederea asigurării securității și protejării patrimoniului.
Datele referitoare la boala sau la apartenența la sindicat al angajatului sunt gestionate de către angajator doar în vederea exercitării dreptului sau îndeplinirii obligației prevăzută de Codul Muncii.
Temeiul legal al operării datelor: consimțământul persoanei vizate.
Scopul gestionării datelor cu caracter personal: înființarea și menținerea raportului juridic de muncă, ocuparea postului
Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: șeful angajatului, exercitantul atribuțiilor de angajator, angajații de la compartimentul de resurse umane și procesatorii de date.
Durata păstrării datelor cu caracter personal: conform celor stabilite în legile în vigoare.
Persoana vizată trebuie informată înainte de începerea operării datelor despre faptul că operarea de date se realizează în temeiul prevederilor din Codul Muncii și în vederea validării intereselor legale ale angajatorului.
2. Gestionarea datelor legate de examenele medicale de aptitudine
Față de angajat pot fi aplicate doar examene de aptitudine care sunt prevăzute de legile aferente raportului juridic de muncă sau sunt necesare în vederea exercitării drepturilor și îndeplinirii obligațiilor stabilite în legile aferente raportului juridic de muncă. Înainte de efectuarea examenului angajatul trebuie informat detaliat despre aptitudinea spre a cărei evaluare este orientat examenul, despre mijloacele și metodele prin care se va desfășura examenul. În cazul în care efectuarea examenului este prevăzută de lege, angajatul trebuie informat despre titlul legii și locul unde se află acesta în nomenclatorul de legi.
Angajatorul poate solicita completarea de către angajați a formularelor destinate testării aptitudinii sau pregătirii profesionale, atât înainte de înființarea raportului juridic de muncă, cât și pe durata existenței acestuia.
Formularele de test psihologic sau de personalitate pot fi completate de un grup mai mare de angajați legat în mod clar de raportul juridic de muncă și în vederea eficientizării sau organizării proceselor de muncă, doar dacă datele aflate pe parcursul evaluării nu pot fi legate în mod concret de un anumit angajat, adică prelucrarea datelor se realizează în mod anonim.
Sfera datelor personale care pot fi gestionate: faptul aptitudinii pentru ocuparea postului și condițiile necesare acestuia.
Temeiul legal al operării datelor: interesul legitim al angajatorului.
Scopul gestionării datelor cu caracter personal: înființarea, menținerea raportului juridic de muncă, ocuparea postului.
Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: Rezultatul examenului medical poate fi cunoscut doar de către angajat și medicul examinator. Angajatorul poate cunoaște doar informația dacă persoana examinată este apt sau nu de muncă, respectiv condițiile care trebuie asigurate în acest sens. Detaliile examenului medical, respectiv documentația completă a acestuia nu poate fi cunoscută de angajator.
Durata păstrării datelor cu caracter personal: conform celor stabilite în legile în vigoare.
3. Gestionarea datelor privind candidații la angajare, proiectelor, autobiografiilor
Sfera datelor personale care pot fi gestionate: numele, data și locul nașterii, numele mamei, adresa, date privind calificarea, poza, numărul de telefon, adresa de e-mail a persoanei fizice, respectiv evaluarea angajatorului referitor la candidat (dacă există).
Temeiul legal al operării datelor: societatea gestionează doar datele candidatului câștigător, conform celor descrise în punctul 6.
Scopul gestionării datelor cu caracter personal: evaluarea candidaturilor, proiectelor, încheierea contractului de muncă cu persoana care a fost ales pentru post. Persoana vizată trebuie înștiințată dacă nu a fost ales el de către angajator pentru ocuparea postului.
Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: directorul împuternicit cu exercitarea drepturilor de angajator la Societate, angajații biroului de resurse umane și financiar-contabil.
Durata păstrării datelor cu caracter personal: Până la finalizarea evaluării candidaturilor pentru post sau a proiectelor. Datele personale ale candidaților care nu au fost aleși, nu vor fi prelucrate.
