Adatvédelmi és adatbiztonsági szabályzat
Hatályba léptetve: 2024.04.01 napján
1. A szabályzat célja
Az információszabadságról szóló 2011. évi CXII. törvény, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény, a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény, valamint a 2018. május 25. napjától alkalmazandó, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet, azaz a GDPR és az egyéb vonatkozó jogszabályok, nemzeti és nemzetközi ajánlások rendelkezéseit megtartva járjon el a Fekete Flamingó kft (a továbbiakban: Kft) a működése során keletkező adatok biztosítása/védelme, a személyes adatigénylések teljesítési rendjének meghatározása felelősségi rend kialakítása, az információ-áramlás naprakészségének biztosítása érdekében az alábbiakat határozom meg.
Adatkezelő megnevezése: Fekete Flamingó Kft
Adatkezelő adószáma: 25849981-2-08
Adatkezelő székhelye: 9178 Hédervár Fő út 33.
Adatkezelő elérhetősége: hello@feketeflamingo.hu
Adatkezelő belső adatvédelmi felelőse: Kurcsics István belső adatvédelmi felelős
1.2. A Szabályzat hatálya
– A Szabályzat személyi hatálya kiterjed:
a) az eseti jelleggel munkavégzésre igénybe vett dolgozóra,
b) az adatfeldolgozásra, valamint
c) a fentieken kívül mindazon személyre, aki az Kft-vel bármilyen szerződéses jogviszonyban áll.
– A Szabályzat tárgyi hatálya kiterjed:
a) a Kft-vel keletkezett valamennyi adatra,
b) az informatikai rendszerben kezelt vagy feldolgozott adatra,
c) az adatkezelés eredményeképpen létrejött adatra,
d) a Kft-nál alkalmazott valamennyi hardver- és szoftvereszközre, valamint
e) a kft tevékenységével kapcsolatos, működése során keletkező közérdekű adatra vagy közérdekből nyilvános adatra.
2. Fogalmi meghatározások / értelmező rendelkezések
2.1 érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve – azonosítható természetes személy.
2.2 személyes adat: az érintettel kapcsolatba hozható adat-különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságra jellemző ismeret-, valamint az abból levonható, az érintettre vonatkozó következtetés.
2.3 különleges adat: a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre, pártállásra, vallásos vagy világnézeti meggyőződésre, párttagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat
2.4 adatállomány: a cégen belül több nyilvántartó rendszerben kezelt adatok összessége
2.5 bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés végrehajtási szervezeteknél keletkezett, és az érintettekkel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.
2.6 hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatásán alapul, és amellyel félreérthetetlen beleegyezést adja a rá vonatkozó személyes adatok- teljes körű vagy egyes műveletekre kiterjedő kezeléséhez.
2.7 tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
2.8 adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja vagy az általa megbízott adatfeldolgozóval végrehajtja.
2.9 adatkezelés: az alkalmazott eljárásától függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása.
2.10 adat továbbítása: az adat meghatározott harmadik személy vagy társaság számára történő hozzáférhetővé tétele.
2.11 nyilvánosságra hozatal: az adatot bárki számára történő hozzáférhetővé tétele.
2.12 adattörlés: az adatok felismerhetetlenné tétele, végleges törlése olya módon, hogy a helyreállításuk többé nem lehetséges.
2.13 adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.
2.14 adatzárolás: az adat azonosító jelzéssel ellátása majd kezelésének végleges vagy meghatározott időre történő korlátozása.
2.15 adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
2.16 adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése. Függetlenül a műveletek végrehajtásához alkalmazott módszerektől és eszközöktől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.
2.17 adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján beleértve a jogszabály rendelkezésére alapján történő szerződéskötést is az adatok feldolgozását végzi.
