Adatvédelmi Tájékoztató
A Lacus Pelso Hungary Kft. (a továbbiakban: Társaság) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi Tájékoztatót alkotja.
Adatkezelő megnevezése: Lacus Pelso Hungary Kft..
Adatkezelő cégjegyzékszáma: 14 09 315285
Adatkezelő székhelye: 8600 Siófok, Őrház u. 3.
Adatkezelő képviselője: Tóth Csongor
· A tájékoztató célja
A Társaság jelen tájékoztató megalkotásával és elérhetővé tételével biztosítani kívánja az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR) 13-14. cikkeiben meghatározott érintetti tájékoztatáshoz való jog megvalósulását.
A Tájékoztató célja, hogy alkalmazásával a Társaság megfeleljen a GDPR, és a személyes adatok kezelését érintő magyar jogszabályokban foglalt rendelkezéseknek, így különösen a 2018. július 25. napjától módosult, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
Az Adatvédelmi Tájékoztató felfekteti a Társaságnál zajló adatkezelések törvényes kereteit, biztosítja az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegíti az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést, kialakítja az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat az adatbiztonságban.
A Tájékoztató célja továbbá a Társaság által adatkezelői, illetve esetlegesen adatfeldolgozói minőségben kezelt és feldolgozott személyes adatok védelmi rendszerének kiépítése és működtetése.
Jelen Tájékoztató célja továbbá, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve a Társaság által esetlegesen megbízott adatfeldolgozók által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről, valamint az érintett jogairól.
Fentiekre tekintettel a Társaság a Tájékoztató által meghatározott adatvédelmi rendszer, és az adatvédelemre vonatkozó adatvédelmi gyakorlat kialakításával a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.
Jelen tájékoztatóval a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.
· A tájékoztató hatálya
A tájékoztató időbeli hatálya 2018. 12.06-tól visszavonásig tart.
A tájékoztató tárgyi hatálya kiterjed a Társaságnál folytatott valamennyi olyan folyamatra, amely során személyes adat kezelése megvalósul.
Egyéni vállalkozó, egyéni cég vevőket, szállítókat e tájékoztató alkalmazásában természetes személynek kell tekinteni.
A tájékoztató hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.
· A tájékoztató kötelező felülvizsgálata
A GDPR által támasztott elvárás, hogy az adatkezelő annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, törlési vagy rendszeres felülvizsgálati határidőket állapítson meg.
Jelen tájékoztató a fenti elvárásoknak megfelelően kötelezően felülvizsgálandó:
- jelentős szervezeti, vagy jogszabályi változásokat követően;
- a hatályossá válását követő minden harmadik évben, így az első kötelező felülvizsgálat időpontja: 2021.;
- az adatkezelések változása, új adatkezelés bevezetése esetén haladéktalanul;
- az adatkezelések elvei, szabályai.
A Társaság az adatkezelések során kiemelten fontosnak tartja az alábbi alapelvek betartását, adatkezeléseit ezek mentén határozza meg:
- jogszerűség, tisztességesség és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;
- célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
- adattakarékosság: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;
- pontosság: a személyes adatoknak pontosnak és ahol szükséges, naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
- korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
- integritás és bizalmas jelleg: a személyes adatok kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést, így különösen:
A Társaság személyes adatot csak a GDPR 6. cikkében meghatározott jogalapok alapján kezel. A személyes adatok kezelése tehát csak akkor jogszerű, ha az alábbiak közül legalább az egyike megvalósul:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez [GDPR 6. cikk (1) bek. a) pont];
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges [GDPR 6. cikk (1) bek. b) pont];
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges [GDPR 6. cikk (1) bek. c) pont];
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges [GDPR 6. cikk (1) bek. d) pont];
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges [GDPR 6. cikk (1) bek. e) pont];
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek [GDPR 6. cikk (1) bek. f) pont].