Angajatorul poate păstra proiectele doar în baza consimțământului expres, clar și voluntar al persoanei vizate, dacă este necesară în vederea atingerii scopului prelucrării datelor în armonie cu legile referitoare la păstrarea acestora. Acest consimțământ trebuie solicitat de la candidați ulterior încheierii procedurii de angajare.
4. Gestionarea datelor legate de verificarea utilizării contului de e-mail
Dacă Societatea pune la dispoziția angajatului un cont de e-mail, această adresă și cont de e-mail poate fi folosit doar în vederea îndeplinirii sarcinilor de serviciu, în vederea asigurării contactului cu angajații sau asigurarea corespondenței cu clienții, cu terțe persoane și organizații, în reprezentarea Societății.
Sfera datelor personale care pot fi gestionate: Angajatul nu poate folosi contul de e-mail în scopuri personale, nu poate stoca corespondența personală în acest cont.
Temeiul legal al operării datelor: Angajatorul are dreptul de a verifica întregul conținut și utilizarea contului de e-mail, în mod regulat, la fiecare trei luni, temeiul legal al verificării constând în interesul legitim al angajatorului.
Scopul gestionării datelor cu caracter personal: Scopul este verificarea respectării dispozițiilor angajatorului privind utilizarea contului de e-mail, precum și verificarea obligațiilor asumate de angajat (Codul Muncii)
Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: șeful angajatului, exercitantul drepturilor de angajator sau informaticianul.
În cazul în care circumstanțele verificării nu exclud această posibilitate, trebuie asigurată prezența angajatului pe parcursul verificării. Înainte de verificare trebuie informat angajatul referitor la interesul angajatorului pentru care s-a dispus verificarea, la persoana celui autorizat să facă verificarea, regulile în baza cărora poate avea loc verificarea și pașii procedurii de verificare, precum și despre drepturile și căile de atac pe care le are la dispoziție legat de verificarea gestionării datelor.
Pe parcursul verificării trebuia aplicat principiul gradualității, astfel trebuie stabilit în primul rând pornind de la adresa de e-mail și conținutul acesteia dacă acesta a fost folosit legat de interese de serviciu sau a fost folosit în scopuri personale. Conținutul e-mail-urilor care nu au caracter personal poate fi verificată fără restricție de către angajator.
Dacă contrar dispozițiilor prezentului regulament se poate constata că angajatul a folosit contul de e-mail în scopuri personale, acesta trebuie somat să șteargă fără întârziere datele cu caracter personal. În cazul absenței angajatului sau lipsei de cooperare a angajatului, datele cu caracter personal pot fi șterse de către angajator cu ocazia verificării. Pentru utilizarea contului de e-mail contrar prezentului regulament, angajatorul poate aplica față de angajat sancțiunile prevăzute de Codul Muncii. Angajatul, legat de prelucrarea datelor cu ocazia verificării contului de e-mail, poate apela la drepturile descrise în capitolul privind drepturile persoanei vizate.
5. Gestionarea datelor legate de verificarea calculatorului, laptop-ului, tabletei
Calculatorul, laptopul ,tableta pusă la dispozița angajatului de către angajator poate fi folosit de către acesta exclusiv în vederea îndeplinirii sarcinilor de serviciu, utilizarea acestora în scopuri personale este interzisă de către angajator, pe aceste mijloace nu pot fi gestionate și stocate date sau corespondență cu caracter pesonal. Angajatorul poate verifica datele stocate pe aceste mijloace. În rest, în privința verificării de către angajator a acestor mijloace și efectele juridice ale verificării sunt aplicabile dispozițiile punctului IV./4.
6. Gestionarea datelor legate de verificarea utilizării internetului la locul de muncă
Angajatul poate viziona doar paginile de internet legate de sarciniile sale de serviciu, utilizarea internetului în scopuri personale este interzisă de către angajator.
Titularul înregistrărilor realizate pe internet în numele Societății în interes de serviciu este Societatea, cu ocazia înregistrării trebuie utilizat codul de identificare și parola pusă la dispoziție de către societate. În cazul în care în vederea înregistrării este necesară și furnizarea datelor personale, Societatea este obligată să inițieze ștergerea acestora cu ocazia încetării raportului juridic de muncă..
