Hatályos 2022. december 05. napjától

 

Sorsközpont Kft. (székhely: 2014 Csobánka, Borony utca 15., telephely: 1036 Budapest, Kolosy tér 1/B 4/1) és Lukács Zoltán Gábor egyéni vállalkozó (székhely: 1036 Budapest, Kolosy tér 1/B 4/1), mint a SORSLEVELEK brand közös adatkezelői, adatvédelmi szabályzatukat az alábbiak szerint állapítják meg:

1. Preambulum

1.1 Az Európai Parlement és a Tanács (EU) 2016/679. számú Általános Adatvédelmi Rendeletére (továbbiakban: GDPR.) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), valamint az idevágó ágazati jogszabályok rendelkezéseire tekintettel, az azoknak való megfelelés érdekében belső adatvédelmi szabályzat elfogadása vált szükségessé.

1.2 A közös adatkezelők tevékenységük során az adatkezelési gyakorlatukat a GDPR. 5. cikkében, valamint az Infotv. 4. §-ában foglalt alapelvek (továbbiakban: alapelvek) szerint kötelesek kialakítani.

1.3 A közös adatkezelők mindenkor kötelesek vizsgálni, hogy adatkezelési gyakorlatuk az alapelveknek, valamint a mindenkori adatvédelmi előírásoknak megfelel-e. Eltérés esetén a közös adatkezelők kötelesek megtenni a megfelelő intézkedéséket annak érdekében, hogy az alapelvek, a mindenkori adatvédelmi előírások és az adatkezelési gyakorlat összhangba kerüljenek. A megfelelő intézkedések megtétele érdekében a közös adatkezelők szükség esetén külső tanácsadót vonhatnak be adatkezelési gyakorlatuk felülvizsgálatára, valamint a jogszabályban meghatározottak szerint az adatvédelmi hatóságtól állásfoglalást kérhetnek.

2. Értelmező rendelkezések:

a. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosíthat,

b. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés,

c. adatbázis: a SORSLEVELEK branddel összefüggésben a közös adatkezelők által kezelt személyes adatok rendszerezett, papíralapú vagy elektronikus gyűjteménye,

d. adatkezelési gyakorlat: a közös adatkezelők személyes adatkezelésére vonatkozó belső rendje, ideértve különösen, de nem kizárólagosan a személyes adatok tárolására, feldolgozására, felhasználására, közlésére, törlésére vonatkozó belső szabályokat,

e. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja,

f. közös adatkezelők: azon adatkezelők, akik az adatkezelés céljait és eszközeit közösen határozzák meg,

g. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel,

h. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak,

i. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak,

j. a közös adatkezelők nevében eljáró személy: a közös adatkezelők és mindazon személyek, akik egy adott jogügylet, tevékenység vonatkozásában megfelelő felhatalmazás alapján a közös adatkezelők nevében járnak el,

k. általános szerződési feltétel: az a szerződési feltétel, amelyet az alkalmazója több szerződés megkötése céljából egyoldalúan, a másik fél közreműködése nélkül előre meghatározott, és amelyet a felek egyedileg nem tárgyaltak meg,

l. egyedi szerződése feltétel: az a szerződési feltétel, amelyet a szerződő felek egymással a szerződés megkötése előtt egyedileg tárgyaltak meg,

m. üzleti titok: a gazdasági tevékenységhez kapcsolódó, titkos – egészben, vagy elemeinek összességeként nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek a titokban tartása érdekében a titok jogosultja az adott helyzetben általában elvárható magatartást tanúsítja,

n. know-how: az üzleti titoknak minősülő, azonosításra alkalmas módon rögzített, műszaki, gazdasági vagy szervezési ismeret, megoldás, tapasztalat vagy ezek összeállítása

o. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

3. Eljárás az adatfeldolgozókkal kötendő szerződések esetén

 3.1 Adatfeldolgozóval kötendő szerződések esetén a közös adatkezelő nevében eljáró személy köteles gondoskodni arról, hogy a mindenkori adatvédelmi előírásoknak megfelelő, az érintettek jogainak érvényesülését, személyes adataik védelmét garantáló szerződéseket kössön.

3.2 A 2.1. pontban foglalt cél érvényesülése érdekében a közös adatkezelő nevében eljáró személy köteles

a. gondoskodni arról, hogy a kötendő szerződés a GDPR. 28. és 29. cikkében foglaltak megfeleljen,

b. az adatfeldolgozó által alkalmazott általános szerződési feltéltelek vagy egyedi szerződési feltételek adatvédelmi szempontú vizsgálatának elvégzésére,

c. az adatfeldolgozó által alkalmazott általános szerződési feltételektől vagy egyedi szerződési feltételektől eltérő, a mindenkori adatvédelmi előírásoknak megfelelő egyedi szerződési feltételek megtárgyalásának kezdeményezésére, amennyiben azok a mindenkori adatvédelmi előírásoknak nem felelnek meg,

