Your Cart
0
0
info@suitandmore.hu +36 20 413 5588

Privacy Policy

1. Bevezetés

A Kisznyér és Társa Kereskedelmi és Szolgáltató Kft. (a továbbiakban: Társaság) mint adatkezelő az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”) 20. § (1) és (2) bekezdése, illetve a GDPR 12. és 13. cikke alapján a jelen adatvédelmi szabályzatban (továbbiakban: „Szabályzat”) foglaltak szerint tájékoztatja az érintetteket (elsősorban munkavállalóit) az adatkezeléssel kapcsolatos elvekről, valamint az érintettek adatkezeléssel kapcsolatos jogairól és az adatkezelő magatartásával szembeni jogorvoslati lehetőségekről.Jelen tájékoztató az Európai Parlament és Tanács 2016/679 rendeletében (továbbiakban: „GDPR”) foglaltak, a számvitelről szóló 2000. évi C. törvény (továbbiakban: „Sztv.”), a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”) és a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (továbbiakban: „Szja tv.”) figyelembe vételével készült.
A Szabályzat megalkotása során figyelembe vett további jogszabályok:
– a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvtv.),
– a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”),

2. A Szabályzat célja és hatálya

Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről, valamint arról, hogy harmadik országba történik-e adattovábbítás. A jelen Szabályzat az érintett jogairól is tájékoztat.
A Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, közlését, valamint megsemmisítését, elvesztését illetve nyilvánosságra hozatalát.
A Szabályzat személyi hatálya alá tartozik a Társaság valamennyi szervezeti egysége és alkalmazottja. A Szabályzat tárgyi hatálya kiterjed a Társaság valamennyi szervezeti egységénél folytatott valamennyi folyamatra, amely során személyes adat kezelése valósul meg, az adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.
Jelen Szabályzat a Társaság további belső szabályzataihoz kapcsolódik, azokkal együtt értelmezendő.

3. A Szabályzatban használt fogalmak:

Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Ezen felül személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ, azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

Különleges adat: a faji vagy etnikai származásra, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, illetve a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, valamint a bűnügyi személyes adat.

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, tagolása, megváltoztatása, átalakítása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, betekintés, közlése továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése.

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik.

Adatfeldolgozó: az a természetes vagy jogi személy, illetve közhatalmi szerv, ügynökség vagy bármely egyéb szerv, jogi személyiséggel nem rendelkező szervezet, amely az adatkezelő nevében személyes adatokat kezel.

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

Az érintett hozzáférési joga: az érintett jogosult az adatkezelőtől arra vonatkozó visszajelzést kapni, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adatokhoz és meghatározott információkhoz (pl. az adatkezelés célja, az érintett személyes adatok kategóriái, személyes adatok tárolásának időtartama)

Tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri.

Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából.

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.

Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.

Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.

Adatvédelmi incidens: a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, közlés, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

Harmadik ország: minden olyan állam, amely nem EGT-állam.

4. A Társaság, mint adatkezelő adatai

Neve: Kisznyér és Társa Kereskedelmi és Szolgáltató Kft. (továbbiakban: „Társaság” vagy „Adatkezelő”)
Székhelye: 1042 Budapest, Árpád út 90-92.
Nyilvántartó bírósága és cégjegyzékszáma: Fővárosi Törvényszék Cégbírósága, Cg. 01-09-361089
Adatkezeléssel kapcsolatos elektronikus elérhetősége: info@suitandmore.hu
Képviselője: Kisznyér Anikó ügyvezető
Adatvédelemért felelős munkatárs: Kisznyér Ádám
Elérhetőségei:+36 20 212 8498

5. Az adatkezelés általános szabályai

5.1
A Társaságnál személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos.
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlenül szükséges, a cél elérésére alkalmas, és csak a cél megvalósulásához szükséges mértékben és ideig. Amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni.

5.2
Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének, amelynek értelmében a Társaság személyes adatot csak meghatározott, egyértelmű és jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a céllal összeegyeztethető módon.

5.3
Az adattakarékosság elvéből következően a kezelt adatoknak az adatkezelés céljának szempontjából megfelelőeknek és relevánsaknak kell lenniük és a szükségesre kell korlátozódniuk.

