Adatkezelési Szabályzat
Utolsó verzió közzététele: |
2024. április 26. |
|
|
A soron következő felülvizsgálat legkésőbbi időpontja: |
2025. április 26. |
|
|
A Vállalkozás, mint adatkezelő azonosító adatai: |
BAY-IRON Korlátolt Felelősségű Társaság székhely: 2038 Sóskút, Homokbánya út 3. cégjegyzékszám: 13 09 181483 adószám: 12107850-2-13 E-mail: kisfaludi.daniel@bayerconstruct.com Telefon: 06-23-560-091 honlap: https://bayiron.hu/ |
|
|
Az adatvédelmi tisztviselő neve, elérhetősége: |
Kisfaludi Dániel |
|
|
Definíciók, értelmező rendelkezések (ld. még GDPR 4. cikk)
Adatfeldolgozó |
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel |
Adatkezelés |
a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés |
Adatkezelő |
a Vállalkozás, valamint az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja |
adatvédelmi incidens |
a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi |
Címzett |
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak |
Érintett |
az a természetes személy, akinek a személyes adatait kezelik |
Érintett hozzájárulása |
az Érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez |
EU tagállam |
az Európai Unió tagállamai, jelenleg Ausztria, Belgium, Bulgária, Ciprus, Csehország, Dánia, Észtország, Finnország, Franciaország, Görögország, Hollandia, Horvátország, Írország, Lengyelország, Lettország, Litvánia, Luxemburg, Magyarország, Málta, Németország, Olaszország, Portugália, Románia, Spanyolország, Svédország, Szlovákia és Szlovénia |
felügyeleti hatóság |
egy európai uniós tagállam által a GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv (Magyarországon a NAIH) |
GDPR |
az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) |
harmadik fél |
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak |
nemzetközi szervezet |
a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre |
Profilalkotás |
személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen személyes preferenciákhoz, érdeklődéshez, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják |
személyes adat |
azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható |
személyes adatok különleges kategóriái |
a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok |
Vállalkozás |
BAY-IRON Korlátolt Felelősségű Társaság, mint adatkezelő |
A Szabályzat célja olyan intézkedések bevezetése és következetes alkalmazása, amelyek az Érintettek személyes adatainak pontos és biztonságos, valamint a hatályos uniós és tagállami adatvédelmi szabályoknak megfelelő, a Vállalkozás szintjén egységesen megvalósított kezelését biztosítják a Vállalkozás által a https://bayiron.hu/ weboldalon keresztül nyújtott építőipari szolgáltatások igénybevételéhez kapcsolódóan.
A Szabályzat ugyanakkor tömör, átlátható és könnyen hozzáférhető tájékoztatást nyújt az Érintettek számára a Vállalkozás által kezelt személyes adataikhoz való hozzáférésről, valamint rendelkezik és tájékoztatást nyújt a Vállalkozás által az Érintettek jogainak biztosítására vonatkozó szabályokról.
Személyes adatok kezelésének megkezdése előtt minden esetben gondosan mérlegelni kell, hogy erre ténylegesen szükség van-e. Személyes adatok kezelését kizárólag akkor lehet megkezdeni, ha kétséget kizáróan indokolható, hogy az adatkezelés célját más módon nem lehet megvalósítani (adattakarékosság).
A Vállalkozás köteles az Érintettek személyes adatait jogszerűen, tisztességesen, átlátható módon kezelni. Senkit nem érhet hátrány abból eredően, hogy a Vállalkozásnál, illetve a jelen Szabályzatban meghatározott egyéb hatóságnál eljárást, jogorvoslatot kezdeményezett vagy bejelentést tett, illetve, hogy a hozzájáruláson alapuló adatkezelés esetén a hozzájárulását megtagadta vagy visszavonta („hátrány” alatt nem értve adott jogi kötelem esetleges ellehetetlenülését).
Az Érintettek személyes adatainak gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet (célhoz kötöttség). A Vállalkozás köteles eleve elkerülni, illetve utóbb megszüntetni minden olyan adatkezelést, amely az adott személyes adatra vonatkozó céllal össze nem egyeztethető módon történik. A Vállalkozás csak a szükséges mértékben jogosult személyes adatot kezelni, és köteles minden olyan személyes adatot törölni, amelynek tekintetében az adatkezelés célja megszűnt, illetve az adatkezelés jogalapja nem igazolható.
