Adatkezelési tájékoztatót

Tartalom

Bevezető

Az adatkezelés felelősségi viszonyai

Az adatkezelés alapelvei, célja és jogalapja

Adatkezelés időtartama

Az adatkezelés folyamata

A személyes adatok kezelésére szolgáló eszközök

Az érintettek jogai

Bevezető

Az adatkezelési tájékoztató a Székely Family and Company Kft. mint adatkezelőnek az európai Általános Adatvédelmi Rendelet (GDPR) alapján személyes adatnak minősülő adatoknak a cég működése során történő kezelését mutatja be, valamint tájékoztatja az adatkezeléssel érintetteket az ehhez kapcsolódó jogaikról és azok érvényesítésének módjáról. A tájékoztató a jogszabályi lehetőségek keretei között törekedik arra, hogy a világosság és érthetőség követelményének maximálisan megfeleljen, egyszerű, érthető nyelvezeten tájékoztassa az érintetteket. Bármilyen értelmezési kérdés esetén a cég adatvédelmi tisztviselője szívesen nyújt további felvilágosítást az adatkezeléssel érintett kérésére.

Az adatkezelés felelősségi viszonyai

Adatvédelmi tisztviselő

Székely Family and Company Ltd.,

1191 Budapest Fő utca 11. 7/20.,

info@szekely.family

Adatvédelmi tisztviselő

Dr. jur. Zoltán Székely

zoltan@szekely.family

+36304795654

Adatfeldolgozók

  1. Microsoft https://privacy.microsoft.com/hu-hu
  2. Google https://policies.google.com/privacy?hl=hu
  3. Automattic https://automattic.com/privacy/
  4. Key-Soft Computing Nyrt. https://www.bizxpert.hu/data/pdf/bizexpert-adatvedelem.pdf
  5. Barion https://www.barion.com/hu/adatvedelmi-tajekoztato/
  6. PayPal https://www.paypal.com/hu/webapps/mpp/ua/privacy-full
  7. Stripe https://stripe.com/en-hu/privacy
  8. Billingo https://www.billingo.hu/adatkezelesi-tajekoztato

Az adatfeldolgozókat a céges ügyvitelhez szükséges szoftverek és szoftverszolgáltatásokon keresztül vesszük igénybe, például az adatok tárolására, dokumentációra, fizetési tranzakciók kezdeményezésére és ügyfelekkel való kommunikációra.

Az adatkezelés alapelvei, célja és jogalapja

Az adatkezelés rövid bemutatása

Az adatkezelés céljai a Székely Family and Company Kft. szerződéses kötelezettségeinek teljesítése, a cég működésének biztosítása, jogos érdek érvényesítése, valamint az üzletszerzés. Kivételes esetben az adatkezelésre panaszkezelés, jogszabályi vagy erre feljogosított hatóság általi kötelezés révén is sor kerülhet. Az adatkezelés nyilvántartásokban történik, alapvetően célhoz kötött nyilvántartásokban, azonban az adattakarékosság követelményének is megfelelve, ahol ésszerű, ott egy adatbázis (fizikai nyilvántartás) több ügyviteli nyilvántartást (funkcionális nyilvántartás) is kiszolgál. Egy adat végleges törlésére akkor kerül sor, amikor már egyik nyilvántartás alapján sincs szükség a kezelésére.

Adatkezelés arányossága és szükségessége

A Székely Family and Company csak olyan adatot kezel, amelynek kezelése arányban áll a jogszerű, ésszerű és tisztességes üzletmenettel elérni kívánt sikerekkel, gazdasági előnyökkel, valamint kölcsönös előnyt biztosít az érintett és a Székely Family and Company számára is. Ide kell érteni a jogszabályi kötelezettség alapján kötelező adatkezeléseket is. Nem kezelünk olyan adatot, amelyre nincsen feltétlenül szükség és nem kezelünk adatot tovább annál, mint ameddig feltétlenül szükséges.

