Adatkezelési szabályzat

ADATKEZLÉSI SZABÁLYZAT

Jelen Szabályzat Az Egyéni vállalkozó adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS ATANÁCS (EU) 2016/679

RENDELETÉNEK - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmérőlés az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) – való megfelelés céljából.

A Szabályzat megállapítása és módosítása az ügyvezető hatáskörébe tartozik.

Kelt, Gyömrő 2018 Május hó. 01 napján

ügyvezető

TARTALOMJEGYZÉK

I. FEJEZET - ÁLTALÁNOS RENDELKEZÉSEK

1.§ A Szabályzat célja és hatálya

2. § Fogalommeghatározások

II. FEJEZET - AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA

3. § Adatkezelés az érintett hozzájárulása alapján

4. § Jogi kötelezettség teljesítésén alapuló adatkezelés

5. § Az Egyéni vállalkozó adatkezelési tájékoztatója

III. FEJEZET - SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK

16. § Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása

17.§    Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai

19. §    Látogatói adatkezelés Az Egyéni vállalkozó honlapján  - Tájékoztatás sütik

(cookie) alkalmazásáról

20. § Regisztráció Az Egyéni vállalkozó honlapján

21 § Hírlevél szolgáltatáshoz kapcsolódó adatkezelés

22. § Adatkezelés Az Egyéni vállalkozó webáruházában

23. § Ajándéksorsolás szervezésével kapcsolatos adatkezelés

24. §  Direkt marketing célú adatkezelés

IV. FEJEZET - JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK

25. § Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából

26. § Kifizetői adatkezelés

27. §  A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés

V. FEJEZET - ADATBIZONSÁGI INTÉZKEDÉSEK

29. §  Adatbiztonsági intézkedések

VI. FEJEZET - AZ EGYÉNI VÁLLALKOZÓ ADATFELDOLGOZÓ TEVÉKENYSÉGE

30.§  Adatfeldolgozó tevékenységek

31. §  Adatfeldolgozói garancianyújtás

32. §  A megbizó (adatkezelő) kötelezettségei és jogai

33. § Társaságunk, mint adatfeldolgozó kötelezettségei és jogai

34. Az Egyéni vállalkozó adatfeldolgozási   tevékenységének általános szerződési feltételei

VII. FEJEZET - ADATVÉDELMI INCIDENSEK KEZELÉSE

35. § Az adatvédelmi incidens fogalma

36. § Adatvédelmi incidensek kezelés, orvoslása

37. § Adatvédelmi incidensek nyilvántartása

VIII. FEJEZET - ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

38. § Adatvédelmi hatásvizsgálat és előzetes konzultáció

IX. FEJEZET - AZ ÉRINTETT SZEMÉLY JOGAI

39.§ Tájékoztatás  az érintett jogairól

X. FEJEZET - ZÁRÓ RENDELKEZÉSEK

40. §  A Szabályzat megállapítása és módosítása

41. § Intézkedések a szabályzat megismertetése

MELLÉKLETEK

1. melléklet      Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez

2. melléklet      Adatkezelési  tájékoztató az érintett természetes személy jogairól személyes adatai kezelése vonatkozásában

6. melléklet      Adatkezelési kikötés természetes személlyel kötött szerződéshez

7. melléklet      Hozzájáruló nyilatkozat jogi személy szerződő partnerek természetes személy képviselőinek elérhetőségi adatai kezeléséhez

9.a melléklet    Az adatfeldolgozási tevékenység általános szerződési feltételei  - standard

9.b melléklet    Az adatfeldolgozási tevékenység általános szerződési feltételei  -

könyvelőirodák részére

10. melléklet    Munkaszerződési kikötés az adatkezelési szabályzat megismeréséről, alkalmazásáról és titoktartási kötelezettségről

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. § A Szabályzat célja és hatálya

(1) E Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy Az Egyénivállalkozó adatkezelő és adatfeldolgozó   tevékenysége   megfeleljen   AZ   EURÓPAI   PARLAMENT   ÉS   A TANÁCS (EU) 2016/679 RENDELETÉNEK - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történővédelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általánosadatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságrólszóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.

(2)  E  Szabályzat    hatálya  természetes  személyre  vonatkozó  személyes  adatok

Társaság általi kezelésére terjed ki.

(3)  Egyéni vállalkozó, egyéni cég,   őstermelő ügyfeleket, vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni.

(4) Szabályzat  hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogiszemély nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat. (GDPR  (14))

2. § Fogalommeghatározások

E Szabályzat alkalmazásában irányadó fogalommeghatározásokat a   Rendelet 4.

cikke tartalmazza. Ennek megfelelően emeljük ki a főbb fogalmakat:

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ;azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám,helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturálisvagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2.   „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés,  betekintés,  felhasználás,  közlés  továbbítás,  terjesztés  vagy  egyéb módon történő hozzáférhetővé tétel útján,összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3.  „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokatvalamely természetes személyhezm fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

5.  „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információkfelhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogyazonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

6.  „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagyföldrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

7.   „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely aszemélyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különösszempontokat az uniós vagy a tagállami jog is meghatározhatja;

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely azadatkezelő nevében személyes adatokat kezel;

9.   „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy  bármely  egyéb  szerv,  akivel  vagy amellyel  a  személyes  adatot  közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnekcímzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelőenaz alkalmazandó adatvédelmi szabályoknak;

10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nemazonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelműkinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

12.  „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy  más  módon  kezelt  személyes adatok  véletlen  vagy  jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz valójogosulatlan hozzáférést eredményezi.

II. FEJEZET

AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA

3. § Adatkezelés az érintett hozzájárulása alapján

(1)    Amennyiben Az Egyéni vállalkozó hozzájáruláson alapuló adatkezelést kíván végezni,  az  érintett  hozzájárulását  személyes  adatai  kezeléséhez  az   1 .   s zá mú

 me ll ék le t  szerinti adatkérő lap szerinti tartalommal és tájékoztatással kell kérni.

(2) Hozzájárulásnak minősül az is, ha az érintett Az Egyéni vállalkozó internetes honlapjának   megtekintése   során   bejelöl   egy   erre   vonatkozó   négyzetet,   az információs társadalommal összefüggő szolgáltatások igénybevétele során errevonatkozó   technikai   beállításokat   hajt   végre,   valamint   bármely   egyéb   olyan nyilatkozat vagy cselekedet is, amely azadott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, azelőre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

(3) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési  tevékenységre  kiterjed.  Ha  az  adatkezelés  egyszerre  több  célt  is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

(4) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik – pl,értékesítési, szolgáltatási szerződés megkötése  - a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműenmegkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír. 

(5) Az Egyéni vállalkozó nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulásmegadásához, amelyek nem szükségesek a szerződés teljesítéséhez.

(6) A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(7) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérőrendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint azérintett hozzájárulásának visszavonását követően is kezelheti.

4. § Jogi kötelezettség teljesítésén alapuló adatkezelés

(1) A jogi kötelezettségen alapuló adatkezelés esetén a kezelhető adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az alapul szolgáló jogszabály rendelkezései irányadók.

5. § Az Egyéni vállalkozó adatkezelési tájékoztatója

 (1) Az Egyéni vállalkozó általános adatkezelési tájékoztatóját a  2 .  s zá mú  me llé k le t

tartalmazza.

(2)    Az  Egyéni  vállalkozó  valamennyi  adatkezelése  során  köteles  biztosítani  az érintett jogainak gyakorlását.

III. FEJEZET

SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK

16. § Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása

(1) Az Egyéni vállalkozó szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét,anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát,  lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát,rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés  a  szerződés  megkötését  megelőzően  az  érintett  kérésére  történő lépések megtételéhez szükséges. Aszemélyes adatok címzettjei: Az Egyéni vállalkozó ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési,adózási feladatokat ellátó munkavállalói, és adatfeldolgozói. A személyes adatok tárolásának  időtartama: a szerződésmegszűnését követő 5 év.

(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítésejogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történőátadásáról tájékoztatni kell.   A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési kikötés szövegét jelen Szabályzat  6.  szá mú  mell ék le te tartalmazza.

17.§      Jogi  személy  ügyfelek,  vevők,  szállítók  természetes  személy képviselőinek elérhetőségi adatai

(1) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosítója.

(2) A személyes adatok kezelésének célja: Az Egyéni vállalkozó jogi személy partnerével kötött szerződés teljesítése, üzletikapcsolattartás, jogalapja: az érintett hozzájárulása.

(3) A személyes adatok címzettjei, illetve a címzettek kategóriái: Az Egyéni vállalkozó ügyfélszolgálattal kapcsolatos feladatokatellátó munkavállalói.

(4) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő5 évig.

(5) Az adatfelvételi lap mintáját jelen Szabályzat 7. számú melléklete tartalmazza. Ezen  nyilatkozatot  az  ügyféllel,  vevővel, szállítóval  kapcsolatban  álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kellhozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrízni.

19. §   Látogatói adatkezelés Az Egyéni vállalkozó honlapján   - Tájékoztatás sütik (cookie) alkalmazásáról

(1) A süti (angolul cookie) egy olyan adat, amit a meglátogatott weboldal küld a látogató böngészőjének (változónév-értékformában), hogy az eltárolja és később ugyanaz a weboldal be is tudja tölteni a tartalmát.

(2) Egy felhasználónak az elektronikus hírközlő végberendezésén csak az érintett felhasználó   világos   és   teljes   körű   –   az   adatkezelés   céljára   is   kiterjedő   – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni (2003. évi C. törvény 155.§/4/).  Ez alapján Az Egyéni vállalkozó honlapján az első látogatáskor egy rövid összefoglalót kell adni a látogató számára a sütik alkalmazásáról, és egy linken keresztül utalni kell a teljes körű tájékoztatóelérhetőségére (2. számú melléklet szerinti adatkezelési tájékoztató). E tájékoztatóval Az Egyéni vállalkozó biztosítjahogy a látogató a honlap információs társadalommal összefüggő szolgáltatásainak  igénybevétele előtt és az igénybevétel soránbármikor megismerhesse, hogy Az Egyéni vállalkozó mely adatkezelési célokból   mely   adatfajtákat   kezel,   ideértve   az  igénybe   vevővel   közvetlenül kapcsolatba nem hozható adatok kezelését is.

(3) Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001.CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése szerint  a szolgáltató  a szolgáltatás nyújtása céljából kezelheti azon személyes     adatokat,     amelyek     a     szolgáltatás     nyújtásához     technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és mindenesetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvénybenmeghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.

20. § Regisztráció Az Egyéni vállalkozó honlapján

(1) A honlapon a regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulásátszemélyes adatai kezeléséhez. Tilos a négyzet előre bejelölése.

(2) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mailcíme, online azonosító, számláázsi, postázási név és cím.

(3) A személyes adatok kezelésének célja:

1. A honlapon nyújtott szolgáltatások teljesítése.

2. Kapcsolatfelvétel, elektronikus, telefonos, SMS, és postai megkereséssel.

3. Tájékoztatás Az Egyéni vállalkozó termékeiről, szolgáltatásairól, szerződési feltételeiről, akcióiról.

4. Reklám-küldemény a tájékoztatás során elektronikusan és postai úton küldhető.

5. A honlap használatának elemzése.

(4) Az adatkezelés jogalapja az érintett hozzájárulása.

(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: Az Egyéni vállalkozó ügyfélszolgálattal, marketingtevékenységével    kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként     Az Egyéni vállalkozó IT szolgáltatója tárhelyszolgáltatást végző munkavállalói.

(6) A személyes adatok tárolásának időtartama: a regisztráció / szolgáltatás aktív fennállásáig, vagy az érintett hozzájárulásavisszavonásáig (törlési kérelméig).

21 § Hírlevél szolgáltatáshoz kapcsolódó adatkezelés

(1) A honlapon a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meghozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése. A feliratkozás során az Adatkezelési tájékoztatót(2. melléklet) egy linkkel elérhetővé kell tenni. A hírlevéről az érintett a hírlevél „Leiratkozás” alkalmazásának használatával,vagy írásban, vagy e-mailben tett nyilatkozattal bármikor leiratkozhat, amely a hozzájárulás visszavonását jelenti. Ilyen esetbena leiratkozó minden adatát haladéktalanul törölni kell.

(2) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe. 

(3) A személyes adatok kezelésének célja:

1. Hírlevél küldése Az Egyéni vállalkozó termékei, szolgáltatásai tárgyában

2. Reklámanyag küldése

(4) Az adatkezelés jogalapja: az érintett hozzájárulása.

(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: Az Egyéni vállalkozó ügyfélszolgálattal, marketingtevékenységével    kapcsolatos feladatokat ellátó munkavállalói,      adatfeldolgozóként  Az  Egyéni  vállalkozó  IT  szolgáltatójamunkavállalói a tárhelyszolgáltatás teljesítése céljából,

(6) A személyes adatok tárolásának időtartama: a hírlevél-szolgáltatás fennállásáig, vagy az érintett hozzájárulásavisszavonásáig (törlési kérelméig).

22. § Adatkezelés Az Egyéni vállalkozó webáruházában

(1) Az Egyéni vállalkozó által működtetett webáruházban történő vásárlás szerződésnek minősül, figyelemmel az elektronikuskereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. éviCVIII. törvény 13/A.§-ára, és a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló   45/2014. (II. 26.) Korm. rendeletre is. Webáruházban történő vásárlás  esetén az adatkezelés jogcíme a szerződés.

(2) Az Egyéni vállalkozó a szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására&am