2.18 adatnyilvántartó rendszer: személyes adatok bármely strukturált, funkcionálisan vagy Földrajzilag centralizált, decentralizált vagy szétszórt állománya, mely meghatározott ismérvek alapján hozzáférhető
2.19 adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, a jogosulatlan hozzáférés, nyilvánosságra hozatal, továbbítás, törlés, sérülés vagy megsemmisülés
2.20 harmadik személy: olyan természetes személy vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel; az adatkezelővel vagy az adatfeldolgozóval.
2.21 harmadik ország: minden olyan állam, amelyen nem EGT – állam.
3. Az adatkezelés alapelvei
A Kft adatkezelői tevékenységét a jelen tájékoztatóban foglalt okból végzi. A Kft a kommunikációját ügyfeleivel magyar nyelven folytatja, végzi. Tevékenysége célja hogy törvényes és tisztességes módon az adatkezelés minden fázisában biztosítsák az adatok pontosságát, gondoskodjanak az érintett személyes adatainak védelméről jogosulatlan hozzáférés, megváltoztatás, továbbítás, törlés vagy megsemmisülés esetén. A kft-vel kapcsolatban lévő adatkezelésben résztvevő egyéb szervezetek, ill. vállalkozások megbízottjai kötelesek a megismert adatokat üzleti titokként megőrizni. Ezen szervezetek kötelesek Titoktartási nyilatkozatot tenni.
1. sz. melléklet
4. Az adatkezelés jogalapja
Személyes adat akkor kezelhető, ha:
a) ahhoz az érintett hozzájárul vagy
b) azt a törvény, vagy a törvény felhatalmazása alapján, az abban meghatározott körben törvény, vagy helyi önkormányzat rendelete közérdeken alapuló célból elrendeli kötelező adatkezelés.
Kötelező adatkezelés esetén a kezelendő anyagok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét a törvény, illetve önkormányzati rendelet határozza meg. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna és a személyes adat kezelése a Társaságra vonatkozó jogi kötelezettség teljesítése céljából szükséges vagy a Társaság, ill. harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul, vagy kötelező. Az érintettet egyértelműen, közérthetően és részletesen tájékoztatni kell a kezelésre kerülő személyes adatokról, valamint az adatainak kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, ill. arról, hogy kik ismerhetik meg az adatokat. Ha a személyes adat felvételére az érintett hozzájárulása alapján kerül sor, a Társaság a felvett adatokat-törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy a saját, ill. harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül is kezelheti.
Az Egyéni Vállalkozó az adatkezelés során az alábbi jogszabályok alapján végzi tevékenységét:
1993. évi XCIII. törvény a munkavédelemről
1995.évi CXVII. törvény a személyi jövedelemadóról
1995.évi CXIX. törvény a kutatás és közvetlen üzletszerzés célját szolgáló név és lakcím adatok kezeléséről
1997.évi CLV. törvény a fogyasztóvédelemről
2000.évi C. törvény a számvitelről
2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
2005.évi CXXXIII. törvény a személy és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól
2007.évi CLXXXI. törvény a közpénzekből nyújtott állami támogatások átláthatóságáról
2011.évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
2011.évi CXCV. törvény az államháztartásról
2012. évi I. törvény a munka törvénykönyvéről
2013.évi V. törvény a Polgári Törvénykönyvről
Az európai parlament és az európai parlament és a tanács (eu) 2016/679 rendelete (2016. Április 27.)S a tanács (eu) 2016/679 rendelete (2016. Április 27.)
2015.évi CXLIII. törvény a közbeszerzésekről
5. Adatbiztonságra és információbiztonságra vonatkozó szabályok
A Kft papíralapon, ill. számítógépen végzi a személyes adatok tárolását. A papíralapú adattárolás kizárólag, megfelelően zárható helyiségben történhet oly módon, hogy az illetéktelen személy által ne legyen hozzáférhető vagy megismerhető. Számítógép alapú adattárolás esetében a számítógép teljes titkosítása kerül alkalmazásra a személyes adatok védelmére.