Adatkezelés jogalapjainak és céljainak áttekintése

Összefoglalva a Székely Family and Company az alábbi jogalapokon kezel adatokat:

  1. The data shall be processed in the register necessary for the fulfilment of contractual obligations where ‘processing is necessary for the performance of a contract in which the data subject is a party or necessary to take action at the request of the data subject prior to the conclusion of the contract’ (Article 6 of the GDPR para (1) sub  b). For example, when you draft a contract or track its progress, issue certification of performance or invoice we use the data to produce documents in this context and for this purpose.
  2. A cég működésének biztosítása érdekében kezeljük az adatot, ha „az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges” (GPDR 6. cikk. (1) c) pont). Ide tartozik az adóbevallás, a munkavédelmi oktatás nyilvántartása, a munkavállalók nyilvántartása, a kötelezendően vezetendő egyéb dokumentumok, jegyzőkönyvek.
  3. Jogos érdekeink érvényesítése érdekében kezeljük az adatot, ha „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek” (GPDR 6. cikk. (1) f) pont). Ide tartoznak a biztonsági incidens során készült kamerafelvételeink, pénzügyi követeléseink érvényesítéséhez szükséges adatok, vitarendezésre irányuló tárgyalás során a résztvevők beleegyezésével készült hangfelvétel.  processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child’  (Article 6. Of the GDPR para (1) sub (f)). This includes the records of an incident by our CCTV operated in areas with restricted access, data necessary to pursue legal or financial claims, recorded dispute settlement teleconferences or meetings.
  4. Üzletszerzés konkrét céljára kezeljük az adatot, ha „az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez” (GPDR 6. cikk. (1) a) pont). Ez nem csak számunkra, hanem az érintett számára megszerezhető üzletet is jelent és magába foglalja a szociális hálózatokon fenntartott csatornáink elérését is. Ez alapján kapcsoljuk össze a potenciális konzorciumi partnereket, például email címük és nevük kölcsönös átadásával.the data subject has given consent to the processing of his or her personal data for one or more specific purposes’ (Article 6 of GDPR para (1) sub (a)). The objective is to provide business opportunities for us as well as for the person concerned and includes access to our channels on social networks. This is how we link potential consortium partners, such as the mutual transfer of their email address and names.

Szerződéses kötelezettségek teljesítéséhez szükséges nyilvántartás

When Székely Family and Company enters into a contract with the customer or another person on behalf of  the customer or takes preparatory steps to conclude the contract, for example, it prepares and send an offer, on that legal basis it processes the following data:

  1. Név
  2. Levelezési (számlázási) cím
  3. Email cím
  4. Telefonszám
  5. Egyéb elektronikus elérhetőség (pl. Facebook, Instagram, LinkedIn, Twitter azonosító)
  6. Fizetési adatok (bankszámlaszám, PayPal, Simple vagy más online fizetési azonosító)
  7. Eddigi tranzakciók listája
  8. Felhasználónév és jelszó páros
  9. Szerződés teljesítését követő adatok (például a tananyagban előrehaladást naplózó cookie vagy az ügyfél vizsgajegye, teljesítésről felvett kép- vagy hangfelvétel)

A cég működésének biztosítását szolgáló nyilvántartás

Ezen nyilvántartás tartalmazza azon adatokat, amelyek a cég működésével összefüggő jogszabályi kötelezettségek teljesítéséhez szükségesek. Ide tartozik például a cég munkavállalóinak és természetes személy megbízottjainak munkaviszonnyal vagy megbízási viszonnyal kapcsolatos szerződései, az adóhatóság felé jelentésköteles adatok, a természetes személyek részére biztosított céges email fiókok.