d. az adatfeldolgozó adatkezelési gyakorlatának átvilágítására,

e. meggyőződni arról harmadik országba történő adattovábbítás esetén, hogy az adattovábbítás célországa tekintetében megfelelőségi határozat van-e hatályban, ennek hiányában köteles az adatfeldolgozótól a GDPR. 46. cikkében meghatározott megfelelő garanciákat beszerezni, e garanciák hiányában megvizsgálni, hogy a GDPR. 49 cikke alapján az adattovábbítás engedélyezett-e,

f. a szükséges, üzleti titkot, know-how-t nem sértő mértékben tájékoztatni az érintettet a harmadik személlyel kötött szerződés nyomán a közös adatkezelők adatvédelmi gyakorlatában beálló változásról.

3.3 A 2.3. pontban e. alpontján foglalt tájékoztatásnak a közös adatkezelő nevében eljáró személy az adatkezelővel kötendő szerződés által érintett adatkezelésre vonatkozó tájékoztató módosításával, a módosított adatvédelmi tájékoztatónak a SORSLEVELEK brandhez kötődő honlapokon való közzétételével, és adatvédelmi tájékoztató módosításáról szóló tájékoztatásnak az érintett részére írásban történő megküldésével tesz eleget.

4. Eljárás közös adatkezelés esetén

 

4.1 Amennyiben a közös adatkezelők más személlyel közösen kezelnek személyes adatokat, és ennek okán ezzel a személlyel közös adatkezelőnek minősülnek, úgy a közös adatkezelő nevében eljáró személy köteles olyan írásbeli megállapodást kötni ezzel a személlyel, amely megfelel a GDPR. 26. cikkében foglaltaknak.

 

4.2 A megállapodás megkötése során a közös adatkezelők nevében eljáró személy a 3. pontban foglalt rendelkezések értelemszerű, a közös adatkezelés sajátosságait figyelembe vevő alkalmazásával köteles eljárni.

5. Eljárás harmadik fél részére történő adattovábbítás esetén

 

5.1 Harmadik fél részére történő adattovábbítás esetén, az adattovábbítást megelőzően a közös adatkezelő nevében eljáró személy köteles meggyőződni arról, hogy az adattovábbítás nem ütközik a mindenkori adatvédelmi előírásokba, azok alapján az adattovábbításra megfelelő jogcímmel rendelkezik. Amennyiben az adattovábbítás bármilyen okból tilalmazott, a közös adatkezelő nevében eljáró személynek az adattovábbítást meg kell tagadnia, és erről, valamint a megtagadás okairól a harmadik felet írásban tájékoztatnia kell.

 

5.2 Harmadik fél részére történő adattovábbítás esetén az érintettet az adattovábbítás tényéről írásban tájékoztatni kell. Kivételt képez ez alól, ha jogszabály az érintett tájékoztatását kifejezetten tiltja.

6. A személyes adatok kezelésének rendje

6.1 A közös adatkezelők által kezelt személyes adatok papíralapon vagy elektronikusan kerülnek tárolásra.

6.2 A papíralapú adatbázisokat áttekinthetően, pontosan és naprakészen kell vezetni.

6.3 Az egyes elektronikus adatbázisok a közös adatkezelők által használt szoftvereken, ügyviteli rendszeren keresztül kerülnek kialakításra, ügyelve arra, hogy ezen adatbázisok áttekinthetőek, pontosak és naprakészek legyenek.

6.4 Gondoskodni kell arról, hogy a közös adatkezelők munkavállalóinak, a közös adatkezelőkkel egyéb munkavégzésre irányuló jogviszonyban álló személyek személyes adatai, a közös adatkezelők szerződéses partnereinek személyes adatai, a közös adatkezelők üzleti tevékenységével összefüggésben kezelt személyes adatok, valamint a könyveléssel, számlázással összefüggésben kezelt személyes adatok egymástól elkülönülő adatbázisokban kerüljenek rendszerezésre.

6.5 A közös adatkezelők munkaeszközein tárolt magánjellegű személyes adatokat a közös adatkezelők tevékenységével összefüggésben kezelt személyes adatoktól elkülönülten kell tárolni. Munkáltatói ellenőrzés során a közös adatkezelők nevében eljáró személy kizárólag a munkaviszonnyal összefüggő adatokba tekinthet bele. Az ellenőrzést az ellenőrzést elszenvedő személy jelenlétében kell elvégezni, az ellenőrzésről jegyzőkönyvet kell felvenni.

6.6 A kezelt személyes adatokhoz munkakörüknek megfelelően, feladataik elvégzéséhez szükséges mértékben a közös adatkezelők munkavállalói, a közös adatkezelővel egyéb munkavégzésre irányuló jogviszonyban álló személyek férhetnek hozzá, akik kötelesek gondoskodni arról, hogy az adatkezelés során a személyes adatok jogosulatlan személyekhez ne kerüljenek, kötelesek tartózkodni a személyes adatok bármilyen módon történő közzétételéről. Személyes adatokhoz a közös adatkezelők szerződés partnerei is hozzáférhetnek kötelezettségeik teljesítéséhez szükséges mértékben. E partnerek a közös adatkezelők munkavállaóival azonos módon kötelesek eljárni az adatkezelés során.