Utilizarea de către angajat a internetului la locul de muncă poate fi verificată de către angajator, referitor la acesta și la efectele juridice fiind aplicabile prevederile punctului IV./4.
7. Gestionarea datelor legate de verificarea utilizării telefonului mobil al firmei
Angajatorul poate autoriza utilizarea telefonului mobil al firmei în scopuri personale, nu doar pentru scopuri legate de îndeplinirea atribuțiilor de serviciu, însă angajatorul are dreptul de a verifica toate numerele de telefon și datele aferente apelurilor de ieșire, precum și datele stocate pe telefonul mobil al firmei.
Verificarea va fi realizată prin solicitarea unui desfășurător de apeluri de la prestatorul de servicii de telefonie și somarea angajatului să șteargă numerele de telefon apelate în scop personal. Angajatorul poate pretinde suportarea de către angajat a cheltuielilor legate de apelurile efectuate în scop personal..
În rest, în privința verificării și efectele juridice ale verificării sunt aplicabile dispozițiile punctului IV./4.
8. Gestionarea datelor legate de utilizarea sistemului de navigație GPS
Temeiul legal al utilizării sistemului GPS: interesul legitim al angajatorului, scopul: organizarea muncii, logistică, verificarea îndeplinirii obligațiilor asumate de angajat.
Datele gestionate: numărul de înmatriculare a vehiculului, traseul, distanța parcursă, durata utilizării vehiculului.
Verificarea poate fi realizată doar în timpul programului de lucru, nu este permisă localizarea geografică al angajatului în afara programului de lucru.
În rest, în privința verificării realizate de angajator și efectele juridice ale acesteia sunt aplicabile dispozițiile punctului IV./4.
9. Gestionarea datelor legate de intrarea și ieșirea de la locul de muncă
Sfera datelor personale care pot fi gestionate: numele și adresa persoanei fizice, numărul de înmatriculare al autoturismului său, data și ora intrării și ieșirii.
Temeiul legal al operării datelor: validarea intereselor legitime ale angajatorului.
Scopul gestionării datelor cu caracter personal: protejarea patrimoniului, realizarea contractului, verificarea îndeplinirii obligațiilor asumate de angajat.
Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: directorul îndreptățit să exercite drepturile de angajator la Societate.
Durata păstrării datelor cu caracter personal: conform celor stabilite în legile în vigoare.
10. Gestionarea datelor legate de supravegherea cu camere la locul de muncă
În scopul protejării vieții umane, integrității fizice, libertății individuale, secretului de afaceri și a patrimoniului, Societatea noastră utilizează la sediul său, la punctele sale de lucru, în încăperile destinate primirii clienților sistem electronic de supraveghere, care face posibilă înregistrarea imaginilor, astfel poate fi considerat dată cu caracter personal și comportamentul manifestat de persoana vizată și înregistrată de camere.
Temeiul legal al prelucrării datelor constă în validarea intereselor legitime ale angajatorului și consimțământul persoanei vizate.
Despre faptul utilizării sistemului electronic de supraveghere în incinta teritoriului respectiv, trebuie amplasat într-un loc vizibil semn de avertizare și informare lizibilă, care să ajute orientarea terțelor persoane care doresc sî intre în incintă. Informarea trebuia dată în privința fiecărei camere. Această informare trebuie să conțină o referire la faptul supravegherii desfășurată de sistemul electronic de camere, precum și la scopul înregistrării și stocării imaginilor care conțin date cu caracter personal, temeiul legal a prelucrării datelor, locul stocării imaginilor, durata stocării, date referitoare la operatorul sistemului, la persoanele îndreptățite să cunoască datele, respectiv informarea privind drepturile persoanei vizate și a dispozițiilor aferente modului de validare a acestora.