5.4
A kezelt személyes adatoknak pontosnak, teljesnek és naprakésznek kell lenniük, az adatkezelés célja szempontjából pontatlan személyes adatokat haladéktalanul törölni vagy helyesbíteni kell.
A Társaság biztosítja a rendszerek helyreállíthatóságát, valamint annak ellenőrizhetőségét, hogy a személyes adatokat mely harmadik személyeknek továbbítják.

5.5
A személyes adatok tárolásának olyan formában kell történnie, amely az érintett azonosítását csak az adatkezelés céljának eléréséhez szükséges ideig teszi lehetővé (korlátozott tárolhatóság).

5.6
A Társaság megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja személyes adatok megfelelő biztonságát, ideértve azok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is (integritás és bizalmas jelleg).

5.7
A Társaság a munkavállalói személyes adatait a következő jogalapok valamelyike alapján kezeli:
– az adatkezelés a munkaszerződés létrejöttéhez/teljesítéséhez szükséges,
– az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges, illetve azt törvény elrendeli,
– az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges,
– álláshirdetések, fénykép-, és egyéb felvételek esetén az érintett hozzájárulása.
Jogos érdeken alapuló adatkezelés esetén a Társaság miden esetben – adatkezelésenként külön dokumentáltan – elvégzi az érdekmérlegelési tesztet. Különösen a Társaság, mint munkáltató általi ellenőrzés vonatkozásában ez azt jelenti, hogy a munkáltató jogos érdeke arányosan korlátozza-e a munkavállalók személyes adatokhoz való jogát, magánszféráját.
A Társaság az érdekmérlegelési teszt eredményéről minden esetben tájékoztatja az érintetteket.

5.8
A Társaság szervezeti egységeinél adatkezelést végző munkavállalók és eseti jelleggel a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek titoktartási nyilatkozatot tenni.

5.9
Az adattovábbítás az adatkezelés célját szolgáló adatkezelési, adatfeldolgozási tevékenység részét képező művelet, amely során a Társaság, mint adatkezelő a megfelelő jogalap szerint külső magán- vagy jogi személynek, felügyeleti szervezetnek előre meghatározott adatokat, meghatározott módon, előírt időpontban és/vagy rendszerességgel átadja.
Adattovábbításra minden esetben csak az érintett kifejezett, egyértelmű hozzájárulása vagy jogszabály felhatalmazása alapján kerül sor.
Az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást kell vezetni.
Az Adatkezelő a rendelkezésére bocsátott személyes adatokat ez irányú felhatalmazás hiányában semmilyen körülmények között nem adja harmadik fél számára tovább. Amennyiben az arra feljogosított hatóságok a jogszabályokban előírt módon (bűncselekmény gyanújával, hivatalos adat-lefoglalási határozatban) kérik fel személyes adatok átadására az Adatkezelőt, az Adatkezelő – törvényi kötelezettségének eleget téve – átadja a kért és rendelkezésre álló információkat.

5.10
Az adatkezelés ideje alatt az érintett személyes adatait az adatkezelő azon munkavállalói, vezetői ismerhetik meg, akiknek erre munkavégzésükhöz vagy jogi/gazdasági érdekük alapján szükségük van, magas szintű hozzáférési kontrollok alkalmazása mellett. Ezen túl ezeket a személyes adatokat csak olyan személyek ismerhetik meg, akik olyan szolgáltatóknak, megbízottaknak dolgoznak, akik az adatkezelő részére szolgáltatást nyújtanak, ha az adathoz való hozzáférés munkaköri feladataik ellátáshoz szükséges. A Társaság az ilyen szolgáltatókkal, megbízottakkal kötött szerződésekben biztosítja az adatvédelmi előírásoknak megfelelő adatkezelést, illetve a megfelelő titoktartást.

5.11
A személyes adatok biztonságát a Társaság, mint adatkezelő a technika szintjének megfelelő fizikai és technikai védelemmel biztosítja, amely megakadályozza az adatokhoz történő illetéktelen/jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést, megsemmisülést, törlést, hozzáférhetetlenné válást, valamint a jogosulatlan adatbevitelt.
A Társaság a fentieket mind a hálózati kommunikáció (tehát online adatkezelés) során, mind az adatok tárolása, őrzése (tehát offline adatkezelés) során biztosítja.