6. A Kft-nál kezelt személyes adatok kezelése
Vásárlói adatok kezelése
A társaság személyes adatok kezelése a számviteli törvény, mint törvényi kötelezettségeinek a megvalósulását szolgálja, valamint a hírével küldés.
A kezelt adatok köre: Név, Cím, Telefonszám, Levelezési cím, E-mail cím, IP cím.
Az adatkezelés jogalapja: Törvényi, egyéb nem a törvényben meghatározott bizonyos adatai esetében az érintett személy/ek önkéntes hozzájárulása.
Az adatkezelés időtartama: Kizárólag az adatkezelést törvény, ill. önkormányzati rendelet rendeli el, a 4. sz. pontban feltüntetett törvények előírásainak figyelembevételével, valamint a hozzájárulás alapon megadott adatok tekintetében a hozzájárulás visszavonásáig.
Belső nyilvántartás az Egyéni Vállalkozó által történő adatkezelésről és adattovábbításról
A Kft az információs önrendelkezési jogról és információszabadságról szóló 2011.évi CXII. törvény 15. § alapján az adatkezelésekről és a hozzájuk kapcsolódó adattovábbítási folyamatról adatkezelési és adattovábbítási nyilvántartást vezet.
8. AZ ÉRINTETTEK ADATKEZELÉSSEL KAPCSOLATOS JOGAI
8.1 Tájékoztatáskérés
Az érintettek tájékoztatást kérhetnek az Önök által átadott és az kft által kezelt személyes adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá személyes adataik továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
A tájékoztatás iránti kérelmet az érintettek adatai biztonsága érdekében csak személyesen teljesíti az kft. Ennek érdekében a tájékoztatás iránti kérelmet írásban postán történő megküldés esetén teljes bizonyító erejű magánokirat formájában, e-mailben illetve faxon a megfelelő azonosító adatok megadásával van lehetőség, az kft részére megküldeni. A kft a lehető legrövidebb idő alatt, de legkésőbb 1 hónapon belül írásban, közérthető módon megadja a tájékoztatást az érintett által megadott címre.
Felhívjuk a figyelmet, hogy évente egy-egy adatkörre vonatkozó tájékoztatás ingyenes, további tájékoztatásért az kft költségtérítést számíthat fel.
8.2 Helyesbítés
Amennyiben az érintett jelzi a pontosított személyes adat egyidejű megadásával a kft felé, hogy a kezelt személyes adat a valóságnak nem felel meg vagy az kft egyéb úton tudomást szerez a személyes adatok hibájáról és a helyes adatokról, akkor a személyes adatot a kft helyesbíti. A helyesbítésről illetve a helyesbítésre vonatkozó kérelmének elutasításáról a kft értesíti az érintettet.
8.3 Törlés vagy zárolás
Az érintettek jogosultak személyes adatik törlését vagy zárolását kérni. A személyes adatokat abban az esetben zároljuk, amennyiben a rendelkezésére álló információ alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. Az így zárolt személyes adatot kizárólag addig kezeljük, amíg fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A törlés vagy zárolás megtörténtéről értesítjük, vagy a törlésre illetve zárolásra vonatkozó kérelmének elutasításáról tájékoztatjuk az érintett személyeket.
8.4 Tiltakozás
Az érintetek a kötelező adatkezelés esetét kivéve jogosultak tiltakozni személyes adataik kezelése ellen,
ha a személyes adataik kezelése vagy továbbítása kizárólag a Társaságra vonatkozó jogi kötelezettség teljesítéséhez vagy a kft vagy harmadik személy jogos érdekének érvényesítéséhez szükséges; vagy
ha a személyes adataik felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, amennyiben ahhoz nem járultak hozzá; vagy
törvényben meghatározott egyéb esetekben.