A Vállalkozás köteles olyan ellenőrző mechanizmusokat bevezetni, amelyek alkalmasak arra, hogy már előzetesen is, illetve utóbb szűrő jelleggel biztosítható legyen, hogy
A Vállalkozás által kezelt személyes adatoknak pontosnak és naprakésznek kell lenniük. A Vállalkozás köteles minden ésszerű intézkedést megtenni annak érdekében, hogy pontos személyes adatok kerüljenek kezelésre,
A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
A személyes adatok kezelését olyan módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve mindazon lépéseket, melyek a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmét szolgálja.
Az adatkezelés alapjának helytálló meghatározása és a kiválasztott jogalaphoz tartozó további feltételek teljesítése a jogszerű adatkezelés előfeltétele. A jogszerűség követelménye tehát szűkebben véve a megfelelő adatkezelési jogalap meglétét feltételezi, tágabban értelmezve pedig azt jelenti, hogy a személyes adatok kezelésére csak az adott adatkezelési jogalapra vonatkozó jogszabályokkal összhangban kerülhet sor.
A Vállalkozás az általa végzett tevékenységre tekintettel az Érintettek személyes adatai tekintetében az alábbi főbb jogalapok közül választhat az adatkezelés jellegének és körülményeinek megfelelően.
A Vállalkozás az Érintett személyes adatait – ide nem értve a különleges adatokat, amelyeket a Vállalkozás semmilyen körülmények között nem kezel– különösen az alábbi jogalapon kezelheti:
Amennyiben a Vállalkozás az Érintettől adatokat gyűjt, de az Érintett a fenti jogalapokon kezelt adatokat nem adja meg, az adatszolgáltatás lehetséges következménye lehet adott szerződés előkészítésének, teljesítésének a megtagadása, illetve lehetetlenülése. Ha az Érintett a szolgáltatandó adatoknak csak egy részét nem adja meg, a hiányosan szolgáltatott adatok alapján kell megítélni, hogy az adatszolgáltatás elmaradása okozhatja-e pl. a szerződés létrejöttének vagy fenntartásának lehetetlenülését. Szerződésen alapuló adatkezelés esetén a lehetetlenülés jogkövetkezményeit a Vállalkozás csak akkor alkalmazhatja, ha igazolja, hogy a szolgáltatott adat nélkül az érintett szerződés teljesítésére nem képes.
4 A Vállalkozás tájékoztatási kötelezettsége és intézkedései
A Vállalkozás köteles tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően az Érintett rendelkezésére bocsátani bizonyos információkat és tájékoztatni az Érintettet az őt megillető jogokról (ld. még 6. pont). Továbbá az Érintett kérelmére bizonyos eljárási szabályok betartásával a Vállalkozás intézkedéseket tehet.
A Vállalkozás attól függően, hogy a személyes adatokat az Érintettől gyűjti-e vagy sem, köteles az Érintett rendelkezésére bocsátani bizonyos az adatkezelésre vonatkozó információkat.
A Vállalkozás építőipari tevékenységével összefüggő tevékenységének adatkezelései az Érintettek önkéntes hozzájárulásán és/vagy jogszabályi előíráson alapulnak. Önkéntes hozzájáruláson alapuló adatkezelés esetében az érintettek e hozzájárulásukat az adatkezelés bármely szakában visszavonhatják, ide nem értve azon eseteket, amikor az adatok kezelése, tárolása, továbbítása jogszabályi rendelkezések folytán kötelező.
Amennyiben az adatközlő a weboldal használata során nem a saját személyes adatait adja meg, az adatközlő kötelessége az Érintett hozzájárulásának beszerzése.
A Vállalkozás által kezelt személyes adatok köre, az adatkezelés célja, jogcíme, időtartama:
Név, székhely: BAYER CONSTRUCT Építőipari és Szolgáltató Zártkörűen Működő Részvénytársaság
2038 Sóskút, Homokbánya út 3.
Az adatfeldolgozó feladata: számlák kiállítása
Az Érintett kérelmezheti a Vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, továbbá tiltakozhat az ilyen személyes adatok kezelése ellen. Az Érintettet megilleti továbbá az adathordozhatósághoz és a jogorvoslathoz való jog, valamint az egyedi ügyekben alkalmazott automatizált döntéshozatalról való döntés joga, beleértve a profilalkotást is.
Az Érintettek adatvédelmi jogait és jogorvoslati lehetőségeit részletesen a GDPR vonatkozó rendelkezései (így különösen a GDPR 15., 16., 17., 18., 19., 20., 21., 22., 77., 78., 79., 80. és 82. cikkei) tartalmazzák. Az alábbi összefoglalás tartalmazza a legfontosabb rendelkezéseket, illetve a Vállalkozás ennek megfelelően nyújt tájékoztatást az Érintettek részére az adatkezeléssel kapcsolatos jogaikról és jogorvoslati lehetőségeikről.