6. A Társaság adatvédelmi rendszere

6.1
Az ügyvezető az adatvédelemmel kapcsolatosan:
– a Társaság sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt,
– felelős az érintettek vonatkozó jogszabályoknak megfelelő tájékoztatásáért, illetve az érintettek jogainak gyakorlásához szükséges feltételek
biztosításáért
– felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért
– felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért.
– felügyeli az belső adatvédelmi felelős tevékenységét.
– vizsgálatot rendelhet el.
– kiadja a Társaság adatvédelemmel, adatbiztonsággal kapcsolatos belső szabályait.

6.2
Adatvédelemért felelős munkatárs
A Társaságnál adatvédelemért felelős munkatárs működik.
Az adatvédelemért felelős munkatárs neve: Kisznyér Ádám
Az adatvédelemért felelős munkatárs elérhetőségei: +36 20 212 8498
A Társaság biztosítja, hogy az adatvédelemért felelős munkatárs a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
Az érintettek, illetve az adatkezelést végző munkavállalók a személyes adataik kezeléséhez és a jogaik gyakorlásához kapcsolódó kérdésekben az adatvédelemért felelős munkatárshoz fordulhatnak.

6.3
Az egyes szervezeti egységek vezetői:
– felelősek az irányításuk alá tartozó szervezeti egység adatkezeléseinek jogszabályoknak és a jelen Szabályzatnak, vagy a kapcsolódó szabályzatoknak való megfelelőségéért.
– felelősek azért, hogy az általuk vezetett szervezeti egység adatkezelései során a jelen Szabályzatban foglalt adatbiztonsági előírások maradéktalanul teljesüljenek.
– ellenőrzik az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseinek betartását.
– az adatvédelemért felelős munkatárs segítségét kérik, amennyiben a személyes adatok, üzleti titkok, közérdekű adatok kezelésével összefüggésben kérdésük merül fel.
– együttműködnek az adatvédelemért felelős munkatárssal az adatvédelemmel kapcsolatos szabályok érvényesülése érdekében.
– biztosítják, hogy beosztottaik az adatvédelemmel kapcsolatos képzéseken részt vehessenek.

Amennyiben valamely szervezeti egység új, személyes adatokat is tartalmazó nyilvántartás vezetését határozza el, vagy a meglévőt kívánja módosítani, illetve törölni, úgy a szervezeti egység vezetője az adatvédelmi jogszabályoknak való megfelelőséget vizsgáló konzultáció, és az adatvédelmi nyilvántartásba való bejelentés céljából értesíti az adatvédelemért felelős munkatársat.

6.4.
Az adatkezelést végző személy:
– a tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért.
– tevékenysége során kezeli és megőrzi a feladata ellátása során birtokába került adatokat.
– ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására.
– gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá.
– betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat.
– haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes vagy az adatvédelemért felelős munkatárs segítségére szorul.
– részt vesz az adatkezeléssel, adatvédelemmel összefüggő oktatásokon.

A Társaság munkavállalói munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

Aki üzleti titok, illetve személyes adat birtokába jut, köteles a titkot időbeli korlátozás nélkül megtartani.
Az üzleti titkot, személyes adatot nem lehet visszaélésszerűen felhasználni, így különösen tilos a Társaság feladatkörén kívül a munkavállaló saját vagy más személyes, illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint a Társaság vagy ügyfeleinek megkárosítására használni.

Aki személyes adat vagy üzleti titok megismerésére jogosult, köteles a hozzáférési jog megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – az üzleti titokká minősített adatot és személyes adatot tartalmazó minden nála lévő adathordozót a Társaságnak, mint az adatkezelőnek haladéktalanul átadni.

7. Adatbiztonsági szabályok

7.1
A Társaság minden szükséges technikai és szervezési intézkedést megtesz azért, hogy a személyes adatok és az üzleti titkok megismerhetőségének korlátozására vonatkozó szabályokat kialakítsa, illetve ezen adatok illetéktelen személyek általi megismerhetőségét megakadályozza, és az egyes kockázatok mértékének megfelelő szintű adatbiztonságot garantálja. Ennek érdekében a Társaság az adatkezelések során – az adatkezelés jellegétől függően – az ügyviteli-, a fizikai- és az algoritmikus védelem eszközeit is alkalmazza.
A Társaság biztosítja:
– a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegét, integritását, rendelkezésre állását és ellenálló képességét,
– incidens esetén a személyes adatokhoz való hozzáférést, illetve, hogy az adatok rendelkezésre állását kellő időben vissza lehet állítani.