  1. Név (személyazonosító okmány alapján)
  2. Személyazonosító okmány száma
  3. Gépjárművezetői engedély száma, kategóriája és érvényességi ideje
  4. Külföldi természetes személy esetén úti okmány száma
  5. Harmadik országbeli természetes személy esetén munkavállalásra (gyakornoki időre) jogosító vízumának vagy tartózkodási engedélyének száma
  6. Társadalombiztosítási azonosító jel vagy külföldi esetén teljes körű egészségbiztosítási kötvény száma
  7. Adóazonosító jel (adószámos magánszemély esetén adószám)
  8. Adóelőleg-kedvezmény, munkaidő kedvezmény igénybevétele esetén az azt megalapozó adatok (pl. gyermekek neve, adóazonosító jele)
  9. Végzettséget igazoló okiratok másolata és az azon szereplő adatok (pl. név, fénykép, OH azonosító)
  10. Teljesítményértékelési adatok (személyhez kötött adatok, például ledolgozott óraszám, sikeresen megkötött szerződések száma)
  11. Egyéb elektronikus elérhetőség (pl. Facebook, Instagram, LinkedIn, Twitter azonosító)
  12.    Kép-, hang- és videofelvétel (csak az érintett méltóságát nem sértő, tudtával és beleegyezésével készülő felvétel kezelhető)
  13. Rendszerhasználattal összefüggő elektronikus naplófájlok (a naplófájlok az adatfeldolgozóknál keletkeznek, beszerzésükre csak indokolt esetben, írásos ügyvezetői döntés alapján kerülhet sor)

Jogos érdekek érvényesítése nyilvántartás

The register contains data that cannot be covered by other registers but is inevitably necessary to pursue the legitimate interests of Székely Family and Company Kft., its customers or the company in the context of the contract performance.  For example, this includes claims for damages or liability for damages against a third party, enforcement of claims relating to naturalpersons outside a contract, employment or trust relationship or the fulfilment of obligations. For example, if a visitor is involved in an accident in the company’s works, its data shall be entered in the accident report.

  1. Név
  2. E-Mail
  3. Telefonszám
  4. Levelezési cím
  5. Kép-, hang- és videofelvétel (csak az érintett méltóságát nem sértő, tudtával és beleegyezésével készülő felvétel kezelhető)
  6. Rendszerhasználattal összefüggő elektronikus naplófájlok (a naplófájlok az adatfeldolgozóknál keletkeznek, beszerzésükre csak indokolt esetben, írásos ügyvezetői döntés alapján kerülhet sor)

Üzletszerzési (lead) nyilvántartás

Ezen nyilvántartás tartalmazza azoknak a természetes személyeknek az adatait, akik kérték vagy tájékoztatáson alapuló beleegyezésüket adták ahhoz, hogy ajánlatainkkal őket megkeressük, feliratkoztak hírcsatornáinkra, látogatják weboldalainkat vagy követik szociális médián lévő csatornáinkat, lapjainkat, regisztrálnak és részt vesznek rendezvényeinken. Ez az adatkezelés kizárólag az érintett tájékoztatáson alapuló beleegyezésén alapul, ami bármikor, az érintettre nézve káros következmény nélkül visszavonható.  

  1. Név
  2. Email
  3. Telefonszám
  4. Egyéb elektronikus elérhetőség (pl. Facebook, Instagram, LinkedIn, Twitter azonosító)
  5. A weboldal használatával és korábbi szerződésekkel összefüggő tevékenységre utaló nyomkövetők (cookie-k) olyan mértékben, amilyenben az érintett a weboldal megnyitásakor beleegyezik
  6. Workshopok, konferenciák és más találkozók alkalmával készült hang-, kép és videofelvétel, melyek esetében az érintett kérheti, hogy a felvételen ne legyen felismerhető és/vagy hangja eltorzításra kerüljön

Adatkezelés időtartama

Az adatkezelés időtartama az adott nyilvántartástól függ.