Imaginile referitoare la terțe persoane (clienți, vizitatori, oaspeți) care intră în zona supravegheată, pot fi înregistrate și prelucrate cu consimțământul acestora. Dacă persoana fizică intră în zona supravegheată cu sistem electronic de supraveghere în pofida semnului de avertizare și a informării, se consideră că acesta și-a dat consimțământul în mod tacit.
Imaginile înregistrate pot fi păstrate în lipsa utilizării lor maxim 3 (trei) zile lucrătoare. Se consideră utilizare, dacă imaginile înregistrate, respectiv alte date personale sunt solicitate ca probe necesare pentru efectuarea cercetării sau urmăririi penale.
Persoana al cărui drept sau interes legitim este afectat de înregistrarea video-audio sau audio-video, în termen de trei zile lucrătoare de la data înregistrării, poate solicita cu dovedirea dreptului sau interesului legitim, ca datele respective să nu fie distruse, respectiv șterse de către operatorul de date.
Nu poate fi folosit sistem electronic de supraveghere în încăperi în care supravegherea ar putea leza demnitatea umană, astfel în special în vestiare, băi, toalete sau cabinete medicale, precum nici în sala de așteptare aparținând cabinetului medical și nici în încăperile desemnate pentru angajați în vederea petrecerii timpului liber în pauzele de lucru.
În cazurile în care pe teritoriul locului de muncă nu se poata afla nimeni în mod legal (astfel în special în afara programului de lucru sau cu ocazia sărbătorilor legale), poate fi supravegheată întregul teritoriu al locului de muncă (astfel și vestiarele, toaletele, spațiile destinate petrecerii pauzelor din timpul programului de lucru).
Imaginile înregistrate de sistemul electronic de supraveghere pot fi vizionate în vederea identificării infracțiunilor și contravențiilor săvârșite și în scopul verificării privind funcționarea sistemului, în afara persoanelor îndreptățite conform legii, de către persoanele care operează sistemul de camere, șeful angajatului și de către director.
V. PRELUCRAREA DATELOR LEGATE DE CONTRACTE
1. Gestionarea datelor privind partenerii contractuali – evidența clienților, furnizorilor
În vederea încheierii, realizării, încetării contractului sau acordării reducerilor, Societatea prelucrează următoarele date cu caracter personal ale persoanei fizice cu care are contract încheiat în calitate de client sau furnizor: nume, nume de naștere, data nașterii, numele mamei, adresa de domiciliu, numărul de identificare fiscală, codul fiscal, numărul autorizației în cazul persoanei fizice autorizate sau al producătorului agricol, numărul cărții de identitate, adresa de domiciliu, sediu, punct de lucru, numărul de telefon, adresa de e-mail, adresa paginii web, numărul contului bancar, codul client (număr client, număr comandă), codul de identificare online (lista clienților, furnizorilor, lista cumpărătorilor fideli). Această prelucrare a datelor este considerată legală și în cazul în care prelucrarea datelor este necesară înainte de încheierea contractului, în vederea realizării pașilor solicitați de persoana vizată.
Destinatarii datelor cu caracter personal: angajații care îndeplinesc atribuții legate de serviciul clienți, angajații compartimentului financiar-contabil și procesatorii de date.
Durata stocării datelor cu caracter personal: conform celor stabilite în legile în vigoare.
Persoana fizică vizată trebuie informată înainte de începerea prelucrării datelor, că temeiul legal a acesteia o reprezintă realizarea contractului. Această informare poate avea loc și în conținutul contractului încheiat. Persoana vizată trebuie informată despre predarea datelor sale cu caracter personal procesatorului de date.
2. Datele de contact ale clienților persoane juridice, cumpărătorilor, furnizorilor, reprezentanților persoane fizice
Sfera datelor personale care pot fi gestionate: numele, adresa, numărul de telefon, adresa de e-mail, codul de identificare online a persoanei fizice.
Temeiul legal al operării datelor: consimțământul persoanei vizate.
Scopul gestionării datelor cu caracter personal: realizarea contractului încheiat de Societate cu partenerul persoană juridică, menținerea contactului în interes de afaceri.
Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: directorii Societății, respectiv angajații care îndeplinesc atribuții legate de serviciul clienți.
Durata păstrării datelor cu caracter personal: conform celor definite în legile în vigoare.
VI. PRELUCRAREA DATELOR ÎN BAZA OBLIGAȚIEI LEGALE
1. Prelucrarea datelor în vederea îndeplinirii obligațiilor fiscale și contabile
Societatea, în vederea îndeplinirii obligației sale legale, în scopul îndeplinirii obligațiilor fiscale și contabile prevăzute de lege, prelucrează datele stabilite prin lege referitor la persoanele fizice cu care se află în relații de afaceri în calitate de client sau furnizor.
Datele prelucrate în baza legii nr. 227 din 2015 privind Codul Fiscal sunt în special: codul fiscal, denumirea, adresa, statutul de contribuabil; în baza legii nr. 82/1991 republicată și actualizată a contabilității: nume, adresă, indicarea persoanei sau organismului care a dispus operația economică, semnătura persoanei care confirmă efectuarea plății și executarea dispoziției, respectiv a persoanei care realizează verificarea; pe documentele privind mișcarea stocurilor: semnătura recepționerului; în baza legii nr. 145 din 2014 pentru stabilirea unor măsuri de reglementare a pieței produselor din sectorul agricol și Codul fiscal: număr legitimației de antreprenor, numărul atestatului de producător agricol, numărul de identificare fiscală.
Durata stocării datelor cu caracter personal: conform celor stabilite în legile în vigoare.
Destinatarii datelor cu caracter personal: angajații compartimentului financiar-contabil și procesatorii de date ale Societății.
2. Prelucrarea datelor de către plătitor
Societatea, în vederea îndeplinirii obligației sale legale, în scopul îndeplinirii obligațiilor fiscale și a obligației privind plata contribuțiilor către bugetul de stat, poate prelucra datele cu caracter personal ale persoanelor vizate – angajați (Codul Muncii, Codul Fiscal, Legea nr. 905/2017 privind registrul general de evidență a salariaților), membrii de familie ale acestora, colaboratori, alte persoane care beneficiază de indemnizații – prevăzute de Codul Fiscal, față de care are calitatea de plătitor. Sfera datelor care pot fi prelucrate sunt: datele de identificare ale persoanei fizice (inclusiv numele purtat anterior), sexul, cetățenia, numărul de identificare fiscală, numărul asigurării sociale.
Durata stocării datelor cu caracter personal: conform celor stabilite în legile în vigoare.
Destinatarii datelor cu caracter personal: angajații compartimentului financiar-contabil și procesatorii de date ale Societății.
VII. INFORMARE SUCCINTĂ PRIVIND DREPTURILE PERSOANEI VIZATE
În acest capitol, în vederea transparenței oferim o prezentare succintă a drepturilor persoanei vizate, informarea detaliată privind exercitarea acestora fiind prezentată în capitolul următor.
Dreptul la informarea prealabilă
Persoana vizată are dreptul să fie informat înainte de începerea prelucrării datelor despre datele și informațiile legate de gestionarea datelor.
(Regulament art. 13-14.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul de acces al persoanei vizate
Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc, și în caz afirmativ, dacă prelucrarea datelor este în curs are drept de acces la datele respective și la informațiile conexe stabilite în Regulament. (Regulament art. 15.).
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul la rectificare
Persoana vizată are dreptul ca la cererea sa operatorul de date să rectifice, fără întârzieri nejustificate, datele cu caracter personal inexacte care o vizează. Având în vedere scopul prelucrării datelor, persoana vizată are dreptul să solicite completarea datelor sale cu caracter personal, printre altele printr-o declarație suplimentară. (Regulament art. 16.).