A Társaság által kezelt adatok tárolását úgy kell megoldani, hogy azokhoz illetéktelenek – ideértve azon munkavállalókat is, akiknek a munkavégzésükhöz nincs feltétlenül szükségük a személyes adatok megismerésére – ne férhessenek hozzá (pl. a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával).

Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adatmegőrzési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.

A Társaság a jelen pontban írt, az adatkezelés biztonságát garantálni hivatott intézkedések hatékonyságát rendszeresen teszteli, felméri és értékeli.

7.2
A papír alapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi
intézkedéseket alkalmazza:

– az adatokat csak azok ismerhetik meg, akiknek a munkavégzésükhöz feltétlenül szükségük van a személyes adatok megismerésére, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak
– a dokumentumokat jól zárható helyen, és zárható, száraz, tűzvédelmi berendezéssel ellátott helyiségben helyezi el
– a folyamatos aktív kezelésben lévő iratokhoz csak az férhet hozzá, akinek arra a munkaköri feladata ellátásához elengedhetetlenül szüksége van
– a Társaság adatkezelést végző munkavállalója a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja
– a Társaság adatkezelést végző munkatársa a munka végzés befejeztével vagy amikor az éppen nincs használatban a papíralapú adathordozót (vagy a számítógép adathordozóját) elzárja („tiszta asztal” elve)
– amennyiben a papíralapon kezeit személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.

7.3
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság – összhangban az Informatikai Biztonsági Szabályzat előírásaival -, az alábbi intézkedéseket és garanciális elemeket alkalmazza:

– az adatkezelés során használt személyi számítógépek és laptopok a Társaság tulajdonát képezik
– a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal, legalább felhasználói névvel és jelszóval lehet hozzáférni, a jelszavak cseréjéről a Társaság
– a mindenkori Informatikai Biztonsági szabályzat rendelkezéseivel összhangban – rendszeresen gondoskodik
– az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül
– a hálózati kiszolgáló gépen (a szerveren) tárolt adatokhoz csak megfelelő jogosultsággal és kizárólag az arra kijelölt személyek férhetnek hozzá
– a számítógépeket, nyomtatókat és fénymásolókat nem szabad „bejelentkezve” hagyni, amikor felügyelet nélkül maradnak, és használaton kívül kulcsreteszekkel, jelszavakkal vagy más óvintézkedésekkel kell védeni őket („zárolt képernyő” szabály)
– amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető
– a Társaság folyamatosan gondoskodik a személyes adatokat kezelő hálózaton a vírusvédelemről
– a rendelkezésre álló számítástechnikai eszközökkel megakadályozza illetéktelen személyek hálózati hozzáférését.

8. Adatkezelések az álláshirdetésekkel, illetve a munkaviszonnyal kapcsolatban

8.1.
Álláshirdetésre jelentkezők adatkezelése
Kezelt személyes adatok:
- name,
- birth data,
- His mother's name,
- Home address,
– training data,
– photo,
– e-mail address, telephone number
– other data provided by the data subject

Purpose of data management: selection of suitable future employees to fill vacancies or newly opened positions, management of applicants' personal data

Legal basis for data management: the consent of the data subject (Infotv. § 5 (1) point a); GDPR Article 6 (1) a)
The data subject gives his consent by clicking on the data protection information for the job advertisements linked in the job advertisement, in which he ticks the checkbox that he understands the content of the information and consents to the processing of his personal data in accordance with the information.

The period of storage of personal data: until the date of filling the position, or until the consent of the person concerned is withdrawn or the request for deletion is fulfilled, but no more than 1 year from the time it becomes known to the Company. For storage for a period exceeding this, the Company requests the separate consent of the person concerned.