  1. Szerződéses kötelezettségek teljesítéséhez szükséges nyilvántartás esetében a Polgári Törvénykönyv követelések elévülésére vonatkozó szabályai miatt az adatokat a szerződés megszűnéséig kezeljük majd azokat öt évig korlátozott adatkezelés keretében (archívumban) tároljuk. Jogszabály vagy Támogatási Szerződés egyes szerződésekre ennél hosszabb megőrzési időt is előírhat (van olyan pályázati forrás, ahol a projekt lezárását követő tíz évig is meg kell őrizni az adatokat).
  2. A cég működésének biztosítása nyilvántartásban szereplő adatokat a Székely Family and Company Kft. a munkaviszony vagy megbízási szerződés megszűnését követő adóbevallási időszak végéig kezeli, majd az azt követő további 2 évben vagy egyéb jogszabályban vagy szerződésben meghatározott időtartamig (például Támogatási Szerződés keretében támogatott projektben foglalkoztatott megbízott alapján a vállalt iratmegőrzési kötelezettség) korlátozott adatkezelés (archívum) keretében tárolja, majd a nyilvántartásból törli.
  3. Jogos érdekek érvényesítése nyilvántartás keretében csak addig kezeljük az adatokat, amíg az adott érdek érvényesítéséhez igénybe vehető lehetőségeket ki nem merítjük vagy korábban felismerésre nem kerül, hogy az adatkezelés az érintett olyan érdekeit sérti, amelyek aránytalanul fontosabbak jogos érdekünknél. Mivel az érdekérvényesítés adott esetekben, például bírói út igénybevételénél sok évig is eltarthat, ezért bár a lehető legrövidebb ideig kívánjuk kezelni ezen adatokat, az adatkezelés időtartamának pontos meghatározása nem lehetséges.
  4. Az érintett tájékoztatáson alapuló beleegyezésével megvalósuló adatkezelés időtartama addig tart amíg az érintett vissza nem vonja beleegyezését, ezt követően az adatkezelést meg kell szüntetni. A törlési kötelezettség nem zárja ki az adatok törlése előtt azok statisztikai célú anonimizált feldolgozásából nyert információk kezelését, de ezen információk személyes adatot nem tartalmazhatnak és nem tehetik az érintettet felismerhetővé.

Az adatkezelés folyamata

Érintett tájékoztatása

Az adatkezelés megkezdése előtt tájékoztatni kell az érintettet, lehetővé kell tenni számára, hogy az adatkezelési tájékoztatót megismerje. Ez történhet például a regisztráció során a weboldalon olvashatóvá tétellel, szerződés megkötése előtti átadással, workshop regisztrációkor tájékoztató átadásával vagy plakát, illetve kifüggesztés révén (tipikusan képfelvevő rendszerrel védett terület bejáratánál).

In case of a request from the data subject on providing information on the data processing, the data subject shall be informed of the range of data processed in connection with it, the data records (in order to enable right to rectification, to completion or to correction if necessary) and, in the case of automatic processing, the basic features of the algorithm (e.g. an algorithm  that tries to propose the next training on the basis of the results so far) and the remaining time of processing. Information may also be provided through a web interface where the data subject can view his/her profile, in which case the answer for the request is automated.

Jogalap megállapítása

Az adatkezelés megkezdése előtt vizsgálni kell, hogy milyen jogalapon vagy milyen jogalapokon kezeljük az érintett személyes adatait. Egy adott érintett személyes adatainak kezelésére vonatkozóan elméletileg egy időben több jogalap is fennállhat, de ez különbséget jelenthet a kezelhető adatok körében. Csak olyan adat kezelhető, amelyre tekintettel a jogalap fennáll. Például az üzletszerzési nyilvántartásban, melynek jogalapja tájékoztatáson alapuló önkéntes hozzájárulás, nem kezelhető az érintett társadalombiztosítási azonosító jele akkor sem, ha korábban munkaviszonyban állt és így annak kezelésére jogszabály alapján a másik nyilvántartásban (cég működésének biztosítására szolgáló nyilvántartás) lehetőség volt. Ha jogalap nem állapítható meg, például az érintett nem adott hozzájárulást és más jogalap sincs az adatkezelésre, akkor azt meg kell szüntetni és az adatokat törölni kell.

Adatrögzítés

Az adatkezelés kétféleképpen indulhat: az érintett adatközlésével vagy az érintett tájékoztatáson alapuló beleegyezésével zajló adatrögzítéssel. Előbbi esetre példa a szerződéshez szükséges adatok megadása, utóbbira a weboldalon működő cookie-k vagy egy workshop alkalmával a résztvevőkről készült kép- és hangfelvételek rögzítése. A rögzítés előtt vizsgálni kell, hogy az adatkezelés jogalapja fennáll-e, különösen, ahol az érintett beleegyezése szükséges. Kétség esetén fel kell venni a kapcsolatot az érintettel, illetve az adatvédelmi tisztviselővel.