Dreptul la ștergerea datelor („dreptul de a fi uitat”)
Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate, în cazul în care există unul dintre motivele stabilite în Regulament. (Regulament art. 17.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul la restricționarea prelucrării
Persoana vizată are dreptul ca la cererea sa operatorul de date să restricționeze prelucrarea datelor cu caracter personal, dacă sunt întrunite condițiile prevăzute de regulament. (Regulament art. 18.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării
Operatorul de date va informa pe fiecare destinatar căruia i-au fost transmise datele cu caracter personal, despre rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal, cu excepția cazului în care acesta se dovedește a fi imposibilă sau presupune eforturi disproporționat de mari. La cererea persoanei vizate, operatorul de date va informa pe acesta în privința destinatarilor.
(Regulament art. 19.)
Dreptul la portabilitatea datelor
Cu condițiile prevăzute în Regulament, persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal. (Regulament art. 20.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul la opoziție
În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6, alineatul (1), litera e) sau f) sau al articolului 6, alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții.
(Regulament art. 21.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Procesul decizional individual automatizat, inclusiv crearea de profiluri
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
(Regulament art. 22.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Restricții
Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, respectiv în armonie cu drepturile și obligațiile definite la articolele 12-22. (Regulament art. 23.).
Informarea privind regulile detaliate este oferită în capitolul următor.
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal
În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare..
(Regulament art.34.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul de a depune o plângere la o autoritate de supraveghere
Persoana vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament. (Regulament art. 77.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere
Fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează, sau dacă autoritatea de supraveghere nu se ocupă de plângerea sa, sau autoritatea de supraveghere nu o informează în termen de trei luni în privința evoluției sau rezultatelor procedurale legate de plângerea depusă.
(Regulament art. 78.)
Informarea privind regulile detaliate este oferită în capitolul următor.
Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator
Fiecare persoană vizată are dreptul la o cale de atac judiciară eficientă, în cazul în care consideră că drepturile sale asigurate prin prezentul regulament au fost lezate în urma prelucrării necorespunzătoare a datelor cu caracter personal care o vizează. (Regulament art. 79.)
Informarea privind regulile detaliate este oferită în capitolul următor.
VIII. INFORMAREA DETALIATĂ A PERSOANEI VIZATE PRIVIND DREPTURILE SALE
Dreptul la informare prelabilă
Persoana vizată are dreptul să fie informat înainte de începerea prelucrării datelor despre datele și informațiile legate de gestionarea datelor.
A) Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
1. În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la acesta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile de mai jos:
a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acesteia;
b) datele de contact ale responsabilului cu protecția datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
d) în cazul în care prelucrarea se face în temeiul articolului 6, alineatul (1), litera f), interesele legitime urmărite de operator sau de o parte terță;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul 49, alineatul (1) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.
2. În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
c) atunci când prelucrarea se bazează pe articolul 6, alineatul (1), litera a) sau pe articolul 9, alineatul (2), litera a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
d) dreptul de a depune o plângere în fața unei autorități de supraveghere;
e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecinți ale nerespectării acestei obligații; ;
f) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22, alineatele (1) și (4), precum și – cel puțin în cazurile respective – informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
3. În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).
4. Alineatele (1), (2) și (3) nu se aplică, dacă sau în măsura în care persoana vizată dispune deja de informațiile respective. (Regulament art. 13.)
B) Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată
1. În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:
a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acesteia;
b) datele de contact ale responsabilului cu protecția datelor, după caz;;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
d) categoriile de date cu caracter personal vizate;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul 49, alineatul (2) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.
2. Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
b) În cazul în care prelucrarea se face în temeiul articolului 6, alineatul (1), litera f), interesele legitime urmărite de operator sau de o parte terță;
c) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
d) atunci când prelucrarea se bazează pe articolul 6, alineatul (1), litera a) sau pe articolul 9, alineatul (2), litera a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
e) dreptul de a depune o plângere în fața unei autorități de supraveghere;
f) sursa din care provin datele cu caracter personal și – dacă este cazul – dacă acestea provin din surse disponibile publicului; și
g) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22, alineatele (1) și (4), precum și – cel puțin în cazurile respective – informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
3. Operatorul furnizează informațiile menționate la alineatele (1) și (2), conform celor de mai jos:
a) într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de circumsatnțele specifice în care sunt prelucrate datele cu caracter personal;
b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau
c) dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel târziu la data la care acestea sunt comunicate pentru prima oară.