7. Az adatkezelés biztonsága

 7.1 A közös adatkezelők a kezelt személyes adatok biztonságát az alábbi fizikai intézkedésekkel biztosítják:

a. a közös adatkezelőkhöz köthető minden olyan helyiség, ahol bármilyen formában személyes adatot kezelnek, megfelelő mechanikai védelemmel kerül ellátásra (biztonsági zár, riasztó, zárható szekrények és fiókok),

b. a közös adatkezelőkhöz köthető minden olyan helyiségben, ahol személyes adatot kezelnek, olyan személy, aki e személyes adatokhoz hozzáférési jogosultsággal nem rendelkezik, csak felügyelet mellett tartózkodhat,

c. a közös adatkezelők tevékenységük során fokozottan ügyelnek a „clean desk policy” megtartására,

d. a papíralapon tárolt személyes adatok megsemmisítése során olyan iratmegsemmisítő gépet kell alkalmazni, amely garantálja, hogy a megsemmisített adatok fizikai vagy bárminemű visszaállítása lehetetlen.

7.2 A közös adatkezelők a kezelt személyes adatok biztonságát az alábbi számítástechnikai intézkedésekkel biztosítja:

a. a közös adatkezelők tulajdonát képező, a közös adatkezelők tevékenysége során használt számítástechnikai eszközök (továbbiakban: számítástechnikai eszközök, jelszavas védelemmel vannak ellátva,

b. a számítástechnikai eszközökön kizárólag jogtiszta, megbízható forrásból származó szoftverek kerülnek telepítésre,

c. a számítástechnikai eszközök vírusvédelemmel vannak ellátva,

d. valamennyi tevékenység során használt szoftverhez, ügyviteli rendszerhez kapcsolódó, a közös adatkezelők kezelésében álló felhasználói fiók jelszavas védelemmel rendelkezik,

e. a közös adatkezelők által kezelt elektronikus személyes adatok adathordozóra történő mentése esetén kizárólag olyan adathordozó kerül felhasználásra, amely megfelelő titkosítással, jelszavas védelemmel rendelkezik.

f. a közös adatkezelők gondoskodnak arról, hogy a számítástechnikai eszközök rendeltetésszerű használatra alkalmasak legyenek, a hibaelhárítást, karbantartást a közös adatkezelők a kellő gondosság tanúsítása mellett szervezik meg,

g. a számítástechnikai eszközök selejtezése során a közös adatkezelők gondoskodnak arról, hogy az azokon tárolt adatok olyan módon kerüljenek törlésre, hogy azok későbbi visszaállítása ne legyen lehetséges. Ez történhet fizikai megsemmisítés vagy olyan szoftver alkalmazása útján, amely megfelelő minősétessel rendelkező adattörlési módszert használ. Az adatok törlésére a közös adatkezelők speciálisan ezzel foglalkozó, harmadik személynek is adhat megbízást a 3. pontban foglalt eljárás rend alkalmazásával.

8. Adatvédelmi incidensek

8.1 A GDPR. 33. cikkében foglaltakra figyelemmel a közös adatkezelők nevében eljáró személy az adatvédelmi incidens ismertté válását követően haladéktalanul elvégzi az incidens kockázati szempontú elemzését. Az elemzés eredményéről a közös adatkezelőket írásban rövid úton tájékoztatni kell, és a tájékoztatásban az eredménytől függően meg kell tenni az intézkedési javaslatokat.

8.2 Az elemzésben ismertetni kell az adatvédelmi incidens jellegét, fokozottan vizsgálni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket.

8.3 Amennyiben az elemzés alapján szükségesnek mutatkozik, a közös adatkezelők haladéktalanul megteszik az incidensről szóló bejelentést a GDPR. 33. cikk (3) bekezdésben foglalt tartalommal a Nemzeti Adatvédelmi és Információszabadság Hatóság felé.

8.4 Ha az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóság felé a közös adatkezelők kötelesek bejelenteni, úgy a bejelentéssel egyidejűleg az érintettet a közös adatkezelők az adatvédelmi incidensről tájékoztatják a GDPR. 34. cikk (2) bekezdésben foglalt tartalommal. Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, úgy a közös adatkezelők tájékoztatási kötelezettségüknek akként tesznek eleget, hogy a tájékoztatást nyilvánosan elérhető felületeiken teszik közzé.

8.5 Az adatvédelmi incidensekről minden esetben nyilvántartás kell vezetni a GDPR. 33. cikk (5) bekezdése szerinti tartalommal.

Budapest, 2022. december 05.