A Vállalkozás indokolatlan késedelem nélkül, de mindenféleképpen az Érintett joggyakorlással (lásd: GDPR 15-22. cikkei) kapcsolatos kérelmének beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Vállalkozás a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet.
· A Vállalkozás az Érintett által kért információkat írásban, vagy – az Érintett elektronikus úton benyújtott kérelme, illetve ilyen iránú kérelme esetén – elektronikusan adja meg. Az Érintett részére szóbeli tájékoztatás is adható, amennyiben az Érintett a személyazonosságát a Vállalkozás részére igazolja.
4.2.1 A hozzáféréshez való jog
Az Érintett jogosult arra, hogy a Vállalkozástól visszajelzést kapjon arra vonatkozóan, személyes adatainak kezelése folyamatban van-e, ha pedig igen, jogosult arra, hogy a személyes adatokhoz és az alábbi információkhoz hozzáférést kapjon:
Ha az Érintett elektronikus úton nyújtotta be a kérelmét, a kért információkat széles körben használt elektronikus formában kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri.
A Vállalkozás az Érintettől a kérelem teljesítését megelőzően, annak tartalmának pontosítását, a kérelmezett információk, illetve adatkezelési tevékenységek pontos megjelölését kérheti.
Amennyiben az Érintett jelen pont szerinti hozzáférési joga hátrányosan érinti mások jogait és szabadságait (így különösen üzleti titkait vagy szellemi tulajdonát), a Vállalkozás jogosult az Érintett kérelmének teljesítését szükséges és arányos mértékben megtagadni.
Abban az esetben, amennyiben az Érintett a fenti tájékoztatást több példányban kéri, a Vállalkozás jogosult a többlet példányok elkészítésének adminisztratív költségeivel arányos és ésszerű mértékű díjat felszámítani.
Amennyiben az Érintett által megjelölt személyes adatot a Vállalkozás nem kezeli, úgy erről is köteles az Érintettet írásban tájékoztatni.
4.2.2 A helyesbítéshez való jog
Az Érintett jogosult a rá vonatkozó személyes adatok helyesbítését, amennyiben pedig hiányosak, úgy kiegészítését kérni.
A helyesbítéshez/kiegészítéshez kapcsolódó jog gyakorlása során az Érintett köteles megjelölni, hogy mely adatok pontatlanok, illetve hiányosak, továbbá köteles a Vállalkozást a pontos, teljeskörű adatról is tájékoztatni. A Vállalkozás jogosult indokolt esetben az Érintettet felhívni arra, hogy a pontosított adatot megfelelő módon – elsősorban okirattal – bizonyítsa.
A Vállalkozás az adatok helyesbítését, kiegészítését indokolatlan késedelem nélkül teljesíti.
A Vállalkozás az Érintett helyesbítéshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről.
4.2.3 A törléshez („elfeledtetéshez”) való jog
Az Érintett jogosult indítványozni, hogy a Vállalkozás a reá vonatkozó személyes adato(ka)t indokolatlan késedelem nélkül törölje, amennyiben az alábbi indokok valamelyike fennáll:
Az Érintett a törléshez kapcsolódó kérelmét írásban köteles előterjeszteni, megjelölvén, hogy mely személyes adatot milyen okból kíván töröltetni.
A törléshez kapcsolódó jog gyakorlása esetén a Vállalkozás a 4.3 pontban meghatározott eljárási szabályok figyelembe vételével köteles eljárni.
Amennyiben a Vállalkozás az Érintett törléshez kapcsolódó indítványának helyt ad, úgy a kezelt személyes adatot valamennyi nyilvántartásából törli, és erről az Érintettet megfelelő módon tájékoztatja.
Abban az esetben, amennyiben a Vállalkozás az érintett személyes adatainak törlésére köteles, a Vállalkozás minden olyan ésszerű lépést megtesz – ideértve a technikai intézkedések alkalmazását is – amely ahhoz szükséges, hogy a személyes adatok kötelező törléséről tájékoztassa azon adatkezelőket is, akik az Érintett személyes adatait azok nyilvánosságra hozatala következtében ismerték meg. A Vállalkozás a tájékoztatójában arról köteles a többi adatkezelőt értesíteni, hogy az Érintett személyes adataira mutató linkek vagy e személyes adatok másolatának, illetve másolatpéldányának törlését az Érintett kérelmezte.
A Vállalkozás az Érintett törléshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről.