4. În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).
5. Alineatele (1)-(4) nu se aplică, dacă și în măsura în care:
a) persoana vizată deține deja informațiile respective;
b) furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 89, alineatul (1), sau în măsura în care obligația menționată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului;
c) obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
d) în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementată de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
(Regulament art. 14.)
Dreptul de acces al persoanei vizate
1. Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc, și în caz afirmativ, acces la datele respective și la următoarele informații:
a) scopul prelucrării;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22, alineatele (1) și (4), precum și -cel puțin în cazurile respective – informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată;
2. În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 46. referitoare la transfer.
3. Operatorul furnizează o copie a datelor cu caracter personal care face obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent. Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.
(Regulament art. 15.)
Dreptul la ștergerea datelor („dreptul de a fi uitat”)
1. Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate, în cazul în care se aplică unul dintre următoarele motive:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6., alineatul (1), litera a) sau cu articolul 9., alineatul (2) litera a), și nu există niciun alt temei juridic pentru prelucrare;
c) persoana vizată se opune prelucrării în temeiul articolului 21, alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21., alineatul (2);
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;
f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8, alineatul (1).
2. În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat în temeiul alineatului (1) să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal, că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor dte cu caracter personal.
3. Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:
a) pentru exercitarea dreptului la liberă exprimare și la informare;
b) pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este investit operatorul;
c) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 9, alineatul (2), literele h) și i) și cu articolul 9, alineatul (3);
d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică, ori în scopuri statistice, în conformitate cu articolul 89, alineatul (1), în măsura în care dreptul menționat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau
e) pentru constatarea, exercitarea sau apărarea unui drept în instanță.
(Regulament art. 17.)
Dreptul la restricționarea prelucrării
1. Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării, în cazul în care se aplică unul din următoarele cazuri:
a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21, alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate
2. În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
3. O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricției de prelucrare.
(Regulament art. 18.)
Dreptul la portabilitatea datelor
1. Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a) prelucrarea se bazează pe consimțământ în temeiul articolului 6., alineatul (1), litera a) sau al articolului 9, alineatul (2), litera a) sau pe un contract în temeiul articolului 6., alineatul (1), litera b); și
b) prelucrarea este efectuată prin mijloace automate.
2. În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este realizabil din punct de vedere tehnic.
3.Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este investit operatorul.
4. Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.
(Regulament art. 20.)
Dreptul la opoziție
1. În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6, alineatul (1), litera e) sau f) sau al articolului 6, alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept.
2. Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.
3. În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop..
4. Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod clar și separat de orice alte informații.
5. În contextul utilizării serviciilor societății informaționale și în pofida Directivei 2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace automate care utilizează specificații tehnice. .
6. În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89, alineatul (1), persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public. .
(Regulament art. 21.)
Procesul decizional individual automatizat, inclusiv crearea de profiluri
1. Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
2. Alineatul (1) nu se aplică în cazul în care decizia:
a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;
b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, sau
c) are la bază consimțământul explicit al persoanei vizate.
3. În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.
4. Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9, alineatul (1), cu excepția cazului în care se aplică articolul 9, alineatul (2), litera a) sau g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.
(Regulament art. 22.)
Restricții
1. Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute de articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a asigura:
a) securitatea națională;
b) apărarea;
c) securitatea publică;
d) prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora:
e) alte obiective importante de interes public general ale Uniunii sau al unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniul monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale;
f) protejarea independenței judiciare și a procedurilor judiciare;
g) prevenirea, investigarea, depistarea și urmărira penală a încălcării eticii în cazul profesiilor reglementate;
h) funcția de monitorizare, inspectare sau reglementare legală, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(e) și (g) ;
i) protecția persoanei vizate sau a drepturilor și libertăților altora;
j) punerea în aplicare a pretențiilor de drept civil.
2. În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:
a) scopurile prelucrării sau ale categoriilor de prelucrare,
b) categoriile de date cu caracter personal,
c) domeniul de aplicare al restricțiilor introduse,
d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal,
e) menționarea operatorului sau a categoriilor de operatori,
f) perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;
g) riscurile pentru drepturile și libertăților persoanelor vizate; și
h) dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.
(Regulament art. 23.)
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal
1. În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
2. În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și măsurile menționate la articolul 33, alineatul (3), literele b), c) și d).
3.Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:
a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate menționat la alineatul (1) nu mai este susceptibil să se materializeze;
c) ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
4. În cazul în care operatorul nu a comunicat deja încălcarea securității datelor cu caracter personal către persoana vizată, autoritatea de supraveghere, după ce a luat în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oircare dintre condițiile menționate la alineatul (3) sunt îndeplinite.
(Regulament art. 34.)
Dreptul de a depune o plângere la o autoritate de supraveghere
1. Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.
2. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.
(Regulament art.77.)
Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere
1. Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.
2. Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă, în cazul în care autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56, nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77.
3. Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care își are sediul autoritatea de supraveghere.
4. În cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități de supraveghere care a fost precedată de un aviz sau o decizie a comitetului în cadrul mecanismului pentru asigurarea coerenței, autoritatea de supraveghere transmite curții avizul respectiv sau decizia respectivă.
(Regulament art. 78.)
Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator
1. Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă, în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal, fără a se respecta prezentul regulament.
2. Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator își are sediul. Alternativ, o astfel de acțiune poate fi prezentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru ce acționează în exercitarea competențelor sale publice.
(Regulament art. 79.)
IX. DEPUNEREA CERERII DE CĂTRE PERSOANA VIZATĂ, MĂSURILE LUATE DE CĂTRE OPERATORUL DE DATE
Societatea noastră, în calitate de operator de date cu caracter personal, va informa persoana vizată despre măsurile luate în urma cerereii depuse în privința exercitării drepturilor sale, fără întârzieri nejustificate, dar cel târziu în termen de o lună de la data primirii cererii.
În caz de nevoie, în funcție de complexitatea și numărul cererilor, acest termen poate fi prelungit cu încă două luni. Operatorul de date va informa persoana vizată referitor la prelungirea termenului, cu indicarea motivelor prelungirii acestuia, în termen de o lună de la data primirii cererii.
Dacă cererea este depusă de către persoana vizată pe cale electronică, informarea trebuie dată tot pe cale electronică, cu excepția cazului în care persoana vizată solicită notificarea pe o altă cale.
În cazul în care Operatorul de date nu ia măsuri în urma cererii depuse de persoana vizată, fără întârziere, dar cel târziu în termen de o lună de la data primirii cererii va informa persoana vizată despre motivele pentru care nu au fost luate măsuri, respectiv despre faptul că persoana vizată poate depune o plângere la autoritatea de supraveghere și poate apela la dreptul său la o cale de atac judiciară.
Societatea noastră, în calitate de Operator de date cu caracter personal va asigura gratuit persoanei vizate informațiile conform articolului 13 și 14 al Regulamentului și informarea privind drepturile persoanei vizate (art. 15-22 și 34 al Regulemantului), precum și a măsurilor luate. În cazul în care cererea persoanei vizate este neîntemeiată, excesivă sau repetitivă, Operatorul de date, cu luarea în considerare a cheltuielilor administrative privind transmiterea informației sau informării solicitate sau a măsurilor luate:
a) va calcula o taxă, sau
b) va refuza luarea măsurilor în baza cererii depuse.
Dovedirea faptului că cererea este neîntemeiată sau excesivă, intră în sarcina Operatorului de date.
În cazul în care Societatea noastră, în calitate de Operator de date cu caracter personal are îndoieli întemeiate privind identitatea persoanei fizice care a depus cererea, poate solicita furnizarea informațiilor necesare pentru confirmarea identității persoanei vizate.
ABO MIX S.A.
25 mai 2018.
