Belső adatvédelmi és adatbiztonsági szabályzat
I. Általános rendelkezések
I.1. A MAXI-LOAD Autórugó Korlátolt Felelősségű Társaság (székhely: 2045 Törökbálint, Tópark u. 9., adószám: 26205092-2-13, elérhetőségek: tel.: 30 9688246, e-mail cím: info@lkw-federn.at, nyilvántartó bíróság: Budapest Környéki Törvényszék Cégbírósága, cégjegyzékszám: 13-09-190672, a továbbiakban: Társaság) számára kiemelt fontosságú cél az általa nyújtott szolgáltatás során az Ügyfél, a Szállítók valamint a Társaság Munkavállalói által rendelkezésre bocsátott személyes adatok védelme, melyet a Társaság a jelen belső szabályzatban (Szabályzat) foglalt rendelkezések betartásával biztosít.
A Társaság a rendelkezésére bocsátott személyes adatokat bizalmasan, a hatályos jogszabályi előírásokkal – különös tekintettel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezéseire, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendeletre (2016. április 27.; a továbbiakban: GDPR) – összhangban kezeli, gondoskodik azok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, valamint kialakítja azokat az eljárási szabályokat, amelyek a vonatkozó jogszabályi rendelkezések és más ajánlások érvényre juttatásához szükségesek.
I.2. Jelen Szabályzat foglalja össze azokat a rendelkezéseket, amelyek meghatározzák a Társaság érdekében eljáró személyeknek a személyes adatok védelmével kapcsolatos eljárását, politikáját és mindennapos gyakorlatát.
I.3. A Társaság a Szabályzat kialakítása során figyelembe vette a vonatkozó hatályos jogszabályokat, illetve a fontosabb nemzetközi ajánlásokat, különös tekintettel az alábbiakra:
- Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.);
- a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelet (GDPR);
- Az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény;
- a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.);
- az adatvédelmi biztos ajánlásai, állásfoglalásai és az általa kialakított adatvédelmi gyakorlat (NAIH).
II. Hatály
II.1. Személyi hatály
Jelen Szabályzat személyi hatálya kiterjed mindazon természetes személyekre, valamint jogi személyekre és azok munkavállalóira is, akik a Társasággal fennálló munkavégzésre irányuló, vagy megbízási jogviszonyukból fakadóan a Társaság által kezelt adatokhoz bármilyen mértékben (akár az Adatok teljes köréhez, akár azok egy részéhez) hozzáférnek (a továbbiakban együttesen, a jogviszony jellegétől függetlenül: Munkavállaló).
II.2. Tárgyi hatály
Jelen Szabályzat tárgyi hatálya a Tájékoztatóban foglalt, a Társaság által kezelt adatok (a továbbiakban: Adatok) Társaság érdekében történő kezelésére, feldolgozására és továbbítására terjed ki.
II.3. Időbeli hatály
Jelen Szabályzat annak keltének napjától kezdődő hatállyal irányadó. A Társaság jelen Szabályzatot annak hatályba lépésének napján valamennyi Munkavállaló részére elektronikus úton közvetlenül és korlátlanul rendelkezésére bocsátja.
III. Az adatok beszerzése, rögzítése
A Tájékoztató V. pontjában meghatározott Adatokat a Társaság az alábbiak szerint szerzi be és rögzíti:
III.1. Az Adatokat az Ügyfél és a Szállító a Társasággal kötött szerződés során adja meg.
III.2. Az Adatokat a Munkavállaló a Társaságnál munkaviszony létesítés során adja meg.
A Társaság nem szerez be egyéb módon Adatokat Ügyfelektől, Munkavállalóktól vagy más, harmadik személyektől.
IV. Az adatok tárolása
IV.1. A Társaság a kezelt Adatokat egy felhő-alapú tárhelyen és egy fizikai szerveren tárolja.
Tárhely szolgáltató neve: Google
Tárhely szolgáltató címe: Gordon H., Barrow str., Dublin, D04 E5W5, Írország
Tárhely szolgáltató e-mail címe: lkw.federn@google.com
Fizikai szerver címe: A társaság székhelye
V. Hozzáférés az adatokhoz
A Tájékoztató V. pontjában meghatározott Adatokhoz való hozzáférés – az egyes adatkezelési célok szerint – az alábbiaknak megfelelően biztosított:
V.1. A szerződéskötés során kezelt Adatok
Kezelt Adat: Név, számlázási cím, szállítási cím, telefonszám, e-mail cím
Hozzáférésre jogosultak a szerződés teljesítésének lebonyolításáért Munkavállalók. A Társaság által erre kialakított munkakör megnevezése: back office vezető
V.2. Szállítással kapcsolatos Adatok
Kezelt Adat: Név, szállítási cím, telefonszám, e-mail cím
Hozzáférésre jogosultak a megrendelések kiszállításának teljesítéséért felelős Munkavállalók. A Társaság által erre kialakított munkakör megnevezése: minden irodai munkavállaló
V.3. Számlázással kapcsolatos Adatok
Kezelt Adat: Név, számlázási cím, e-mail cím
Hozzáférésre jogosultak a számlázásért felelős Munkavállalók. A Társaság által erre kialakított munkakör megnevezése: minden irodai munkavállaló
VI. Adatkezelési műveletek
VI.1. Adatfeldolgozás
A Társaság adatfeldolgozót vesz igénybe az alábbiak szerint:
Adatok köre: a Munkavállalók munkaszerződéssel kapcsolatos személyes adatai
Adatfeldolgozás célja: bérszámfejtés
Adatfeldolgozó neve: Tadász Gazdasági és Tanácsadó Kft
Adatfeldolgozó címe: H-1094 Budapest, Balázs Béla utca 15-21
Adatfeldolgozó elérhetősége: www.tadasz.hu
VII. Nyilvánosságra hozatal, közlés harmadik személlyel,
Titoktartási kötelezettség
VII.1. A Társaság Munkavállalói sem a munkavégzés során, sem munkaidőn kívül, sem a jogviszonyuk megszűnését követően nem tehetik nyilvánossá, és nem adhatják át harmadik személyek részére a jelen Szabályzatban foglaltak teljesülése során tudomásukra jutó információkat.
VII.2. A Munkavállalók a jogviszonyuk alapjául szolgáló jognyilatkozatok (munkaszerződés, megbízási szerződés) részeként titoktartási nyilatkozatot tesznek a jelen, VII. fejezetben foglaltak érvényesülése érdekében.
VII.3. A VII.1. pont alól kivételt képeznek a jelen Szabályzat IX.2. pontjában foglalt Hatósági megkeresések.
VIII. Adatvédelmi hatásvizsgálat, adatvédelmi tisztviselő
VIII.1. A Társaság megállapítja, hogy az általa végzett adatkezelés nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve. Erre tekintettel a Társaság adatvédelmi hatásvizsgálatot nem végez.
VIII.2. A Társaság nyilatkozik, hogy a GDPR értelmében adatvédelmi tisztviselő igénybevételére nem kötelezett, melyre tekintettel nem alkalmaz adatvédelmi tisztviselőt.
IX. Adatvédelmi incidens, hatósági megkeresések teljesítése
IX.1. Adatvédelmi incidens – az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidenseket a Társaság az alábbiak szerint kezeli:
Bejelentési kötelezettség:
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a hatóságnak.
Kivétel: ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A bejelentés szükségességességéről való döntéshozatal, valamint a bejelentés megtétele az ügyvezető igazgató hatáskörébe tartozik.
Bejelentés tartalma:
a) incidens jellege, az adatok és érintettek kategóriáit és hozzávetőleges számát,
b) adatvédelmi tisztviselő vagy kapcsolattartó nevét és elérhetőségeit,
c) incidens valószínűsíthető következményeit,
d) incidens orvoslására tett vagy tervezett intézkedéseket, beleértve a hátrányos következmények enyhítését célzó intézkedéseket.
IX.2. Hatósági megkeresések teljesítése
A bíróság, az ügyész, a nyomozó hatóság, szabálysértési hatóság, a közigazgatási hatóság, az adatvédelmi biztos, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkeresheti a Társaságot.
A Társaság a hatóságok részére - amennyiben a hatóság a pontos célt és az adatok körét megjelölte - személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
A jelen alpontban foglalt feladatok elvégzése az ügyvezető igazgató hatáskörébe tartozik.
X. Munkavállalókra vonatkozó eltérő rendelkezések
X.1. Az adatkezelés tárgya, célja és jogalapja
A Társaság az állásra jelentkező, vagy a vele munkaviszonyban álló természetes személyek alábbi adatait kezeli (az adatkezelés tárgya):
a) Név, születési név;
b) Születési hely, idő;
c) Édesanyja születési neve;
d) Lakcím;
e) TAJ szám;
f) Bankszámlaszám;
g) Munkakör;
h) Alapbér összege;
i) Üzemorvosi egészségügyi alkalmassági vizsgálat eredménye;
j) Munkahelyi e-mail fiók használatának ellenőrzésével kapcsolatos adatok;
k) Munkahelyi számítógép, laptop, tablet, vagy telefon ellenőrzésével kapcsolatos adatok;
l) Munkahelyi internethasználat ellenőrzésével kapcsolatos adatok;
m) Munkahelyi kamerás megfigyeléssel kapcsolatos adatok (képfelvétel, lásd Tájékoztató V.6.);
n) A munkavégzés során rögzített hangfelvétel (lásd Tájékoztató V.7.)
o) Állásjelentkezés esetén az önéletrajzban megjelölt adatok.
Az i) pont szerinti, alkalmassági vizsgálat eredménye a GDPR 9. cikk (1) bekezdése értelmében különleges adatnak minősül (a továbbiakban: Különleges adat).
Az adatkezelés célja a munkaszerződésben foglalt jogok gyakorlása és kötelezettségek teljesítése, valamint a munka törvénykönyvéről szóló 2012. évi I. törvényben (Mt.) és a vonatkozó (adózással, társadalombiztosítással kapcsolatos) egyéb jogszabályokban foglaltak érvényesítése.
A Társaság a Munkavállalókat az Mt. 10. § (2) bekezdése szerint megfelelően tájékoztatja adataik kezeléséről.
Az adatkezelés jogalapja a munkaszerződés teljesítése (GDPR 6. cikk (1) bekezdés b) pont). A Társaság az i) pont szerinti különleges adatot nem kezeli, arról kizárólag az üzemorvos rendelkezik információval. A Társaság kizárólag arról kap információt, hogy az érintett megfelel-e az alkalmassági vizsgálatnak.
Az adatkezelés jogalapja az o) pont szerinti, önéletrajzokban szereplő adatok tekintetében a szerződés megkötését megelőzően az érintett kérése (GDPR 6. cikk (1) bekezdés b) pont).
X.2. Az adatkezelés időtartama
Az Üzemeltető a munkaviszony létesítéséről meghozott döntés időpontjáig vagy - munkaviszony létesítése esetén – a Munkaviszony megszűnéséig vagy megszüntetéséig kezeli az adatokat. Az o) pont szerinti adatokat munkaszerződés megkötésének elmaradása esetén a Társaság köteles törölni rendszeréből.
X.3. Adatfeldolgozó igénybevétele
A Társaság a könyvelés- és bérszámfejtés elvégzésére harmadik személy (a továbbiakban: Könyvelő) szolgáltatását veszi igénybe, melyre tekintettel a könyvelési- és bérszámfejtési tevékenység elvégzéséhez szükséges, XII.1. pont a-h) alpontjaiban foglalt adatokat továbbítja a Könyvelő részére.
Az adattovábbítás címzettje:
Cégnév: Tadász Gazdasági és Tanácsadó Kft
Székhely: H-1094 Budapest, Balázs Béla utca 15-21
Nyilvántartási szám: 002442
A címzett adatkezelési tájékoztatójának elérhetősége: www.tadasz.hu
Kapcsolat: www.tadasz.hu
Az adattovábbítás jogalapja a munkaszerződés teljesítése (GDPR 6. cikk (1) bekezdés b) pont).
X.4. A Munkavállalók jogai az adatkezeléssel kapcsolatban
A Munkavállalók az adatkezelés tekintetében a GDPR III. fejezete (Az érintett jogai) szerint gyakorolhatják jogaikat azzal az eltéréssel, hogy a kérelmüket a munkaszerződésben megnevezett munkáltatói jogok gyakorlójához címezve kell benyújtaniuk, és a jogszabályi előírás miatt szükséges, valamint a szerződés teljesítéséhez szükséges adatok kezeléséhez való hozzájárulásukat a munkaviszony fennállása alatt nem vonhatják vissza, törlését, vagy zárolását nem kérhetik (az ellen nem tiltakozhatnak).
A kérelmek intézésére a munkáltatói jogok gyakorlója köteles és jogosult.
XI. Információbiztonság
XI.1. Az Ügyfél, a Szállító valamint a Munkavállaló által megadott személyes adatok kezelésével, tárolásával kapcsolatban a Társaság a lehető legnagyobb gondossággal jár el. Az informatikai biztonság területén a Társaság az ésszerűen elérhető leghatékonyabb, legmodernebb eszközöket és eljárásokat alkalmazza.
Az Adatkezelő az adatkezelési műveleteket úgy tervezi meg és hajtja végre, hogy biztosítsa az érintettek magánszférájának védelmét. A Társaság gondoskodik az adatok biztonságáról, továbbá megteszi azokat a technikai és szervezési intézkedéseket, és kialakította azokat az eljárási szabályokat, amelyek az Infotv. a GDPR, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
XI.1.1. Az adatokat a Társaság megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
XI.1.2. A Társaság különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
XI.1.3. A Társaság a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választotta meg és üzemelteti, hogy a kezelt adat:
a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
c) változatlansága igazolható (adatintegritás);
d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
XI.1.4. A Társaság olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
XI.1.5. A Társaság informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. A Társaság a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.
XI.1.6. Az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek a hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, vagy az információ felfedésére, módosítására vezethetnek. Az ilyen fenyegetésektől megvédendő a Társaság megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. Azonban az Internet köztudomásúlag – így az Ügyfelek, Szállítók számára is ismert módon – nem száz százalékos biztonságú. Az elvárható legnagyobb gondosság ellenére megvalósuló kivédhetetlen támadások által okozott esetleges károkért az Üzemeltetőt felelősség nem terheli.