You can access personal data within the Company's organizational system:
– the former HR manager,
– the HR, payroll, etc. an employee whose job duties require the processing of personal data

Personal data will be forwarded to the following persons/organizations: Arkconsulting Kft /payroll/.

Data management operations performed by those with access to personal data:
collection, recording, recording, storage, organization, use, query.

Method and conditions of data management: on paper and electronically, as described in the data protection information sheet for job advertisements

8.2.
Data management registration number:
Data management related to the maintenance and termination of the employment relationship

Kezelt személyes adatok:
- name,
- birth name,
- place and time of birth,
– citizenship,
- mother's birth name,
– residential address (place of residence, if different from the place of residence),
– fact of private pension fund membership, time of entry,
- tax identification number,
– social security identification number (TAJ number),
- Bank account number,
- e-mail address,
– phone number,
- mailing address
– educational qualification, professional qualification (copy of document certifying graduation)
– employment start date,
– type of insurance relationship,
- number of working hours per week,
- marital status,
– health certificate of fitness for work,
- fact of medical fitness,
- position,
– exit papers from previous workplace,
– For a relative who has not reached the age of 16
- place and time of birth,
- residential address,
- His mother's name
- social Security identification signs
– tax identification number,
- the fact of having a valid student ID card
– pensioner identification number (in the case of a retired employee),
– passenger car
– type
- registration number
– type of fuel
– cylinder capacity of a passenger car

Purpose of data management: establishment, fulfillment or termination of employment, recognition of related rights and certification of obligations

Legal basis for data management: conclusion of a contract (GDPR Article 6 (1) b), fulfillment of a legal obligation (GDPR Article 6 (1) b), statutory authorization or order (Article 10 (1) and (3) of Mt.; Article 42 (2) point b) of Mt.

Duration of storage of personal data: until the purpose of data management is achieved, until the termination of the employment relationship in relation to the rights and obligations related to the employment relationship, in relation to the rights deriving from the employment relationship, for the period specified in the legislation on the payment of pensions.

You can access personal data within the Company's organizational system:
– the former HR manager,
– the HR, payroll, etc. an employee whose job duties require the processing of personal data

Data management operations performed by those with access to personal data:
collection, recording, recording, storage, organization, use, query.

Personal data will be forwarded to the following persons/organizations:

Arkconsulting Kft/employment/
Method and conditions of data management: on paper and electronically

The Company may make a copy (photocopy or scan) of the personal documents of its new employees or employees who change their data. In doing so, only those parts of the given ID are not masked, that is, only the personal data that the employee is required to provide about himself during entry are suitable for reading. The Company deletes or destroys the copy made in this way no later than 30 days after its completion.

The Company is obliged to ask the company doctor to examine the employee's job suitability.

The Company does not recognize data related to medical fitness, and does not process any of the data of the affected person to an extent that exceeds the purpose of data management. The Company only handles data proving the fact of medical fitness.

If the employee provides the data of a third party (e.g. in connection with additional leave, family tax relief), he must declare that he has authorization and consent to provide the data of the third party. Before requesting the data of a third party, the employee will always receive written information in accordance with Article 14 of the GDPR.

8.3
Data management related to the control of employees (e.g. company e-mail, laptop, internet, GPS)
The Company informs its employees in advance in writing about the use of the technical devices used to monitor employees.

In addition, the Company has appropriate regulations on the use of company equipment and the IT system.

The Company performs the interest assessment test for each inspection, during which:
- defines the employer's interest as precisely as possible (legitimate, specific, real and current),
- before starting the planned data processing, clarify whether the processing of personal data is absolutely necessary in order to achieve its purpose, or whether other solutions are available that can be used to achieve the planned purpose (necessity) without processing personal data,
- determining the purpose of data management, what personal data,
for how long the legitimate interest requires data processing,
- identification of the interests of the Data Controller and the data subject,
- determination of why the employer's legitimate interest - and the data processing based on this - proportionally limits the previously defined employee rights and interests.

When monitoring the behavior of employees in relation to the employment relationship, the Company strives to use a method that does not involve the processing of personal data. If there is no such method, then the method that least restricts the private sphere is used, following which the most necessary and limited scope of personal data is known.

The employee's private life cannot be monitored.
During the inspection, the presence of the employee must be ensured, the employer's interest must be communicated before the inspection, and the inspection must be gradual.