Adatosztályozás

The data classification shall specify which personal data shall be processed in which register(s). The data may only be processed in registers  for which the legal basis exists in respect of the data. The data shall be labelled according to the logical register, which can be used to determine in which records the data can be processed.

Adattárolás és adatkezelés

Az adatok ezt követően tárolásra és automatizált, illetve szükség esetén manuális feldolgozásra kerülnek. A feldolgozás eredményeként van lehetőség az érintettel különböző tranzakciók végrehajtására, például szerződés megkötésére, képzés hozzáférhetővé tételére, hírlevél küldésére, szolgáltatás nyújtására, munkabér folyósítására, számla kiállítására, stb. Ha már nincs több folyamatban lévő tranzakció, az adatokat automatikusan korlátozott adatkezelés körébe kell vonni és a tárolási idő leteltét követően (ha ilyen nincs meghatározva, akkor azonnal) törölni kell. A kezelt adatokból az adatkezelés megszüntetésekor anonimizálást követően statisztikai jelentéseket lehet készíteni, az így készült anonimizált statisztikai jelentés már nem minősül személyes adatnak.

Kiegészítés, kijavítás, adatváltozás

The data subject has the right to request that its stored personal data be updated (e.g. obtaining a doctorate) to be corrected (e.g.  tying, recording error) or updated according to the changed situation (e.g. change of name due to marriage, change of address due to move, new email address). This can also be done by changing data through the data subject’s user profile on the web interface by the data subject itself. For security reasons, the change must be logged (the log file belongs to the company operations registration code) and notified to the data subject shall be sent.

Hozzájárulás visszavonása.

The data subject may withdraw its consent at any time without any unjustified disadvantage. The legal consequences included in the contract, employment contract or terms of participation, such as the termination of a particular service, restrictions on access to the operating area, the cancellation of registration for an event, shall not be perceived as an unjustified disadvantage. Withdrawal of consent should not be prevented in any way, including persuasion. The declaration of withdrawal should be possible in a simple and comprehensible manner  (e.g. it can be done with a maximum of two clicks).  Once the consent has been withdrawn , it is necessary to examine which personal data of the data subject may be further processed on another legal basis. The result should be brought to the attention of the data subject so that, in the event of his will, he may take action to terminate another legal basis as well (e.g. termination of a contract). As regards of data without a legal basis for processing, the termination of processing should be carried out.

Adatkezelés korlátozása és megszűnése

Upon termination of the legal basis, it must be verified that all clearing, deliveries and transfers in relation to the data subject have been performed by the controller (e.g. payment of a contract, the issuing of certificates for the worker). Where a register is linked to a retention obligation, the data shall be subject to temporarily restricted processing, i.e. stored in an archive (this means a separate encrypted data container within the storage space from which information cannot be automatically extracted). Subsequently, further operations on the data shall not be carried out except for deletion until a legal basis is established for their handling (e.g. Support Authority concludes the transfer of data in the context of the project’s follow-up). The data subject  shall also have the right  to initiate a restriction on the processing,  in particular  where it disputes the legal basis of the processing, the data should be clarified or completed or to prevent the deletion of data in defence of the data subject’s legitimate interests.   The relevant request to restrict the processing of data should be met until the situation is clarified, but efforts should be made to resolve this as quickly as possible.

Adatok törlése

If there is no retention obligation or the storage time has expired, the data shall be deleted. If the data is also present on physical media, it is necessary to overwrite or, if this is not possible, physically  destroy the carrier (e.g. smashing a DVD) to ensure that the deletion is permanent, but physical destruction must not cause environmental damage (e.g. plastic media must not be burned outdoors). This will permanently terminate the processing. The fact of the erasing shall be communicated to the data subject before it begins.