A kft a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha a tiltakozás megalapozott, az adatkezelést beleértve a további adatfelvételt és adattovábbítást is a kft megszünteti, az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
8.5 Együttműködés megtagadása direkt marketing kapcsán
A közvetlen üzletszerzésre irányuló, ún. direkt marketing levelekkel kapcsolatos együttműködésüket az érintettek jogosultak bármikor indokolás nélkül megtagadni. Ennek keretében jogosultak megtagadni vagy megtiltani névadataiknak a kapcsolat-felvételi, illetve üzletszerzési listán való szerepeltetését, közvetlen üzletszerzési illetőleg azon belül meghatározott konkrét célra történő felhasználását, illetve harmadik személynek átadását.
8.6 Az adatok továbbítására vagy másolatban történő hordozhatósága
Az adathordozhatóság egy új jogi elemként EU-ban mindenkit feljogosít arra, hogy a személyes adatait szervezetek között továbbíthassa.
Ez a jogosultság ingyenes, amely lehetővé teszi az érintetteknek, hogy szolgáltatót válthassanak. Azt jelenti, hogy az érintett meg kell, hogy kapja az adatait tagolt, valamely széles körben használt, és géppel olvasható formátumban, mint például a CSV formátum.
9 Adatvédelmi incidensek kezelése
Az kft tudomásul veszi, hogy az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai vagyoni, vagy nem vagyoni kárt okozhat természetes személyeknek. Az adatvédelmi incidensek kezelése érdekében adatvédelmi incidens naplót vezet, melybe az adatvédelmi incidens körülményeit az adatvédelmi megbízott az incidens jelentését követő maximum 72 órán belül jegyzőkönyvezi, és megteszi a szükséges és törvény által előírt intézkedéseket.
10 Általános jogorvoslati lehetőségek
Az érintett személy személyesen, előzetes bejelentkezés után hétfőtől péntekig, 8-16 óra között hangrögzítés nélkül kaphat tájékoztatást adatai kezeléséről, továbbá kérheti személyes adatai helyesbítését, valamint törlését vagy zárolását. Az adatkezelő az igénybejelentéstől számított legrövidebb időn, de legfeljebb 1 hónapon belül a kérést kivizsgálja, és írásos tájékoztatót nyújt. Amennyiben az adatkezelő által a valóságnak nem megfelelő személyes adat kerül nyilvántartásba vételre, az adatkezelő módosítja, amennyiben a valóságnak megfelelő személyes adat áll rendelkezésre.
Az adatkezelő a személyes adatot törli ha:
– ha kezelése jogellenes
– ezt bíróság vagy hatóság elrendelte
– az hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható
– az érintett kéri
– az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott ideje lejárt
A törlési kötelezettség alá eső személyes adatot az adatkezelő a törlés helyett zárolja, ha az érintett ezt kéri, vagy a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag akkor kezelhető, amíg fennáll a személyes adat törlését kizáró adatkezelési cél.
Adatkezelő a jogszerűen kezelhető adatok közül azokat, melyek az adatkezelés céljához szükségesek átadhatja:
Ha az érintett személy az adatkezelőnek a személyes adatainak kezeléséről szóló döntésével vagy tájékoztatásával nem ért egyet, ill. ha az adatkezelő a törvényben meghatározott válaszadási határidőt elmulasztja az érintett a döntés közlésétől, illetve a határidő elmulasztásától számított 30 napon belül bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automata adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, ill. adat kiadására kötelezheti.
Az érintett jogainak megsértése, ill. észrevétel esetén az alábbi elérhetőségeken tehet nyilatkozatot, ill. az alábbi hatóságokhoz fordulhat:
– Fekete Flamingó Kft
személyesen: 9178 Hédervár Fő út 33.
e-mail-ben: hello@feketeflamingo.hu
– Győri Törvényszék 9021 Győr, Szent István u. 6., valamit a lakóhely szerinti Törvényszék.
– Nemzeti Adatvédelmi és Információszabadság Hatóság: 1055 Budapest, Falk Miksa utca 9-11.;
– Hatóság levelezési címe: 1374 Budapest, Pf. 603.