Personal data processed (personal data recorded during the inspection):
– (private) e-mail address,
– (private) phone number,
– photo,
– the employee's own personal documents,
– internet browsing history,
– cookies,
– vehicle traffic data (destination, kilometers traveled),
- violation of the law committed during the existence of the employment relationship

The purpose of data management is: in accordance with the legitimate business interests of the Company, the control of employees within the legal framework, in particular the control of the computer, e-mail address and Internet access provided to the employee, the control of the route of company cars, as well as the protection of the legitimate business interests of the Company, work organization goals (more efficient organization of work processes), control of company vehicle routes, and asset protection

Legal basis for data management: legitimate interest (GDPR Article 6 (1) f)
The period of storage of personal data: 1 year from the date of the inspection, but no later than the expiration of the request related to the inspection.

You can access personal data within the Company's organizational system:
– the former HR manager,
- the employee's supervisor, whose personal data management is absolutely necessary for the performance of his job duties
Data management operations performed by those with access to personal data:
collection, recording, recording, storage, organization, use, query, transmission.
Personal data will be forwarded to the following persons/organizations: Arkconsulting Kft /payroll/.
Method and conditions of data management: on paper and electronically

8.4.
Data management related to electronic surveillance system (camera).
The Company has an appropriate policy regarding camera surveillance, which takes place after the interests assessment test has been completed.
The Company does not operate cameras for the purpose of primary, explicit observation of employees and the activities they perform, or to influence the behavior of employees at work.

Kezelt személyes adatok:
– a likeness of the person concerned,
– the data provided by the camera image (location, time, behavior),
The purpose of data management is to monitor building parts (e.g. shops) and areas owned or used by the Company with cameras for the purpose of property protection and the protection of human life and physical integrity.

Legal basis for data management: legitimate interest (GDPR Article 6 (1) f)

Duration of storage of personal data:
- if the recording is not used, it will be deleted after 3 working days from the recording (Szvtv. § 31. (2)),
- the images recorded by the camera located at the cash register, as well as the cameras located on the route used to transport the money from the cash register, are recorded by the Szvtv. Pursuant to Section 31 (3) c) the Company will keep it for a maximum of 30 days. The longer retention period is justified by the fact that the referred recordings are made in the area of storage and transportation of money exceeding a significant value (HUF 5 million).
- if the Company has requested, with proof of right or legitimate interest, that the recording not be destroyed, but the request is not made, it will be deleted after 30 days from the request (Szvtv. § 31. (6))

You can access personal data within the Company's organizational system:
– the current HR manager, executive
- the employee's supervisor, whose personal data management is absolutely necessary for the performance of his job duties

Data management operations performed by those with access to personal data:
collection, recording, recording, storage, organization, use, query, transmission.
Personal data will be forwarded to the following persons/organizations: Arkconsulting Kft.

Upon request of a court or other authority, the recorded image and other personal data must be sent to the court or authority immediately.
The data of the access database can only be handed over to the investigative authority or to the violation authority in the event of a suspected crime or violation of the law, or upon request.
Method and conditions of data management: on paper and electronically

8.5.
Alarm system data management
The Company operates electronic alarm systems to protect its real estate and movable assets. The activation codes assigned to the given alarm system are always personalized, one code can only be used by one person.

Kezelt személyes adatok:
- name,
– alarm code

Purpose of data management: operation of an alarm system, asset protection
Legal basis for data management: legitimate interest (GDPR Article 6 (1) f)

Duration of storage of personal data: until the alarm system is activated or until a specific code is changed

You can access personal data within the Company's organizational system:
– the former HR manager,
- the employee whose job duties require the processing of personal data

Data management operations performed by those with access to personal data:
collection, recording, recording, storage, organization, use, query, transmission.

Personal data will be forwarded to the following persons/organizations:
Method and conditions of data management: on paper and electronically

9. Rights of the data subject

The data subject can apply to the Data Controller
– information about the personal data of the data subject (the Data Controller provides information about the specific data),
– the right to access your personal data,
- managed the correction of your personal data,
- deletion or blocking of personal data (with the exception of mandatory data processing) (by indicating the specific personal data),
- you can protest
- forgetting,
– marking of your processed personal data,
– right to data portability.

Information about processed personal data:
At the request of the data subject, the data controller provides information about the data subject's data managed by it or processed by the data processor commissioned by it or at its disposal, its source, legal basis, duration, the name and address of the data processor and its activities related to data management, the circumstances, effects of the data protection incident and the about the measures taken to prevent it, and - in the case of forwarding the data subject's personal data - about the legal basis and recipient of the data forwarding.

The Data Controller is obliged to provide the information in writing at the request of the data subject in a form that is understandable to the public as soon as possible, but no later than 25 days after the submission of the request. The information is free.

In the event of refusal to provide information, the Data Controller shall - also within 25 days - inform the data subject in writing that, in response to the refusal to provide information, Infotv. on the basis of which it took place. In the case of refusal to provide information, the data controller informs the data subject of the possibility of judicial redress and of turning to the Authority.

The data subject's right of access
The data subject is entitled to receive feedback on whether his personal data is being processed. If so, you are entitled to access your personal data and the following information:
- the purposes of data management,
– az érintett személyes adatok kategóriái,
– the recipients or their categories to whom the personal data has been or will be communicated (including in particular recipients in third countries and international organizations, as well as the guarantees of such data transmission),
- the duration of storage of personal data, or if this is not specifically possible, the criteria for determining the duration,
– information about the rights of the data subject (correction, deletion, restriction of processing, objection, complaint submission to the data protection/supervisory authority),
– if the data were not collected from the data subject, then information about their source
- the fact of automated decision-making, including profiling.
The Data Controller provides a copy of the processed personal data to the data subject.

Correction, deletion and blocking of data
If the personal data does not correspond to the reality, and the personal data corresponding to the reality is available to the Data Controller, the personal data will be corrected by the Data Controller without undue delay.

The Data Controller - without undue delay - deletes the data subject's personal data, if the data processing is unlawful, the data subject - Infotv. According to § 14, point c) - you request (with the exception of mandatory data management), the purpose of data management has ceased or the period specified by law for the storage of data has expired, it was ordered by a court or the National Data Protection and Freedom of Information Authority, your data management is incomplete or incorrect - and this condition cannot be legally remedied - provided that deletion is not precluded by law.

The Data Controller also deletes the personal data if they are no longer needed for the given purpose, the data subject withdraws his consent and there is no other legal basis for the data processing, or the data subject objects to the data processing.

The data controller blocks the data subject's personal data if the data subject requests it, or if, based on the available information, it can be assumed that deletion would harm the data subject's legitimate interests. Locked personal data can only be processed as long as the data management purpose that precluded the deletion of personal data exists.

The data controller shall mark the personal data it manages if the data subject disputes its correctness or accuracy, but the incorrectness or inaccuracy of the disputed personal data cannot be clearly established.

The data subject must be notified of the correction, blocking and deletion of the data, as well as all those to whom the data was previously forwarded. The notification can be omitted if this does not harm the legitimate interests of the data subject in view of the purpose of the data management.

If the data controller does not comply with the data subject's request for rectification, blocking or deletion, within 25 days of receiving the request, it shall communicate the factual and legal reasons for rejecting the request for correction, blocking or deletion in writing or with the consent of the data subject electronically. In case of rejection of the request for correction, deletion or blocking, the data controller informs the data subject of the possibility of legal remedies in court, as well as the possibility of turning to the Authority.

Objection to the processing of personal data
The data subject may object to the processing of his/her personal data if the processing or transmission of the personal data is necessary solely to fulfill the legal obligation of the data controller or to enforce the legitimate interests of the data controller, data receiver or third party, except in the case of mandatory data processing, and if the use or transmission of the personal data is directly it is done for the purpose of business acquisition, public opinion polls or scientific research, as well as in other cases specified by law.

The request must be investigated immediately, but within 15 days at the latest, and information must be provided in writing. If the protest is justified, the data controller is obliged to terminate the data management (further data collection, transmission) and to notify all those to whom the personal data affected by the protest was transmitted about the protest and the measures taken based on it, who are obliged to take measures to enforce the right to protest.