Adattovábbítás

The data will not be disclosed to third parties without the expressed authorisation of the data subject valid for the particular data and transmission.  An exception to this is our own contracted processors and the authorities to whom data transmission is statutory (e.g.the tax identification mark of the employee to the tax authority in the register of company operations). It shall also constitute a need to provide the data to protect the vital interests of the data subject or another natural person. An example of authorization is if the data subject agrees to hand over his name, email address and telephone number to third parties who wish to use the services of the data subject for the purpose of making business.

Adatkezelési folyamatábra

Az adatkezelési folyamatábra ISO 5807:1985 szabvány szerint ábrázolja a folyamatot. A nyíl és nyíl nélküli összekötő azonos jelentésű, pusztán az értelmezés könnyítését szolgálja. A döntéseknél az „I” elágazás igent, az „N” leágazás nemet jelent. Tranzakciók alatt érteni kell a munkaviszonyt, foglalkoztatásra irányuló egyéb jogviszonyt, az előfizetői szerződés vagy külön szerződés alapján vagy ingyenesen nyújtott szolgáltatásokat is.

A személyes adatok kezelésére szolgáló eszközök

We process personal information on laptops and mobile devices with up-to-date operating systems and software that are protected by passwords, biometrics or two-stage authentication, devices also have a drive-level encryption. Storage is encrypted and is stored in a redundant and  synchronized cloud that tracks the activity. The network connections used during processing are also encrypted. We do not install unsigned or unlicensed software or connect to open, unencrypted WiFi networks. Paper-based personal information documents are kept in a lockable room, where people are only allowed to stay with our permission and supervision, and in the event of transport, we use a courier or state post office. The destruction of the media is carried out with a shredder.

Az érintettek jogai

Érintettek tájékoztatása

Érintetteknek joga van, hogy adataik kezeléséről és a kezelt adatokról tájékoztatást kapjanak. Az érintettek tájékoztatása elsősorban a webes felületen, emailen, illetve szociális hálózaton működő csoportokban történik, ahol minden érintett megnézheti a róla kezelt adatokat. Amennyiben az érintett kéri vagy erre az adott helyzetben szükség van (például adatvédelmi incidens vagy egyértelmű hiba a bevitt adatokban és annak helyesbítése, törlésre kijelölt adatok és a törlés ténye, korlátozás bevezetése vagy feloldása), akkor az érintettet külön is értesítjük az elérhetőségei valamelyikén.

Érintett panaszjoga

In the process of data processing, we strive to proactively address the problems encountered and to ensure maximum cooperation with data subjects and other stakeholders. If the data subject has a complaint or comment about the processing, it shall contact our Data Protection Officer first using the contact details provided above. Nevertheless, the data subject has the right to complain to the  National Data Protection and Freedom of Information Authority (www.naih.hu).

Érintett törléshez való joga

Érintettnek joga van az adatkezelés megszüntetését és az adatok törlését kérni. Az üzletszerzési nyilvántartás esetében ez egyben a hozzájárulás visszavonását is jelenti. Más esetben az adatok akkor kerülnek törlésre, ha azok kezelésére már nincs szükség vagy kezelésüknek nincs jogalapja. Például kérésre az általános 5 éves kezelési időtartam lejárta előtt is töröljük azokat a szerződéses adatokat, amelyekre vonatkozóan érintettel a szerződés megszűnését követően már elszámoltunk, egymás felé követelésünk nincsen és jogszabály a megőrzésére nem kötelez. Nem kerülnek törlésre azok az adatok, amelyekre jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez van szükség (lásd jogos érdekek érvényesítése nyilvántartás).

Érintett tiltakozáshoz való joga

Érintett tiltakozhat a jogos érdekek érvényesítése nyilvántartásban történő adatkezelés és az üzletszerzési célú nyilvántartásban történő adatkezelés ellen. Első esetben vizsgálni kell, hogy valóban érintettel kapcsolatban merült fel a jogos érdekérvényesítés igénye. Ha igen és azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, akkor az adatok tovább kezelhetők. Második esetben ezt a hozzájárulás visszavonásának kell tekinteni és az üzletszerzési nyilvántartásban történő adatkezelést azonnal meg kell szüntetni.

hu_HUHungarian
hu_HUHungarian en_USEnglish
%d bloggers like this: