Adatkezelési elveink
ÁLTALÁNOS ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT
(BECK AND PARTNERS Kft.)
Érvényes: 2018. május 24.-től
I. ÁLTALÁNOS RENDELKEZÉSEK
A TÁRSASÁG ADATAI
-
Cégnév: BECK AND PARTNERS Kft. (a továbbiakban Társaság)
-
Cégjegyzékszám: 01-09-869971
-
Székhely: 1119 Budapest, Bártfai u. 15-17
-
Adószám: 13667209-2-43
-
Törvényes képviselő: Beck Zsolt ügyvezető
-
Adatvédelmi tisztviselő: Dataprotection.eu Kft., e-mail: andrea.soos@dataprotection.eu
-
Adatvédelmi panasz esetén: adatvedelem@bap.hu
1. A szabályzat célja és hatálya
A szabályzat célja, hogy
(i) meghatározza a Társaságnál vezetett – személyes adatokat tartalmazó manuális vagy számítógépes nyilvántartások kezelésének rendjét,
(ii) biztosítsa az adatvédelem alkotmányos és polgári jogi elveinek, az adatbiztonság követelményeinek érvényesülését;
(iii) megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását, jogosulatlan nyilvánosságra hozatalát, vagy bármely egyéb jogsértést; továbbá
(iv) a fentiek alapján szabályozza a Társaság belső adatkezelés rendjét.
A Szabályzat tárgyi hatálya kiterjed a Társaság valamennyi munkavállalója és alvállalkozója által folytatott valamennyi – személyes adatokat érintő – számítógépes és manuális adatkezelésre, illetve adatfeldolgozásra.
A Szabályzat személyi hatálya kiterjed a Társaság valamennyi adatkezelést, adatfeldolgozást végző munkatársára, továbbá a Társasággal szerződéses jogviszonyban álló természetes és jogi személyre, jogi személyiséggel rendelkező szervezetre, a velük kötött szerződésben, illetve a titoktartási nyilatkozatban rögzített mértékben.
Azok az alvállalkozók és személyek, akikre a tárgyi és személyi hatály kiterjed, a jelen szabályzatot elfogadják.
2. Alkalmazandó jogszabályok és belső szabályozási dokumentumok
Az adatkezelés szempontjából az alábbi hatályos jogszabályok relevánsak, amelyek időről-időre változhatnak. Jogszabályváltozás esetén a szabályzat adott részénél figyelembe kell venni a hatályos jogszabály által megkövetelt változást és az Adatkezelő a lehető legrövidebb időn belül megteszi a szükséges intézkedéseket a szabályzat módosítása érdekében.
Fontosabb releváns jogszabályok:
-
Az Európai Parlament és a Tanács, természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló (EU) 2016/679 rendelete (általános adatvédelmi rendelet)
-
2013. évi V. törvény a Polgári Törvénykönyvről (a továbbiakban: „Ptk.”),
-
2012. évi I. törvény a munka törvénykönyvéről (a továbbiakban: „Mt.”),
-
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: „Infotv.”),
-
2000 évi C. törvény a Számvitelről
Kapcsolódó belső szabályozási dokumentumok:
-
Iratkezelési Szabályzat
-
Informatikai biztonságról szóló Szabályzat
3. Fogalom-meghatározások
Amennyiben az alábbi fogalmak és a jogszabályi fogalom között eltérés van, a jogszabályban meghatározott fogalommeghatározást kell érteni.
Adat:
Az információ megjelenési formája, azaz a tények, elképzelések nem értelmezett, de értelmezhető közlési formája.
Információ:
Az információ új ismeretté értelmezett adat, amely érzékelésre, észlelésre és felfogásra kerülhet.
Információs önrendelkezési jog:
Az információs önrendelkezési jog a személyes adatok védelmét garantáló állampolgári alapjog. Tárgya a személyes adat.
Munkaügyi nyilvántartás:
A munkaviszonnyal összefüggésben keletkezett és azzal kapcsolatban álló adatait tartalmazó nyilvántartás.
Személyi irat:
Minden – bármely anyagon, alakban és bármely eszköz felhasználásával keletkezett – adathordozó, amely a munkaviszony létesítésekor, fennállása alatt, megszűnésekor, illetve azt követően keletkezik és a munkavállaló személyével összefüggésben adatokat, megállapítást tartalmaz.
Adatvédelem:
A személyes adatok jogszerű kezelését, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége.
Adatkezelés:
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, például az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (ujj- vagy tenyérnyomat, DNS-minta, íriszkép stb.) rögzítése.
Adatkezelő:
Az a személy vagy szervezet, aki/amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Adatfeldolgozás:
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése (függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől).
Adatfeldolgozó:
Az személy vagy szervezet, aki/amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – az adatok feldolgozását végzi. Az Európai Unió Általános Adatvédelmi rendelete eltérő fogalom-meghatározást tartalmaz!
Érintett jogai:
Az adatalanyt még az adatkezelés megkezdése előtt, de ezen felül kérésére bármikor egyértelműen tájékoztatni kell az adatkezelés minden részletéről. Az érintett kérheti adatai helyesbítését, bizonyos esetben törlését is, valamint törvényben meghatározott esetekben tiltakozhat személyes adatai kezelése ellen.
Az adatkezelés elvei:
A célhoz kötött adatkezelés követelménye (lásd alább), valamint az adatminőség követelménye. Ez utóbbi magában foglalja a pontos, teljes és naprakész adatok igényét, valamint az adatfelvétel és az adatkezelés tisztességes, törvényes mivoltát.
Célhoz kötött adatkezelés:
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés során biztosítani kell, hogy az adatok pontosak, teljesek és - ha az adatkezelés céljára tekintettel szükséges -naprakészek legyenek, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
Álláspályázó:
Az a személy, aki személyes adataival regisztrál az ADATKEZELŐ weboldalán az ADATKEZELŐ adatbázisába (akár konkrét állásajánlatokra, akár nem).
Ügyfél:
Az a jogi vagy természetes személy, aki az ADATKEZEZŐ valamely szolgáltatását igénybe veszi.
Leendő ügyfél:
Az a jogi vagy természetes személy, aki az ADATKEZEZŐ valamely szolgáltatását várhatóan igénybe veszi.
3. Lehetséges eltérések az egyes szabályzatok és előírások között
A Társaság egyes lentebb kifejtett szolgáltatások tekintetében adatkezelő, míg egyes szolgáltatások tekintetében adatfeldolgozó. Az adatfeldolgozói tevékenységre az adatkezelővel kötött szerződésnek és annak mellékleteinek rendelkezései az irányadóak. Bármely eltérés esetén mindig a jogszabályi rendelkezések az irányadóak, kivéve azokat az eseteket, amikor a jogszabály eltérést enged meg. Ezekben az esetekben jelen Általános Adatvédelmi és Adatbiztonsági Szabályzat, illetőleg az adatkezelővel között szerződés az irányadó.
4. Az adatkezelés és adatfeldolgozás alapelvei
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető (kivéve amennyiben a cél), a jelen szabályzatban foglaltak szerint.
Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait a Társaság, mint adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Elszámoltathatóság: Az adatkezelő felelős az alábbi alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. Amennyiben a Társaság adatfeldolgozói feladatot lát el, maximális mértékben segíti az alapelvek teljesülését és számon kérhetőségét.
(1) Jogszerűség, tisztességes eljárás és átláthatóság
A Társaság a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
(2) Célhoz kötöttség
Az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés
(3) Adattakarékosság
Az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk
(4) Pontosság
Az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
(5) Korlátozott tárolhatóság
A tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
(6) Integritás és bizalmas jelleg
Az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
5. Az adatkezelés jogszerűsége
2018. május 25-től a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett megfelelő, tájékozott és önkéntes hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A társaság egyes adatkezeléseinek jogalapját az alábbi táblázat foglalja össze:
Kezelt személyes adat |
Adatok kategóriái |
Jogalap |
Weboldal látogatói |
A cookie-kban tárolt információk |
Hozzájárulás |
Álláspályázók |
Kapcsolattartási adatok, önéletrajzi adatok |
Hozzájárulás |
Üzleti partnerek képviselői és munkavállalói |
Kapcsolattartási adatok |
Jogos érdeken alapuló érdekmérlegelés
Jogos érdek: a Társaság üzletmenet folytonosságához fűződő érdeke |
A karrierportálra regisztrálók adatai |
Lásd a karrierportálon |
Hozzájárulás |
Hírlevelek, ajánlók e-mail cím |
Érdeklődés, képzettséghez / végzettséghez kapcsolódó adatok |
Hozzájárulás |
Fejvadász szolgáltatások |
Önéletrajzi adatok, tesztek és azok eredményei, interjún rögzített adatok |
Hozzájárulás, vagy amennyiben nyilvános közösségi portálokon (pl.: linkedin.com) szereplő networking céljából nyilvánossá tett adatot használunk, a megbízó jogos érdekén alapuló érdekmérlegelés. Jogos érdek: a minőségi munkaerő megtalálása, nyilvános adatok alapján |
6. Adatfeldolgozás
A Társaság, mint adatkezelő adatfeldolgozókat használ: munkavállalókat, alvállalkozókat, akik mind elfogadták jelen szabályzatot és titoktartással tartoznak.
Amennyiben a Társaság a megbízók kérése alapján végez toborzási szolgáltatást, a társaság adatfeldolgozó (a regisztrált álláskeresők vonatkozásában pedig Adatkezelő).
7. Adattovábbítások
A Társaság, a toborzási szolgáltatás során megbízóihoz, partnereihez továbbítja az álláspályázók adatait. A továbbításokról külön tájékoztatás kérhető.
8. Jogorvoslati jog
Az adatvédelemmel kapcsolatos jogszabályi előírások és belső szabályozási dokumentumok betartását az adatkezelést Társaság vezetői kötelesek folyamatosan ellenőrizni.
A belső adatvédelmi felelős / adatvédelmi tisztviselő jogosult az irat- és adatkezeléssel kapcsolatos belsőszabályozási dokumentumok, jegyzőkönyvek és nyilvántartások áttekintésével ellenőrizni az adatkezelés törvényes rendjének megtartását. Törvénysértés esetén annak megszüntetésére szólítja fel az adatkezelő személyt vagy szervezeti egység vezetőjét, különösen súlyos törvénysértés esetén pedig az ügyvezetőhöz fordul.
A belső adatvédelmi felelős jogosult a személy és munkaügyi nyilvántartások rendszerét ellenőrizni.
Felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/C
Amennyiben bírósági jogorvoslati utat kíván igénybe venni: a Törvényszékek rendelkeznek hatáskörrel, azzal, hogy az érintett lakóhelye szerinti törvényszék is jogosult eljárni.
II. RÉSZLETES SZABÁLYOK
1. Adatvédelmi nyilvántartás
A Társaság az adatvédelmi tisztviselő útján minden, a Társaságban folytatott, illetve a Társaság megbízásából vagy érdekében végzett adatkezelésről nyilvántartást vezet, amely dokumentálja az adatkezeléssel kapcsolatos legfontosabb tényeket és körülményeket. A hrfelho.hu Kft., mint adatfeldolgozó biztosítja azt a felhő alapú toborzó rendszert (HR Felhő), melyen az adatok tárolva vannak és melyből továbbításra kerülnek, illetve ahol a különböző nyilvántartások generálódnak. A Társaság meggyőződött arról, hogy a hrfelho.hu kft. Információbiztonsági és adatfeldolgozói rendelkezései megfelelnek a törvény által előírt szempontoknak.
2. Személyes adatok továbbítása
A Társaság megbízásából és érdekében adatkezelést vagy adatfeldolgozást végző személlyel, szervezettel kötendő szerződés kapcsán a társaság köteles gondoskodni arról, hogy a szerződés szövegébe beépítésre kerüljenek az adatvédelmi követelmények, garanciák.
A Társaság Ügyfele az általa elért célig tárolhatja az Álláspályázók anyagait, összhangban a mindenkori vonatkozó jogszabályokkal, így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény , valamint az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelete (2016. április 27.) rendelkezéseivel– bizalmasan és jogszerűen kezeli, és kizárólag az adott állás betöltésének céljára, a felhasználáskor már adott, konkrét, nyitott pozíciójú állással kapcsolatban használja fel, azt harmadik személyek számára ki nem adja, hozzáférhetővé nem teszi, a pozíció betöltését követően.
A Társaság és a Társaság ügyfele is kötelezettséget vállal és szavatolja, hogy ő, teljes körűen és minden tekintetben együttműködik a jelentkezők kérelmeiben foglaltak teljesítése, a kérelmek megválaszolása, valamint az esetleges hatósági és/vagy bírósági eljárások tekintetében.
3. Panaszok / igények bejelentése
Igény bejelentése a Társaságnál:
A Társaság az egyes Szolgáltatásaihoz kapcsolódó meghatározott igények bejelentésére többféle módon lehetőséget adhat: írásban, email útján. Amennyiben a Társasághoz az igény benyújtására email útján lehetőséget ad, a korábban a Társaság részére az adott Szolgáltatással összefüggésben megadott email címről –és kizárólag erről az e-mail címről - érkezett igényt az Érintettől érkezett igénynek tekinti. Egyéb email címről, valamint írásban benyújtott igények esetén kötelező a regisztrációkor megadott e-mail címről megerősíteni a kérést, vagy megfelelő módon megváltoztatni a regisztrációs e-mail címet.
Amennyiben a Társaság adatkezelése nem az érintett hozzájárulásán alapul, hanem az adatkezelést harmadik személy visszaélésszerűen kezdeményezte, az érintett kérheti a rá vonatkozó, valamely más személy által róla közzétett személyes adat törlését, valamint az adatkezeléssel kapcsolatos tájékoztatást személyazonosságának és a személyes adattal fennálló kapcsolatának megfelelő igazolása mellett.
Az érintett halála esetén a halotti anyakönyvi kivonat bemutatásával, illetve másolatának a Szolgáltatás ügyfélszolgálati címére történő megküldésével az Érintett bármely közeli hozzátartozója, illetve az, akit végrendeleti juttatásban részesített, kérheti az érintettel fennálló kapcsolatának igazolása mellett az álláspályázóra, vagy ügyfélre, vagy leendő ügyfélre vonatkozó adatok törlését, valamint jogos érdekének igazolása mellett az adatok továbbítását.
A panaszok kezelésére ADATKEZELŐNEK 30 napja van, de törekszik rá, hogy a legrövidebb időn belül megválaszoljon minden egyes panaszt, illetve igényt.