A Vállalkozás nem köteles a személyes adatok törlésére abban az esetben, ha az adatkezelés szükséges:
4.2.4 Az adatkezelés korlátozásához való jog
Az Érintett jogosult indítványozni, hogy a Vállalkozás a reá vonatkozó személyes adato(k) kezelését, felhasználását korlátozza, amennyiben az alábbi indokok valamelyike fennáll:
Korlátozás esetén a személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy uniós, illetve valamely európai uniós tagállam fontos közérdekből lehet kezelni.
A Vállalkozás az adatkezelés korlátozásának feloldásáról az Érintettet előzetesen tájékoztatja.
A Vállalkozás az Érintett korlátozásához való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről.
4.2.5 A tiltakozáshoz való jog
Amennyiben a Vállalkozás nem végez közérdekű adatkezelést és közhatalmi jogosítványai sincsenek, nem végez tudományos vagy történelmi kutatást, illetve az adatkezelésre statisztikai célból sem kerül sor, esetében a jogos érdeken alapuló adatkezelések esetén merülhet fel a tiltakozáshoz való jog gyakorlása.
Amennyiben az Érintettek adatainak kezelésére jogos érdekre alapítottan kerül sor, fontos rendelkezés, hogy az Érintett számára az adatkezelés kapcsán biztosítani kell a megfelelő tájékoztatást és a tiltakozás jogának érvényesítését. A jelen jogra legkésőbb az Érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét.
Az Érintett ennek alapján jogosult tiltakozni személyes adatainak kezelése ellen és ilyen esetben a Vállalkozás nem kezelheti tovább az Érintett személyes adatait, kivéve, ha bizonyítható, hogy
A közvetlen üzletszerzés (direkt marketing, vagy DM) érdekében történő adatkezelésről a GDPR is deklarálja, hogy a kapcsolódó adatkezelések esetében a jogos érdek fennállása vélelmezhető.
Az Érintett a Vállalkozás által folytatott direktmarketing-tevékenységek esetén tehát szintén jogosult tiltakozni személyes adatainak e célból történő kezelése ellen, az egyéb jogos érdeken alapuló adatkezeléssel ellentétben azonban a tiltakozás nyomán a Vállalkozásnak nem áll módjában mérlegelni, hogy az Érintett tiltakozása esetén mégis folytathatja-e az adatkezelést.
Amennyiben az Érintett a direktmarketing-célból történő adatkezelés ellen tiltakozik, úgy a továbbiakban az Érintett adatait a Vállalkozás e célból tovább nem kezelheti.
Profilalkotás során az Érintettekre vonatkozó személyes jellemzőket valamilyen automatizált módszerrel értékelik ki. Az ilyen értékelések felhasználhatók például az Érintett személyes preferenciákhoz, érdeklődéshez, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzőinek elemzésére vagy előrejelzésére.
A tiltakozás joga kiterjed a jogos érdeken alapuló profilalkotásra, mint sajátos adatkezelési műveletre is. Amennyiben pedig direktmarketing-célból kerül sor profilalkotásra, úgy az Érintett tiltakozása nyomán a személyes adatain alapuló profilalkotás is haladéktalanul beszüntetendő.
4.2.6 Az adathordozhatósághoz való jog
Az Érintett jogosult arra, hogy a rá vonatkozó, a Vállalkozás által kezelt személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá másik adatkezelőnek továbbítsa, anélkül, hogy ezt a Vállalkozás gátolná.
Az adathordozhatósághoz való jog azon személyes adatok tekintetében gyakorolhatók, amelyeket az Érintett a Vállalkozás rendelkezésére bocsátott, és
Amennyiben az egyébként technikailag megvalósítható, a Vállalkozás az Érintett kérésére a személyes adatokat közvetlenül egy másik, az Érintett kérelmében megjelölt adatkezelő részére továbbítja.
Az adathordozhatóság körében a Vállalkozás köteles ingyenesen az Érintett számára az adathordozót rendelkezésre bocsátani.
Abban az esetben, amennyiben a Vállalkozás adathordozhatósághoz való joga hátrányosan érinti mások jogait és szabadságait, így különösen üzleti titkait, szellemi tulajdonát, a Vállalkozás az Érintett kérelmének teljesítését szükséges mértékben megtagadhatja.
Az adathordozhatóság körében tett intézkedés nem jelenti az adatok törlését (áthelyezését, mozgatását), azokat a Vállalkozás mindaddig nyilvántartja, ameddig az adatok kezelésére egyebekben megfelelő céllal, illetve jogalappal rendelkezik.
4.2.7 Egyedi ügyekben alkalmazott automatizált döntéshozatalról való döntés joga, beleértve a profilalkotást
Az „automatizált döntéshozatal” fogalmát a GDPR nem határozza meg: lényegében ide sorolható minden olyan gépesített folyamat, melynek nyomán a bevitt adatok kizárólag számítástechnikai eszközökkel, emberi beavatkozás nélkül végzett, előre meghatározott szempontok/algoritmus szerinti értékelése történik és ezen értékelés az Érintettre jelentős következményekkel járó döntést eredményez (pl. online hitelkérelmek gépi mérlegelésű elutasítását vagy az emberi beavatkozás nélkül végzett online munkaerő-kiválasztást).
A „profilalkotás” fogalmának (ld. a definíciókat fent) lényege, hogy az Érintettekre vonatkozó személyes jellemzőket valamilyen automatizált módszerrel értékeli ki. Amennyiben az Érintett személyes adataival kapcsolatosan a Vállalkozásnál automatizált döntéshozatal történik, ideértve a profilalkotást is, akkor az adatvédelmi tájékoztatóban utalni kell erre. Ez esetben az adatkezelési tájékoztató tartalmazza az alkalmazott logikára vonatkozó információt, továbbá azt, hogy az ilyen adatkezelés az Érintettre nézve milyen jelentőséggel és várható következményekkel bír.
Az Érintettet jogosult kérni, hogy ne terjedjen ki rá a kizárólag automatizált adatkezelésen – köztük a profilalkotáson – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
Az Érintett nem jogosult kérni az automatizált adatkezelésen alapuló döntés hatálya alóli mentesítését, ha a döntés szerződés megkötése vagy teljesítése érdekében szükséges, vagy a döntés meghozatalát uniós vagy tagállami jog teszi lehetővé, avagy ha a döntés az Érintett kifejezett hozzájárulásán alapul.
Amennyiben az automatizált adatkezelés szerződés megkötése vagy teljesítése érdekében szükséges vagy az Érintett hozzájárulásán alapul, akkor az Érintettet megilleti az a jog, hogy a Vállalkozás részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
A Vállalkozás adatkezelései során a személyes adatok különleges kategóriáiba tartozó adatokat nem kezel.
Ha az Érintett úgy ítéli meg, hogy a Vállalkozás általi személyes adatainak kezelése sérti a hatályos adatvédelmi jogszabályok, így különösen a GDPR rendelkezéseit, jogában áll a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) panaszt benyújtani.
Honlap: http://naih.hu/
Cím: 1055 Budapest, Falk Miksa utca 9-11
Postacím: 1363Budapest, Pf.: 9.
Telefon: +36-1-391-1400
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu
Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti európai uniós tagállamban létrehozott, felügyeleti hatóságnál is panaszt tenni.
Az Érintett és a Vállalkozás jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, így különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntésével szemben. Mindazonáltal a hatékony bírósági jogorvoslathoz való jog nem vonatkozik a felügyeleti hatóságok által tett, jogilag kötelező erővel nem bíró intézkedéseikre, például a felügyeleti hatóság által kibocsátott véleményekre vagy az általa nyújtott tanácsra.
Továbbá az Érintettet jogosult a hatékony bírósági jogorvoslatra, ha a GDPR 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal vagy három hónapon belül nem tájékoztatja az Érintettet a benyújtott panaszával kapcsolatos eljárási fejleményekről vagy annak eredményéről.
A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti uniós tagállam bírósága előtt kell megindítani.
Az Érintett – panasztételi jogától függetlenül – bírósághoz fordulhat, ha a személyes adatainak kezelése során megsértették a GDPR szerinti jogait.
A Vállalkozással mint belföldi tevékenységi hellyel rendelkező adatkezelővel szemben magyar bíróság előtt indítható per. A perre a GDPR, az Infotv., illetve a Ptk. és a Pp. szabályai alkalmazandók.
Az Érintett a pert a jelenlegi Infotv. 23. § (3) bek. szerint a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. Magyarországon a törvényszékek elérhetősége az alábbi linken található: http://birosag.hu/torvenyszekek.
Tekintettel arra, hogy a Vállalkozás nem minősül valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének, az Érintett a pert a szokásos tartózkodási hely szerinti tagállam hatáskörrel és illetékességgel rendelkező bírósága előtt is megindíthatja, amennyiben az Érintett szokásos tartózkodási helye az Európai Unió más tagállamában van.
Az Érintettnek jogában áll a panasznak a nevében történő benyújtásával, a felügyeleti hatóság határozatának bírósági felülvizsgálatával, a keresetindítással, valamint a kártérítési jogának a nevében történő érvényesítésével egy olyan nonprofit jellegű szervezetet vagy egyesületet megbízni, amelyet valamely európai uniós tagállam jogának megfelelően hoztak létre és amelynek alapszabályban rögzített céljai a közérdek szolgálata, valamint az érintettek jogainak és szabadságának a személyes adatok vonatkozásában biztosított védelme.
A Vállalkozás köteles megtéríteni azt a vagyoni vagy nem vagyoni kárt, amelyet az alábbi jogszabályok megsértésének eredményeként más személy szenvedett el:
A Vállalkozás mentesül a kártérítési felelőssége alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
A károsult a kártérítés igényét az 4.2.8.3 pontban meghatározott tagállamban hatáskörrel és illetékességgel rendelkező bíróságnál nyújthatja be.
A Vállalkozás a fenti tájékoztatási kötelezettségének teljesítése és intézkedései megtétele során az ott meghatározottak szerint köteles eljárni. A fent meghatározott speciális szabályokat meghaladóan a Vállalkozás a következő rendelkezések betartásával jár el.
A 4.2.1 – 4.2.7 pontokban meghatározott érintetti jogok kapcsán kérelmezett intézkedésekkel kapcsolatban az alábbi eljárási szabályokat kell alkalmazni.
Az Érintett kérelmét az ügyvezetői munkakörben foglalkoztatott munkatársnál mint adatvédelmi tisztviselőnél nyújthatja be.
A kérelem benyújtása írásban történhet elektronikus levél útján vagy papíralapon (nyomtatványon). Ha az Érintett a kérelmet nem nyomtatványon nyújtja be, akkor tartalma alapján kell elbírálni. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett másként kéri.
Az Érintett köteles megjelölni, hogy a mely személyes adat vonatkozásában kéri a Vállalkozás intézkedését.
A Vállalkozás az írásban benyújtott kérelem kézhezvételétől számított 1 (egy) hónapon belül köteles kérelmet elbírálni. Szükség esetén, figyelembe véve a kérelem összetettségét, illetve a folyamatban lévő kérelmek számát, a Vállalkozás a kérelem elbírálásának határidejét további 2 (kettő) hónappal meghosszabbíthatja. A meghosszabbítás tényéről, illetve okairól az Érintettet a kérelem kézhezvételétől számított 1 (egy) hónapon belül tájékoztatni kell.
Amennyiben az Érintett kérelme megalapozott, a Vállalkozás a kért intézkedést az eljárási határidőn belül végrehajtja, és a végrehajtás megtörténtétével kapcsolatosan írásbeli tájékoztatást ad az Érintett részére.
Ha a Vállalkozás nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 (egy) hónapon belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál és élhet bírósági jogorvoslati jogával.
4.3.2 A szolgáltatott információ, a nyújtott tájékoztatás és a megtett intézkedés díja
A Vállalkozás a 4.1, 4.2.1 – 4.2.7 és 6.2 pontokban meghatározott információkat, az érintetti jogokkal kapcsolatos tájékoztatást, illetve a kérelmezett intézkedéseket díjmentesen biztosítja. Amennyiben azonban az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Vállalkozás, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre
4.3.3 Kérelmező személyazonosságának vizsgálata
Abban az esetben, amennyiben a Vállalkozásnak a jelen szabályzat 4.2.1 – 4.2.6 pontok szerinti kérelem előterjesztőjének kilétével kapcsolatban megalapozott kétsége támad, a Vállalkozás az Érintett személyazonosságának megerősítéséhez szükséges további információk rendelkezésre bocsátását igényelheti.
A Vállalkozás meghatározott célból – így különösen valamely harmadik személlyel fennálló szerződés teljesítése érdekében, illetve a jogszabályban meghatározott kötelezettség, munkaviszonyból származó munkáltatói kötelezettség teljesítése érdekében – az Érintettek személyes adatait továbbíthatja.
Adattovábbítás esetén – jogszabályon alapuló adattovábbítás kivételével – a Vállalkozás kizárólag olyan címzettek részére továbbítja az Érintett személyes adatait, amelyek az Európai Unió területén székhellyel rendelkeznek, vagy amelyek megfelelő garanciákat nyújtanak arra, hogy az általuk történő adatkezelés a GDPR követelményeinek megfelel.
Amennyiben a Vállalkozás személyes adatot harmadik országba – tehát az Európai Unión kívüli országba – vagy nemzetközi szervezet részére továbbít (vagy harmadik országban működő adatkezelő vagy nemzetközi szervezet számára elérhetővé tesz), úgy a Vállalkozás köteles arról gondoskodni, hogy a harmadik országban működő címzett, illetve a nemzetközi szervezet az Érintett személyes adataival kapcsolatosan a Vállalkozás által biztosított védelemmel azonos mértékű védelmet biztosítson a GDPR V. fejezetében foglaltaknak megfelelően.
