MagyarEnglish
Adatvédelmi és adatkezelési szabályzat

1. A Szabályzat célja

Az Unione-C Kft. (a továbbiakban: Adatkezelő) jelen Szabályzattal a 2018. május 25. napjától alkalmazandó, az Európai Parlament és Tanács (EU) 2016/679. számú Rendeletnek (a továbbiakban: GDPR), illetve a vonatkozó magyar jogszabályoknak, különös tekintettel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) való megfelelés érdekében az alábbi adatkezelési szabályzatot fogadja el az alulírott helyen és időben.
A jelen Szabályzat célja, hogy rögzítse az Adatkezelő által alkalmazott adatvédelmi és adatkezelési elveket és szabályokat, valamint az Adatkezelő adatvédelmi és adatkezelési politikáját.
Jelen Szabályzat hatálya kiterjed az Adatkezelő valamennyi munkavállalójára, ügyfelére, illetve a vele megbízási jogviszonyban lévő személyekre.

2. Adatkezelő adatai

Név:                Unione-C Kft.
Székhely (levelezési cím):     1013 Budapest, Lánchíd utca 7-9.
Cégjegyzékszám:         01-09-664374
Adószám:            12304590-2-41
Telefonos elérhetőség:        +36 1 709 88 21
Elektronikus elérhetőség:        

3. Fogalommagyarázat

A jelen pontban szereplő valamennyi definíciót a GDPR 4. cikke a következő módon határozza meg:

Személyes adat: azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Személyes adatok különleges kategóriái: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

Adatkezelő tevékenységi helye: az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

Adatfeldolgozó tevékenységi helye: az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;

Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

Felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv. Magyarországon ezt a szerepet a Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c.; https://www.naih.hu/panaszuegyintezes-rendje.html, továbbiakban: NAIH) tölti be.

4. Az adatkezelés elvei

4.1    Jogszerűség, tisztességes eljárás és átláthatóság
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni.

4.2    Célhoz kötöttség
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik ezekkel a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.


4.3    Adattakarékosság
A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük és a szükségesre kell korlátozódniuk.


4.4    Pontosság
A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

4.5    Korlátozott átláthatóság
A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, a GDPR-ban az Érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

4.6    Integritás és bizalmi jelleg
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

4.7    Elszámoltathatóság
Az Adatkezelő felelős a 4. pontnak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

5. Az adatkezeléssel kapcsolatos rendelkezések

5.1    Az adatvédelmi tisztviselőt/adatvédelemért felelős személyt az ügyvezető jelöli ki. Az Unione-C Kft-nél a GDPR 37. cikke alapján adatvédelmi tisztviselő kijelölése nem kötelező. Amennyiben mégis kijelölésre kerül az adatvédelmi tisztviselő feladatai az alábbiak:
a, tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
b, ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
c, kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálatnak a GDPR 35. cikke szerinti elvégzését;
d, együttműködik a felügyeleti hatósággal; és
e, az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
f; vezeti az adatvédelmi nyilvántartást.

Amennyiben adatvédelmi tisztviselő kijelölésre kerül, úgy neve, elérhetősége az érintettek számára nyilvános, hozzáférhető, valamint az érintettek hozzájárulási nyilatkozatain feltüntetésre kerül.

5.2 A magánadatok kezelésének kategóriái az érintettek köre szerint

5.2.1 Munkavállalók

5.2.1.1 A kezelt személyes adatok köre: munkaszerződésekhez szükséges adatok
Az adatokhoz hozzáféréssel rendelkezik: ügyvezető, illetve a mindenkori, bérszámfejtéssel megbízott cég, amely szintén köteles a GDPR szerint eljárni. Szükség esetén a szerződés szerkesztése, módosítása, illetve jogviták rendezése vagy jog érvényesítése érdekében az érintett személyes adatai az Adatkezelő megbízott ügyvédje számára átadásra kerülhetnek.

Az egyes adatkezelések célja és jogalapja:
Munkaszerződések: A munkaszerződések kezelése abból az okból szükséges, hogy a munkavállalók adatai a munkavégzéshez szükséges bejelentésekhez, havi rendszerességgel történő bérszámfejtésekhez, munkaviszony megszűnése esetén a munkaviszonyt igazoló dokumentumok kiállításához, egyéb munkavállalói kérésre kiadott munkáltatói igazolásokhoz, munkabér rendezéséhez rendelkezésre álljanak.

Azaz az alábbi jogalapok állnak fent:
-    az érintett hozzájárulása,
-    szerződés teljesítése,
-    az Adatkezelőre vonatkozó jogi kötelezettség teljesítése
A személyes adatok tárolásának tervezett időtartama: a Magyarországon mindenkor hatályos munkaügyi törvényben meghatározott időtartam

5.2.1.2 A kezelt személyes adatok köre: az Adatkezelő vállalati szoftvereihez, e-mail rendszeréhez és a munkavállaló által használt számítógépen a belépéshez szükséges egyedi azonosítók, jelszavak, e-mail postafiókok

Az adatokhoz hozzáféréssel rendelkezik: ügyvezető, illetve a mindenkori, a vállalati szerver üzemeltetésével megbízott cég, amely szintén köteles a GDPR szerint eljárni.

Az egyes adatkezelések célja és jogalapja:
Egyes munkavállalóknak mindennapi munkájuk ellátásához rendelkezniük kell az általuk használt számítógép, illetve az azon telepített vállalati szoftverek használatához szükséges felhasználónévvel és jelszóval, valamint a munkavégzésükhöz szükséges e-mail címmel és az ahhoz tartozó jelszóval.

Azaz az alábbi jogalapok állnak fent:
-    az érintett hozzájárulása
-    szerződés teljesítése
-    az Adatkezelőre vonatkozó jogi kötelezettség teljesítése
-    az Érintett, vagy másik természetes személy létfontosságú érdekei miatt szükséges

A személyes adatok tárolásának tervezett időtartama: a munkavállaló munkaviszonyának megszűnését követő 3 munkanapon belül törlésre kerülnek a számítógéphez, vállalati szoftverekhez, e-mail címhez való hozzáférések és az adatok.

5.2.2 Állásra jelentkezők önéletrajza

A személyes adatok köre: bármely olyan adat, amelyet a pályázó fontosnak talál kihangsúlyozni a pályázat pozitív elbírálásának érdekében.

Az egyes adatkezelések célja és jogalapja: az Adatkezelő álláspályázatai elbírálásához (fényképes) önéletrajzot kérhet be az Érintettektől.

Az adatokhoz hozzáféréssel rendelkezik: ügyvezető

A személyes adatok tárolásának tervezett időtartama: az Adatkezelő által kihirdetett álláspályázatokra érkezett önéletrajzokat az Adatkezelő 1 évig tárolja, majd törli, illetve megsemmisíti, és minden esetben az érintett személyes adatkezelési hozzájáruláshoz köti. A kéretlenül érkező önéletrajzok esetében, amennyiben azt az Adatkezelő legfeljebb 3 napon belül nem törli vagy semmisíti meg, úgy külön hozzájárulást kér a jelentkezőtől és az érintett hozzájárulása esetén 1 év után törli az adatokat.

5.2.3. Elektronikus megfigyelőrendszer
Az adatokhoz hozzáféréssel rendelkezik: ügyvezető, illetve a mindenkori a vállalati szerver üzemeltetésével megbízott cég, amely szintén köteles a GDPR szerint eljárni.

Az egyes adatkezelések célja és jogalapja:
Az Adatkezelő az emberi élet, épség, személyi szabadság védelme, veszélyes anyagok, veszélyes gépek megfigyelése, illetve vagyonvédelem céljából alkalmazza a megfigyelő rendszert.

Azaz az alábbi jogalapok állnak fent:

-    az Érintett, vagy másik természetes személy létfontosságú érdekei miatt szükséges;
-    az Adatkezelő jogos érdekeinek védelme miatt szükséges.

A személyes adatok tárolásának tervezett időtartama: 3 munkanap

5.2.4. Ügyfelek, megbízottak

5.2.4.1 A kezelt személyes adatok köre: a szerződés előkészítéséhez, megkötéséhez és teljesítéséhez szükséges adatok

Az adatokhoz hozzáféréssel rendelkezik: ügyvezető, illetve az üzletkötő, valamint a számlázást, könyvelést és követeléskezelést végző munkatársak vagy megbízottak, továbbá a teljesítéséhez szükséges mértékben a termék kiszállítását végző személy. Szükség esetén a szerződés szerkesztése, módosítása, illetve jogviták rendezése vagy jog érvényesítése érdekében az érintett személyes adatai az Adatkezelő által megbízott ügyvéd vagy ügyvédi iroda számára átadásra kerülhetnek.

Az egyes adatkezelések célja és jogalapja:

Adásvételi szerződések, keretszerződések: Az ügyfél (Megrendelő) személyes adatainak kezelése a vele való szerződéskötéshez, az azt megelőző tárgyalások lefolytatásához, illetve vele kötött szerződés teljesítéséhez, így a Megrendelő azonosításához, a szállítási hely megállapításához, számla kiállításához, termék leszállításához, átadásához és az esetleges reklamációk kezeléséhez, valamint kifizetetlen számla esetén az Adatkezelő jogainak érvényesítéséhez szükséges.

Azaz az alábbi jogalapok állnak fent:
-    az érintett hozzájárulása,
-    szerződés teljesítése,
-    az Adatkezelőre vonatkozó jogi kötelezettség teljesítése
A személyes adatok tárolásának tervezett időtartama: a szerződés teljesítéséig, illetve azt követően az elévülés bekövetkeztéig, valamint számviteli, adóügyi bizonylatok esetében azok jogszabályban előírt megőrzési idejéig.

5.2.4.2 A kezelt személyes adatok köre: az Érintett neve, lakhelye, e-mail címe, telefonszáma, a postázási/szállítási cím, amennyiben a megrendelő szervezet, úgy a szervezet törvényes, vagy meghatalmazott képviselőjének neve, telefonszáma, e-mail címe. Amennyiben írásbeli szerződés kötésére kerül sor, úgy a további személyes adatok is: anyja leánykori neve, születési hely és születési idő, fizetési számla száma, adóazonosító jel, tartózkodási hely, személyazonosító igazolvány száma.


6. Érintettek jogai

6.1    Hozzáférési és egyéb jogok
Az Érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen.

6.2    Adathordozhatósághoz való jog
Ha a személyes adatok kezelése automatizált módon történik, az Érintettet megilleti az adathordozhatósághoz való jog. Az Érintett a rá vonatkozó, általa a Szolgáltató rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatja, illetve ezeket továbbíthatja egy másik adatkezelőnek.

6.3    Hozzájárulás visszavonásához való jog
Hozzájáruláson alapuló adatkezelés esetén az Érintettet megilleti a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

6.4    Igényérvényesítés, panaszjog
Az Érintett az őt megillető jogok gyakorlása érdekében első sorban az Adatkezelőhöz jogosult fordulni. Ha az Adatkezelő nem tesz intézkedést az Érintett kérelme nyomán, illetve ha tájékoztatja az Érintettet az intézkedés elmaradása okáról, úgy az Érintett panasszal fordulhat a NAIH-hoz, vagy bíróság előtt érvényesítheti jogait a Polgári Törvénykönyvről szóló 2013. évi V. törvény alapján.

7. Adatkezelő kötelezettségei

7.1    Adatbiztonsági intézkedések
Az Adatkezelő egyrészt az adatvédelmi elvek megvalósítása, másrészt a GDPR-ban foglalt követelmények teljesítése és az érintettek jogainak védelméhez szükséges garanciák biztosítása érdekében az alábbi intézkedéseket hozza meg;
-    a személyes adatok zárt, illetéktelenek részére nem hozzáférhető helyen való tárolása. Az Adatkezelő a megbízott szerverüzemeltető partnercégével együttműködve a GDPR előírásainak megfelelő, biztonságos szervert biztosít működéséhez,
-    adatvédelmi incidens esetén a személyes adatokhoz való hozzáférés biztosítása,
-    nyilvántartó rendszerek tesztelése, felülvizsgálata,
-    naplózás, jegyzőkönyvek készítése az adatkezelési folyamatokról,

Az egyes intézkedések meghatározásakor az Adatkezelő az alábbi kockázatokat veszi figyelembe; a kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy az azokhoz való jogosulatlan hozzáférés.  

Az Adatkezelő a megtett intézkedéseket felülvizsgálja és szükség esetén naprakésszé teszi.

7.2    Célhoz kötött adatkezelés biztosítása
Az Adatkezelő biztosítja, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségére vonatkozik. Biztosítani kell, hogy a személyes adatok alapértelmezés szerint emberi beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

7.3    Nyilvántartási kötelezettség
Az Adatkezelő adatkezelési tevékenységéről írásban nyilvántartást vezet, mely a következő információkat tartalmazza:

-    az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

-    az adatkezelés céljai;

-    az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

-    olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

-    ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

-    ha lehetséges, az adatkezelés biztonságát szolgáló, 7.1. pontban szereplő technikai és szervezési intézkedések általános leírása.

Az Adatkezelő megkeresés alapján a felügyeleti hatóság (NAIH) részére rendelkezésére bocsátja a nyilvántartást.

7.4    Kötelezettségek adatvédelmi incidensek esetén
Az Adatkezelőnek az adatvédelmi incidensekkel kapcsolatban az alábbi kötelezettségei vannak:

-    a tudomásszerzést követő, legkésőbb 72 órán belül be kell jelenteni az incidenst a NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve;

-    ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is;

-    a bejelentésben szereplő információk több részletben is közölhetőek indokolatlan késedelem nélkül;

-    adatvédelmi incidensek nyilvántartása, az ahhoz kapcsolódó tények feltüntetésével, illetve az orvoslásra tett intézkedéseket;

-    az Érintett tájékoztatása az adatvédelmi incidensről a GDPR 34. cikkében szereplő feltételek fennállása esetén, az ott meghatározott módon;

7.5    Adatvédelmi hatásvizsgálat elvégzése
Az Adatkezelőnek a GDPR 35. cikkének megfelelően adatvédelmi hatásvizsgálatot kell végeznie abban az esetben, ha a tervezett adatkezelés valószínűsíthetően magas kockázattal jár az Érintettek jogaira és szabadságaira nézve. A vizsgálat arra irányul, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Az Adatkezelő a vizsgálat során kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről. Az Adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

8. Egyéb rendelkezések

8.1    Az Adatkezelő feladatai végrehajtása során a NAIH-al – annak megkeresése alapján – együttműködik.

8.2    Az Adatkezelő gondoskodik jelen szabályzat felülvizsgálata és szükség szerint naprakésszé tétele iránt.
8.3    Az Adatkezelő jogosult egyoldalúan módosítani a szabályzat tartalmát; ilyen esetben az Érintettek értesítése kötelező.

8.4    Jelen szabályzatban nem szabályozott kérdésekre a magyar jog adatvédelmi tárgyú jogszabályai, különös tekintettel az Infotv. és a 2018. május 25. napjától alkalmazandó GDPR rendelkezései irányadóak.

8.5    Az Adatkezelő a GDPR-nak megfelelő, biztonságos informatikai rendszert működtet, amelynek meglétéről a mindenkori, a vállalati szerver üzemeltetésével megbízott cég köteles nyilatkozni (a nyilatkozat az Adatvédelmi és Adatkezelési Szabályzat mellékletét képezi)

Kelt.: Budapest, 2018.év május hónap 24. nap
    ........................................................
    Unione-C Kft.
    mint Adatkezelő képviselője:
    Scheer Sándor
    ügyvezető

Adatvédelmi és adatkezelési szabályzat