4. Az érintett jogai és érvényesítésük
4.1. AZ ÉRINTETT TÁJÉKOZTATÁSHOZ FŰZŐDŐ JOGA
Az ADATKEZELŐ elsősorban az érintettektől jut személyes adataik birtokába, az ADATKEZELŐ a következő információkat bocsátja kérés esetén az érintett rendelkezésére:
-
az ADATKEZELŐ és képviselőjének a kiléte és elérhetőségei;
-
az ADATKEZELŐ adatvédelmi tisztviselőjének elérhetőségei;
-
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
-
az érintett személyes adatok kategóriái;
-
a személyes adatok címzettjei, illetve a címzettek kategóriái; ha van ilyen, a személyes adatok harmadik országokba történő továbbítása esetén az Általános Adatvédelmi Rendeletben meghatározott információk;
-
a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
-
ha az adatkezelés jogalapja az érdekmérlegelés, akkor az ADATKEZELŐ jogos érdeke;
-
az a tény, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
-
hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
-
a NAIH-hoz mint felügyeleti hatósághoz címzett panasz benyújtásának joga;
-
a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
-
automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír;
-
az álláspályázó személyes adatainak kezeléséhez, valamint azoknak az országhatáron belüli vagy azon túl található – Társaságunkkal ügyfélkapcsolatban lévő – jogi személyek (szerződött partnerek) részére történő továbbításához jelen nyilatkozat elfogadásával - amelyet a www.bap.hu weboldalra történő regisztrációval megtesz - kifejezetten hozzájárulását adja. Külföldre történő adattovábbítás esetén az a harmadik ország, melynek területére a személyes adatokat továbbítjuk, biztosítja a megfelelő szintű védelmet a személyes adatok kezelése kapcsán. Különleges adatot harmadik személy részére sem írásban, sem szóban nem továbbítunk és annak lehetőségét sem teremtjük meg, hogy harmadik személy a különleges adatokhoz bármiféle módon hozzáférjen. A honlap használatához megadott adatok kezelése a felhasználó önkéntes hozzájárulásával a jelen Adatvédelmi és Adatbiztonsági Szabályzat ismeretében történik. A regisztráció feltétele az ebben a dokumentumban leírtak elfogadása. Amikor az álláspályázó regisztrál a www.bap.hu oldalon azzal a céllal, hogy hozzáférhessen a regisztrációhoz kötött szolgáltatásokhoz, ezzel egyidejűleg elfogadja az ebben a dokumentumban foglalt feltételeket.
-
a honlap megtekintése során a technikai működés miatt automatikusan rögzítésre kerül a felhasználó látogatásának kezdő és befejező időpontja, illetve egyes esetekben - a felhasználó számítógépének beállításától függően - a böngésző, az operációs rendszer adatai és a felhasználó IP címe. Ezen adatokból a rendszer automatikusan statisztikai adatokat generál.
-
az üzemeltető ezen adatokat nem kapcsolja össze más személyes adatokkal, kizárólag a honlap látogatottsági statisztikák elkészítésére használja.
-
a Leendő ügyfelek a Szolgáltatási Tájékoztatást Igénylő internetes nyomtatvány kitöltésével és jelen dokumentum elfogadásával járul hozzá a megadott adatainak kezeléséhez.
-
a tájékoztatás jogának gyakorlása csak az Általános Adatvédelmi Rendelet 14. cikk (5) bekezdésében foglalt esetekben tagadható meg.
4.2. AZ ÉRINTETT HOZZÁFÉRÉSI JOGA
Az ADATKEZELŐ az érintett igényére visszajelzést ad arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Ha ilyen adatkezelés folyamatban van, akkor kérés esetén a következőkről tudja tájékoztatni:
-
az adatkezelés céljai;
-
az érintett személyes adatok kategóriái;
-
azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
-
adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
-
az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
-
a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
-
ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
-
az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az ADATKEZELŐ az adatkezelés tárgyát képező személyes adatok másolatát külön kérés esetén az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az ADATKEZELŐ az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
4.3. A HELYESBÍTÉSHEZ ÉS TÖRLÉSHEZ VALÓ JOG
Az érintett kérésére az ADATKEZELŐ indokolatlan késedelem nélkül helyesbíti a rá vonatkozó pontatlan személyes adatokat, valamint - figyelembe véve az adatkezelés célját - az érintett erre irányuló kérése esetén biztosítja a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Az ADATKEZELŐ az érintett kérésére indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha
-
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
-
az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
-
az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az adatainak direktmarketing célú felhasználása ellen tiltakozik;
-
az érintett személyes adatainak kezelése jogszerűtlen;
-
a személyes adatokat az ADATKEZELŐ-re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
-
a személyes adatok gyűjtésére gyermekek számára nyújtott információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az ADATKEZELŐ minden olyan címzettet tájékoztat valamennyi helyesbítésről vagy törlésről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az ADATKEZELŐ tájékoztatja e címzettekről.
4.4. AZ ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ JOG
Az érintett kérelmére az ADATKEZELŐ korlátozza az adatkezelést, ha
-
az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát
-
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását
-
az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
-
az érintett jogos érdeken vagy közérdekű célból végzett adatkezelés ellen tiltakozott; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Az ADATKEZELŐ minden olyan címzettet tájékoztat valamennyi adatkezelést illető korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az ADATKEZELŐ tájékoztatja e címzettekről.
4.5. AZ ADATHORDOZHATÓSÁGHOZ VALÓ JOG
Az érintett jogosult arra, hogy a rá vonatkozó, az ADATKEZELŐ rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha
-
az adatkezelés az Általános Adatvédelmi Rendelet szerinti hozzájáruláson vagy szerződésen, mint jogalapon alapszik vagy
-
az adatkezelés automatizált módon történik.
-
az adathordozhatósághoz való jog alkalmazásának kizárására és korlátozására az Általános Adatvédelmi Rendelet szabályait kell alkalmazni.
4.6. A TILTAKOZÁSHOZ VALÓ JOG
Az érintett bármikor tiltakozhat a saját helyzetével kapcsolatos okokból a közérdekű célból vagy jogos érdekből végzett adatkezelés ellen, ideértve a profilalkotást is. Ebben az esetben az ADATKEZELŐ a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Erre a jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
5. Adatok tárolása
Álláskeresők adatai:
ADATKEZELŐ az ide vonatkozó Érdekmérlegelési Teszt alapján 2 évig tárolja a regisztrált álláskeresők adatait. Ők kérhetik, illetve saját fiókjukból végrehajthatják törlésüket bármikor. A 2év lejárta előtt tájékoztatást kapnak a törlésről, amit, ha fennáll még az ADATKEZELŐVEL közös célja, meg tudja hosszabbítani újabb 2 évre.
Fontos megjegyzések az álláspályázók adataival kapcsolatban:
-
A korábbi üzleti szokás az, hogy az álláspályázók fényképes Önéletrajzzal pályáznak. A Társaság határozottan kijelenti, hogy nem elvárás a fénykép. Ezenkívül nem elvárás, hogy a mindenkori önéletrajz részét képezze a hobbi, a szabadidős tevékenységek megjelölése sem. Az álláspályázók pontos lakcímére sincs szüksége a Társaságnak, elegendő a város megjelölése, hogy lakhelyhez közeli állásajánlatokkal tudja megkeresni az álláspályázót.
-
Különleges adatokat, pl. vallási, faji, politikai hovatartozás, nemi identitás, egészséggel kapcsolatos adatokat stb. nem kér a Tárasáság az álláskeresőktől és arra kéri az álláskeresőket, hogy ezekre fordítsanak kiemelt figyelmet önéletrajzaik megírásánál és ne töltsenek fel ilyen adatokat a Társaság rendszerébe.
-
A Társaság határozott állást foglal a diszkrimináció ellen, ezért is kerüli az olyan adatok bekérését, amelyek erre akár csak lehetőséget is adhatnának.
-
Erkölcsi bizonyítványt csak a törvény által előírt munkakörökre, vagy az ügyfél által érdekvédelmi teszttel alátámasztott pozíciók betöltéséhez lehet kérni.
-
Referencia bekérés az álláspályázóktól: csak az álláspályázó által az önéletrajzban, vagy más módon megadott referencia személyektől lehet kérni.
Ügyfelek és Leendő Ügyfelek adatai:
ADATKEZELŐ az ide vonatkozó Érdekmérlegelési Tesztek alapján ezen adatokat egyrészt jogszabályi okokból tárolhatja (ügyfél), másrészt marketing okokból (hírlevelek küldése). Ezen adatok tárolása vagy a vonatkozó jogszabályokban jelzett ideig, vagy pedig a leiratkozásig lesznek tárolva.
Cookie -k: a látogatói forgalom méréséhez, a belépett Felhasználó server session adatának azonosításához (session ID), valamint a kényelmi funkciók biztosításához szükséges adatokat böngésző cookie-k gyűjtik és tárolják. A testreszabott kiszolgálás és a bejelentkezési folyamat elősegítése érdekében a rendszer „session cookie”-val azonosítja a bejelentkezett Felhasználó számítógépét, amely törlésre kerül a böngésző program bezárásával. Amennyiben a Felhasználó csak a böngésző ablakot zárja be, a böngésző ablakának újra nyitásakor bejelentkezett státusz fogadja. A BECK AND PARTNERS Kft. statisztikai célból és a visszaélések megakadályozása, a szolgáltatás teljesítése és működésének ellenőrzése érdekében folyamatosan naplózza a felhasználók látogatásának dátumát, időpontját, operációs rendszerének és böngészőjének adatait, a látogatott oldalt és az IP címet. A logokat 30 napig tároljuk.
Munkatársak és alvállalkozók adatai:
ADATKEZELŐ az ide vonatkozó törvényekben jelzett ideig tárolja.
6. Automatizált döntéshozatal és profilalkotás
Az ADATKEZELŐ csak akkor alkalmaz kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntést, amely az érintette nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti, ha
-
Az ADATKEZELŐ és az érintett közötti szerződés megkötése vagy teljesítése érdekében szükséges;
-
Meghozatalát az ADATKEZELŐ-re alkalmazandó olyan uniós vagy hazai jogszabály teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít.
-
Az érintett kifejezett hozzájárulásán alapul.
Az automatizált döntés és profilalkotás további követelményeire az Általános Adatvédelmi Rendelet alkalmazandó.
7. Incidenskezelés adatkezelőként
Az adatvédelmi incidenst az ADATKEZELŐ a tudomására jutását követően indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. A bejelentést, amennyiben ilyen létezik, a hatóság által megadott formában és módon kell megtenni, a hatóság előírásai szerint (például a hatóság által megjelölt felületen vagy hot-line vonalon). Amennyiben az adatvédelmi hatóság nem hoz létre felületet a bejelentés kötelező tartalmi elemeivel kell megtenni.
-
Ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, a bejelentést nem kell megtenni. Ezt a döntést az ügyvezető hozza meg, mérlegelve az eset összes körülményeit.
-
Az ADATKEZELŐ nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket amennyiben az incidensek nyilvántartására a felügyeleti hatóság kötelező tartalmi elemeket határoz meg, abban az esetben ezzel a tartalommal kell elkészíteni az incidens nyilvántartási táblázatot.
-
Az ADATKEZELŐ indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ezt a döntést a vezérigazgató hozza meg az eset összes körülményeire tekintettel, amelyről feljegyzést készít.
-
Az érintett értesítése alóli kivétel, ha
-
Az ADATKEZELŐ megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; vagy
-
Az ADATKEZELŐ az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
-
A tájékoztatás aránytalan erőfeszítést tenne szükségessé, amely esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
8. Adatbiztonsági rendszabályok
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A Társaságnak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene a Társaságnak.
Az adatbiztonsági rendszabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
A konkrét védelmi intézkedések kidolgozása során az alábbi alapelveket kell figyelembe venni:
-
Tudatosság: az informatikai rendszerekbe vetett bizalom növelése érdekében minden azt használó személynek legalább alapszinten ismernie kell a biztonsági módszereket és eljárásokat.
-
Felelősség: az információ-rendszerek tulajdonosainak, támogatóinak és Érintettnek biztonságot érintő felelősségének egyértelműnek és világosnak kell lennie.
-
Arányosság: a biztonsági fokozatoknak és intézkedéseknek megfelelőnek és arányosnak kell lenniük a védett rendszerek értékével és megbízhatósági követelményeivel, a biztonság fokozásának költségeivel, illetve a biztonság megsértéséből eredő potenciális károk súlyosságával és valószínűségével.
-
Kockázatarányos védelmi intézkedések
-
Aktualitás: a biztonságot gyakori időközönként újra kell gondolni, és fel kell frissíteni a biztonság megsértéséből eredő potenciális kockázatok és következmények változásainak megfelelően. (Kockázatelemzés-kockázatkezelés)
-
Integráció: koherens és integrált biztonsági megközelítés szükséges egy információ-rendszer összes elemének tekintetében.
-
Reakciókészség: az összes résztvevőnek együtt kell működnie a biztonság sérülésének, megsértésének megelőzése és a megsértésre adandó gyors válasz érdekében.
9. Fizikai veszélyforrások kezelése
9.1. A jogosulatlan hozzáférés elkerülése érdekében fel kell készíteni a fizikai védelmi rendszert az illetéktelen behatolások elhárítására, az „infokommunikációs” infrastruktúra üzemeltetőit pedig ezek észlelésére, elhárítására, továbbá az eszközök jogosulatlan használatának megakadályozására.
9.2. Minden munkaállomáson telepítésre kerül az aktuális vírusirtó kliens, az időközönként esedékes frissítések pedig (különös tekintettel a vírus definíciókra) letöltésre és installálásra kerülnek.
10. Védelmi intézkedések
10.1. Számítógépen tárolt adatok
10.1.1. A számítógépen, illetve hálózati meghajtókon tárolt személyes adatok biztonsága vonatkozásában az Információbiztonsági Szabályzat előírásait kell alkalmazni.
10.1.2. A személyes adatok automatizált feldolgozása során biztosítani kell:
-
a jogosulatlan adatbevitel megakadályozását;
-
az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
-
annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
-
annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
-
a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
-
azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
10.1.3. A humán kockázat ellen oktatással és/vagy jogi felelősségre vonással kell védekezni.
10.2.Manuális kezelésű adatok
A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:
-
Tűz- és vagyonvédelem: az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi riasztó berendezéssel ellátott helyiségben kell elhelyezni.
-
Hozzáférés-védelem: a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. A személyzeti, valamint a bér- és munkaügyi iratokat, az alkalmazotti jogviszonnyal kapcsolatos iratokat különálló, zárható helyiségben kell őrizni.
-
Humán kockázat: a humán kockázat ellen oktatással és jogi eszközökkel kell védekezni.
10.3. Irányadó dokumentumok
A jelen fejezetben foglalt alapelvek érvényre juttatása, illetve intézkedések megtétele tekintetében a Társaság vonatkozó belső szabályozási dokumentumaiban foglaltak az irányadók, mint például az Informatikai Biztonsági Szabályzat.
11. Adatvédelmi tisztviselő
A belső adatvédelmi felelős / adatvédelmi tisztviselő elérhetősége:
-
Soós Andrea Klára
-
Dataprotection.eu Kft.
-
adatvedelem@bap.hu
A belső adatvédelmi felelős / adatvédelmi tisztviselő ellátja a jogszabályban meghatározott feladatait, és kapcsolattartóul szolgál az érintett és az adatkezelő továbbá a társaság, illetőleg az adatkezelő és a társaság, mint adatfeldolgozó között.
Az adatkezelő légkésőbb 30 napon belül választ adni a kérdéseire, erre azonban csak akkor van lehetősége, ha a fenti elérhetőségek egyikére küldi megkeresését.
A válaszok és tájékoztatások megadása előtt a belső adatvédelmi felelős / adatvédelmi tisztviselő köteles meggyőződni az Ön személyazonosságáról, névtelen, ellenőrizetlen panaszok esetében csak általános információkkal tud szolgálni.
Kikötés
A Társaság fenntartja a jogot, hogy az Adatvédelmi és Adatbiztonsági Szabályzatát megváltoztassa. Erre különösen akkor kerülhet sor, ha a szolgáltatások köre bővül, vagy ha jogszabály az kötelezővé teszi. Az adatkezelés megváltozása nem jelentheti a személyes adatok céltól eltérő kezelését.
Budapest, 2018. május 24.
Beck Zsolt ügyvezető
BECK AND PARTNERS Kft.