Ha olyan harmadik országba vagy nemzetközi szervezet számára történik az adattovábbítás, amely a személyes adatok megfelelő szintű védelmét a GDPR V. fejezete szerint biztosítani nem tudja (pl. egyes ázsiai vagy afrikai országok), akkor az adattovábbítás csak akkor történhet az Érintett hozzájárulása nélkül, ha az adattovábbítás megfelel a GDPR 49. cikkében foglaltaknak; ennek hiányában a személyes adatok továbbításhoz szükséges az Érintett kifejezett hozzájárulása.
Adatvédelmi incidens esetén a Vállalkozás a következő szabályokat köteles betartani, illetve a következő szabályok alapján köteles eljárni.
6.1 Bejelentés a felügyeleti hatósághoz
A Vállalkozás az általa kezelt adatok vonatkozásában az adatvédelmi incidenst a tudomásszerzést követően indokolatlan késedelem nélkül, amennyiben az lehetséges, úgy a tudomásszerzést követően legkésőbb 72 órával bejelenti a felügyeleti hatóságnak, legalább az alábbi tartalommal:
Ha és amennyiben nem lehetséges a fenti információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők a felügyeleti hatósággal. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Nem kell bejelenteni az adatvédelmi incidenst, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell objektív értékelés alapján meghatározni. Kockázatnak minősülhet például, ha az Érintettek az incidens folytán hátrányos megkülönböztetésben részesülhetnek, személyazonosságukkal történő visszaélés alanyaivá válhatnak, pénzügyi veszteséget szenvedhetnek, jó hírnevük sérülhet, egyéb jelentős gazdasági vagy szociális hátrány érheti őket.
Ha valamely Érintett, különös tekintettel a Vállalkozás munkavállalóira, adatvédelmi incidensről értesül, úgy köteles erről a Vállalkozás képviselőjét vagy adatvédelmi tisztviselőjét haladéktalanul értesíteni. Az értesítéssel kapcsolatos díjszámításra a 4.3.2 pontban foglaltaknak megfelelően alkalmazandók.
Minden olyan esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár valamely Érintett(ek) jogaira és szabadságaira nézve és az incidensről a Vállalkozás tudomást szerez, arról indokolatlan késedelem nélkül tájékoztatni köteles az Érintett(ek)et. A tájékoztatásban világosan és közérthetően ismertetni kell:
Az Érintett tájékoztatása nem szükséges, amennyiben a következő feltételek bármelyike teljesül:
Amennyiben a Vállalkozás még nem értesítette az Érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását, vagy megállapíthatja a fenti feltételek valamelyikének teljesülését és így azt, hogy az Érintett tájékoztatása nem szükséges.
7 Adatkezelési nyilvántartások
7.1 Adatkezelési tevékenységek nyilvántartása
A Vállalkozás és a Vállalkozás képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásban, ideértve az elektronikus dokumentumot is, nyilvántartást köteles vezetni a GDPR 30. cikkének megfelelően, ami a következő információkat tartalmazza:
A Vállalkozás és a Vállalkozás képviselője köteles a nyilvántartást megkeresés alapján a felügyeleti hatóság részére hozzáférhetővé tenni.
7.2 Adatvédelmi incidensek nyilvántartása
A Vállalkozás nyilvántartja az adatvédelmi incidenseket az alábbi információkkal:
Jelen nyilvántartásba a NAIH betekinthet és ellenőrizheti a GDPR 33. cikkének betartását.
8 Adatvédelmi tisztviselő (DPO)
Az adatvédelmi tisztviselő olyan független, objektív véleményezési, tanácsadási és ellenőrzési tevékenységet végző személy, aki a Vállalkozáson belül az adatvédelem terén tapasztalható hibák, hiányosságok, rendellenességek feltárását, az adatvédelmi tárgyú jogszabályoknak történő megfelelés biztosítását, így különösen a meglévő és a tervezett adatkezelések adatvédelmi szempontú véleményezését és az adatvédelmi tudatosság növelését látja el.
A Vállalkozás részéről adatvédelmi tisztviselőként eljáró személy neve és elérhetőségei:
Név: Kisfaludi Dániel
E-mail cím: kisfaludi.daniel@bayerconstruct.com
Telefon: 06-23-560-091; 06-30-328-1989
Levélcím: BAY-IRON Korlátolt Felelősségű Társaság; Kisfaludi Dániel figyelmébe; székhely: 2038 Sóskút, Ipari Park, Homokbánya út 3.
Az adatvédelmi tisztviselő kijelölése vagy a GDPR-ban írt feltételek okán kötelező, vagy önkéntesen választható; a tisztséget elláthatja saját munkavállaló, de akár külső megbízott szolgáltató is. Feladatai legalább a következők:
Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
A Vállalkozás vagy az adatfeldolgozó biztosítja, hogy feladatok ellátása során ne álljon fenn összeférhetetlenség. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Annak érdekében, hogy az adatvédelmi tisztviselő minden, személyes adatokat érintő folyamatról a lehető legkorábban tudomást szerezzen és a bevezetni tervezett lépésekről teljes képet kapjon, a kapcsolódó egyeztetésekbe be kell vonni, véleményét a tervezés megkezdésétől a megvalósításig, valamint azt követően, a folyamatok utóellenőrzése során is ki kell kérni. Az adatvédelmi tisztviselő az általa végzett ellenőrzéseket ellenőrzési terv alapján, illetve adatvédelmi jogsértés észlelése esetén eseti jelleggel végzi. Az ellenőrzési terv és az egyes tervezett ellenőrzések fókuszát az adatvédelmi tisztviselő az elvégzett kockázatértékelés, a korábban lefolytatott ellenőrzések megállapításai, a korábban megfogalmazott vélemények, valamint a bevezetni tervezett, adatvédelmet érintő intézkedések alapján határozza meg.
Az adatvédelmi tisztviselő szervezeti függetlenségét biztosítani kell annak érdekében, hogy objektív értékelő funkciót tudjon ellátni. Az adatvédelmi tisztviselő ezen tisztségével összefüggésben nem utasítható, tevékenysége folytán szankcióval nem sújtható és közvetlenül a legfelső vezetésnek tartozik felelősséggel. Amennyiben a függetlensége sérül, köteles jelezni azt a Vállalkozás legfelső vezetése felé.
A Vállalkozás az adatvédelmi tisztviselő rendelkezésére bocsájtja a feladatai hatékony ellátásához szükséges szervezeti, adminisztratív és anyagi eszközöket, közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, valamint közli ezeket az adatokat a felügyeleti hatósággal.
9 Adatvédelmi hatásvizsgálat
Az adatvédelmi hatásvizsgálat során a Vállalkozás az olyan adatkezelések esetében, amelyek valószínűsíthetően magas kockázattal járnak a természetes személyek jogaira és szabadságaira hatásvizsgálatot köteles végezni (ld. különösen GDPR 35. cikk (3) bek.). A hatásvizsgálat legalább az alábbi információkat tartalmazza:
A Vállalkozás vagy adatvédelmi tisztviselője köteles gondoskodni a Vállalkozásnál az adatkezelési műveletekben részt vevő személyek adatvédelmi tudatosság-növeléséről és képzéséről (szervezettség, rendszeresség, számonkérés, jogkövetkezmények, revízió stb.).
A jelen Szabályzatban az európai uniós jogon vagy az Európai Unión az EGT tagállamokban alkalmazandó jogot és az EGT tagállamokat is érteni kell.
12 Hatály és felülvizsgálati rend
A Szabályzat 2023. január 2-án lépett hatályba, utolsó felülvizsgálatának időpontja 2024. április 25. és visszavonásig érvényes.
A Szabályzat hatályba lépésének fordulónapjával bezárólag minden évben legalább egyszer felülvizsgálatra kerül, azzal, hogy a felülvizsgálat valamennyi melléklet tartalmára is maradéktalanul kiterjed. Amennyiben szükséges, Kisfaludi Dániel, mint felülvizsgálatért felelős tisztviselő a jogszabályi és a belső szervezeti változásoknak megfelelően intézkedik az Adatkezelési Szabályzat megfelelő módosítása iránt, gondoskodik a módosított Adatkezelési Szabályzat hatályba léptetéséről és kihirdetéséről, valamint arról, hogy az Adatkezelési Szabályzat személyi hatálya alá tartozó személyek a módosítások tartalmáról tudomást szerezzenek.
A Szabályzat rá irányadó szabályainak megismerése és betartása a Vállalkozás minden képviselője, tisztségviselője és megbízottja számára kötelező, feladataikat kötelesek az Adatkezelési Szabályzat előírásainak maradéktalan betartásával ellátni.
Jogszabályváltozás esetén, továbbá a jelen szabályzat egyéb okból történő módosítása esetén a Tájékoztatót a jogszabályi változás alapulvételével, illetve egyéb okból módosítani kell és az Érintettekkel meg kell ismertetni a módosítás szövegét.
Sóskút, 2024. április 25.
BAY-IRON Korlátolt Felelősségű Társaság
Képviseletében eljár: Balázs Attila ügyvezető