Különleges személyes adatokat a Társaság - figyelembe véve a GDPR 9. cikkében foglalt rendelkezéseket - abban az esetben kezel, ha annak fennállnak a GDPR 9. cikk (2) és (3) bekezdésében meghatározott feltételei, így különösen:
- az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
- az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
- az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
- az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
- az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
- az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges és ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki (szakmai) titoktartási kötelezettség hatálya alatt áll.
A Társaság a személyes adatok különleges kategóriáit csak a legszükségesebb, elkerülhetetlen esetekben kezeli.
Bűnügyi személyes adatot a Társaság nem kezel.
A 16. életévét be nem töltött gyermek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A Társaság - figyelembe véve az elérhető technológiát - észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
Amennyiben az adatkezelés jogalapja a Társaság vagy harmadik fél jogos érdeke, a Társaság minden esetben érdekmérlegelési tesztet folytat le.
A Társaság legkésőbb az adat felvételével egy időben minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.
- Adatkezelési tevékenységek nyilvántartása
- Nyilvántartás vezetése és felülvizsgálata
A Társaság az általa végzett adatkezelési tevékenységekről nyilvántartást vezet a GDPR 30. cikk (1) bekezdése alapján (a továbbiakban: "Nyilvántartás"). A Nyilvántartás vezetése az adatvédelemért felelős munkavállaló feladatkörébe tartozik.
Az Adatkezelési Nyilvántartásnak az egyes adatkezelési tevékenységek tekintetében legalább az alábbi adatokat szükséges tartalmaznia:
- az adatkezelő neve és elérhetősége, valamint - ha van ilyen - a közös adatkezelőnek, az adatkezelő képviselőjének és az Adatvédelemért felelős munkavállalónak a neve és elérhetősége;
- az adatkezelés célja és jogalapja;
- az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
- olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
- adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását;
- a különböző adatkategóriák törlésére előirányzott határidők;
- az adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása.
Fontos kiemelni, hogy egy adott adatkezelési tevékenységet az életciklusa alatt több jogalapja is lehet alapítani, így szükséges ezek mindegyikét feltűntetni az Adatkezelési Nyilvántartásban.
Az Adatkezelési Nyilvántartás tartalmát az átláthatóság és elszámoltathatóság elvének szem előtt tartásával folyamatosan felül kell vizsgálni és naprakészen kell tartani, így különösen:
- rögzíteni kell az új adatkezelési tevékenységeket, különösen új adatkezelési cél vagy új érintetti kör esetén;
- a már meglévő adatkezelési tevékenység módosulása esetén rögzíteni kell például, ha megváltozott az adatkezelés jogalapja, célja az igénybe vett adatfeldolgozó, a címzettek köre, a személyes adatok köre stb.;
- törölni kell a már nem végzett adatkezelési tevékenységeket.
- Adatfeldolgozói nyilvántartás
Abban az esetben, ha a Társaság valamely adatkezelő nevében adatfeldolgozói tevékenységet végez, arról adatfeldolgozói nyilvántartást vezet a GDPR. 30. cikk (2) bekezdésének értelmében. A nyilvántartás vezetése az adatvédelemért felelős munkavállaló kötelezettsége.
Abban az esetben, ha a Társaság valamely adatkezelővel adatfeldolgozói tevékenységre vonatkozó szerződést köt, köteles a szervezeti egység vezetője bejelenteni a szerződéskötés tényét a Társaság adatvédelemért felelős munkavállalójának.
A GDPR. 30. cikk (2) bekezdésének értelmében a nyilvántartás a következő információkat tartalmazza:
- az adatfeldolgozó neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek, vagy akinek a nevében az adatfeldolgozóként eljár, továbbá - ha van ilyen - az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az Adatvédelemért felelős munkavállalónak a neve és elérhetőségei;
- az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
- adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását;
- az adatbiztonság érdekében tett technikai és szervezési intézkedések általános leírása.
- Adatfeldolgozó igénybevételével kapcsolatos általános szabályok és jogszabályi dokumentációs kötelezettség és a közös adatkezelés
A Társaság, mint Adatkezelő csak olyan Adatfeldolgozókat vesz igénybe, amelyek megfelelnek a GDPR 32. cikke szerinti előírásoknak. Az adatfeldolgozási megállapodást írásban kell megkötni az adatfeldolgozó igénybevételére vonatkozó szerződéssel egyidejűleg, vagy annak részeként.
Amennyiben a fentiektől eltérően az eset összes körülményét figyelembe véve nem adatfeldolgozásnak, hanem közös adatkezelésnek minősül az érintett jogviszony, akkor az Adatkezelő és a további adatkezelők a közöttük létrejött megállapodásban kötelesek meghatározni a GDPR-ban foglalt kötelezettségek teljesítéséért fennálló felelősségük megoszlását, különösen az érintettek jogainak gyakorlásával és tájékoztatásával kapcsolatban. A megállapodásban meg kell jelölni, hogy melyikük tartja az kapcsolatot az érintettel. A megállapodás lényegéről az érintetteket tájékoztatni kell. Biztosítani kell az érintett jogait abban az esetben is, ha azokat a megállapodás feltételeitől függetlenül kívánja gyakorolni.
· Az érintettek jogainak érvényesítése
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, jogosult arra, hogy hozzáférjen a GDPR 15. cikkében meghatározott információkhoz, valamint kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - törlését vagy kezelésének korlátozását, illetve tiltakozhat a személyes adatok kezelése ellen a Társaság feltüntetett elérhetőségein.
Az érintett főszabály szerint az adatvédelemért felelős munkavállalóhoz intézi a fenti megkeresését. Amennyiben mégsem így történik, a címzett (pl. a Társaság ügyvezetője/ügyvezetői, a Társaság bármely munkavállalója) köteles a megkeresést haladéktalanul továbbítani a Társaság adatvédelemért felelős munkavállalója részére, és erről egyidejűleg az érintettet is köteles értesíteni.
A Társaság az adatvédelemért felelős munkavállaló útján az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb egy hónapon belül írásban, közérthető formában választ ad.
· Tájékoztatás és hozzáférés
A tájékoztatás kiterjed a GDPR 13., 14. és 15. cikkében meghatározott információkra, amennyiben az érintett tájékoztatása törvény alapján nem tagadható meg.
A tájékoztatás főszabály szerint ingyenes, költségtérítést Társaság csak a GDPR 12. cikk (5) bekezdésében meghatározott esetben számít fel.
Az érintett hozzáférési joga - a GDPR 15. cikkében meghatározottakkal összhangban - az alábbi információk rendelkezésre bocsátására terjed ki:
- adatkezelés céljai;
- érintett személyes adatok kategóriái;
- azon címzettek, akikkel a személyes adatokat közlik vagy közölni fogják;
- személyes adatok tárolásának tervezett időtartama;
- érintett jogai a személyes adatok kezelése körében;
- az adatok forrása, amennyiben nem az érintettől gyűjtötték őket;
- automatizált döntéshozatalra vonatkozó információk.
· Helyesbítés
A valóságnak nem megfelelő adatot a Társaság - amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak - indokolatlan késedelem nélkül helyesbíti.
Arra az időtartamra, amíg a Társaság ellenőrzi a személyes adatok pontosságát, a kérdéses személyes adatok korlátozásra kerülnek.
· Törlés
A Társaság az érintett kérésére indokolatlan késedelem nélkül törli a személyes adatot, amennyiben az adatkezelés hozzájáruláson alapult, az érintett kéri az adatok törlését (visszavonja a hozzájárulását) és nincs más adatkezelési jogalap.
A Társaság törli továbbá a személyes adatokat, amennyiben:
- már nincs szükség a személyes adatokra;
- az érintett a GDPR 21. cikkének megfelelően tiltakozik a személyes adatai kezelése ellen;
- a személyes adatok kezelése jogellenes;
- jogi kötelezettség teljesítése okán szükséges az adatok törlése.
· Az adatkezelés korlátozása
Az adatkezelés korlátozására abban az esetben kerülhet sor, amennyiben:
- az érintett vitatja az adatok pontosságát, az adatok helyességének megállapításáig terjedő időtartamra a Társaság korlátozza a személyes adatok kezelését;
- az adatkezelés jogellenes és az érintett törlés helyett a felhasználás korlátozását kéri;
- az adatkezelőnek már nincs szüksége az adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez;
- az érintett tiltakozik a személyes adatok kezelése ellen a GDPR 21. cikke szerint tiltakozott, a tiltakozással kapcsolatos mérlegelés elvégzésének erejéig.
Az érintett személyes adata kezelése elleni tiltakozásának elbírálásának időtartamára - de legfeljebb 5 napra - az adatkezelést az adatkezelést végző szervezeti egység vezetője felfüggeszti, a tiltakozás megalapozottságát megvizsgálja és döntést hoz, amelyről a kérelmezőt tájékoztatja.
Amennyiben a tiltakozás indokolt, az adatot a Társaság korlátozza, azaz kizárólag a tárolás, mint adatkezelés valósulhat meg mindaddig, amíg
- az érintett hozzájárul az adatkezeléshez;
- jogi igények érvényesítéséhez szükséges a személyes adatok kezelése;
- más természetes vagy jogi személy jogainak védelme érdekében szükségessé válik a személyes adatok kezelése; vagy
- jogszabály közérdekből elrendeli az adatkezelést.
Ha az adatkezelés korlátozását az érintett kérte, a korlátozás feloldásáról Társaság előzetesen tájékoztatja az érintettet.
· Tiltakozás
Az érintett abban az esetben tiltakozhat személyes adatai kezelése ellen, ha az adatkezelés jogalapja
- a GDPR 6. cikk. (1) bekezdés e) pontja szerinti közérdek vagy
- a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek.
Tiltakozási jog gyakorlása esetén a Társaság nem kezelheti tovább a személyes adatokat, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Annak megállapítása kapcsán, hogy az adatkezelést kényszerítő erejű jogos okok indokolják, a Társaság vezérigazgatója dönt, az adatvédelmi tisztviselővel együttműködésben. Az ezzel kapcsolatos álláspontjáról véleményben tájékoztatja az érintettet.
A megállapításig terjedő időtartamra a személyes adatok a 11.4. pontnak megfelelően korlátozásra kerülnek.
· Adathordozhatóság
Az érintett jogosult arra, hogy a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, amennyiben:
- az adatkezelés jogalapja az érintett hozzájárulása vagy az adatkezelésre olyan szerződés teljesítése érdekében volt szükség, amelyben az érintett az egyik fél vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges [GDPR 6. cikk (1) bek. a) vagy b) pont, illetve 9. cikk (2) bek. a) pont] és
- az adatkezelés automatizált módon történik.
· Jogorvoslat
A Társaság az érintett adatainak a GDPR-t sértő kezelésével másnak okozott kárt, illetve az általa igénybe vett adatfeldolgozó által okozott azon károkat, amelyek nem amiatt következtek be, mert az adatfeldolgozó nem tartotta be a GDPR előírásait vagy a Társaság utasításait, a Társaság köteles megtéríteni. A Társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt előidéző eseményért semmilyen felelősség nem terheli. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
Az érintett a Társaság adatkezelési eljárásával kapcsolatos panasszal Magyarország területén a NAIH-hoz fordulhat:
név: Nemzeti Adatvédelmi és Információszabadság Hatóság
székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C.
honlap: www.naih.hu
Az érintett - választása szerint - bírósági úton is érvényesítheti igényét. A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.