Right to be forgotten
At the request of the data subject, the Data Controller forgets the data subject's personal data managed by it. In the process of forgetting, the processed personal data is deleted from all available records of the Data Controller, it takes measures to make the published personal data inaccessible as widely as possible, and it also deletes the personal data from its own backups. The Data Controller informs the data subject of the measures taken to ensure oblivion.

If the data controller has made the personal data public or forwarded it to other data controllers or data processors, it is obliged to inform the data controllers and data processors about the data subject's request and take measures to forget the personal data.
In exceptional cases, the Data Controller may refuse to implement oblivion, if the processing of personal data is mandatory based on legislation, or the retention of the data is necessary to fulfill other obligations, or if the legislation allows the refusal of oblivion.

Designation of the processed personal data
The Data Controller marks the personal data it manages if the data subject disputes its correctness or accuracy, but the incorrectness or inaccuracy of the disputed personal data cannot be clearly established.
The data subject must be notified of the designation, as well as all those to whom the data was previously transmitted for the purpose of data management. The notification can be omitted if this does not harm the legitimate interests of the data subject in view of the purpose of the data management.

Right to data portability
If the legal basis of the data management is the voluntary consent of the data subject or the data is necessary for the performance of a contract, and the data management is carried out in an automated manner, the data subject has the right to data portability. The data subject may request the release of the data relating to him or that he has made available to the Data Controller, or that the data controller forward the data to another data controller.
The data is handed over from the Data Controller in a format that is machine-readable by the data subject or another organization receiving the data.

The Data Controller is entitled to refuse data transmission if the exercise of the data subject's right would cause an infringement of the rights and freedoms of other natural persons, or if the data management is necessary for the exercise of public interest tasks or public authorities.

10. Records kept by the data controller

The Data Controller keeps a record of each data processing, with at least the following content:
– data controller or its representative (if any),
– the name and contact information of the employee responsible for data protection,
- the purposes of data management,
– categories of stakeholders (e.g. employees),
– categories of personal data (name, address, etc.),
– categories of recipients (payroll, data transmission within the company group),
- guarantees of data transfers to third countries,
– deadlines for deleting individual data categories,
– technical and organizational measures (password-protected access, backup copies, code, pseudonymization, etc.).

Registration of data transmissions
The Data Controller keeps a record of the data transmissions carried out by it. In the register, the Data Controller records to whom, when and with what legal basis it forwarded the data of the affected parties. At the request of the data subject, the Data Controller provides information on the transfer of personal data of the data subject.

The data transmission register contains the date of transmission of the processed data, the legal basis and recipient of the data transmission, the scope of the personal data transmitted, and other data specified in the legislation requiring data management.

Registration of data protection incidents
The Data Controller keeps records of data protection incidents. The Data Controller analyzes the incidents, assesses the risks of the incident to personal data and, if the data protection incident is likely to involve a risk to the rights and freedoms of natural persons, it is obliged to report the incident to the National Data Protection Authority without delay, but no later than within 72 hours of the occurrence of the incident. and Freedom of Information Authority.

The Data Controller shall indicate in the register the facts related to the incident, their effects, as well as the measures taken to remedy it. 
In addition to the above, the Data Controller also registers and documents the inquiries received from the concerned party or from the authority, as well as the answers given to them.

11. Consequences of illegal data processing and legal remedies for the affected party

If the data subject experiences unlawful handling of his personal data and the Data Controller causes damage to the data subject, he is obliged to compensate the data subject. (The person concerned can file a claim for compensation in court).

In the event of a violation of the data subject's personal rights, he may demand compensation from the Data Controller.
If you experience illegal handling of your personal data, you can file a complaint with the National Data Protection and Freedom of Information Authority (headquarters: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; postal address: 1530 Budapest, Pf. 5.; telephone: 06 -1- 391- 1400; fax: 06-1-391-1410; e-mail: ugyfelszolgalat@naih.hu).

You can also apply to the relevant court in case of unlawful processing of your personal data. The lawsuit can be initiated before the seat of the Data Controller or, at the choice of the data subject, before the competent court according to the data subject's place of residence or residence.

12. Final provision

The Data Controller reserves the right to unilaterally amend this data protection policy, especially if it is required by a change in legislation. All of this does not mean that personal data is handled differently. The data controller is obliged to notify the employees of the amendment of these regulations and to make the effective version available to them.