Adatvédelem

 BEVEZETŐ

Az adatkezelési tájékoztató a Mindig Otthon Bt., mint adatkezelőnek az európai Általános Adatvédelmi Rendelet (GDPR) alapján személyes adatnak minősülő adatoknak a cég működése során történő kezelését mutatja be, valamint tájékoztatja az adatkezeléssel érintetteket az ehhez kapcsolódó jogaikról és azok érvényesítésének módjáról. A tájékoztató a jogszabályi lehetőségek keretei között törekszik arra, hogy a világosság és érthetőség követelményének maximálisan megfeleljen, egyszerű, érthető nyelvezeten tájékoztassa az érintetteket. Bármilyen értelmezési kérdés esetén a cég adatvédelmi tisztviselője szívesen nyújt további felvilágosítást az adatkezeléssel érintett kérésére.

AZ ADATKEZELÉS FELELŐSSÉGI VISZONYAI

Adatkezelő

Mindig Otthon Bt.

1093 Bp. Közraktár u 10 I/2b

info@mindigotthon.hu

Adatvédelmi tisztviselő

Dr. jur. Chen Shengwei

cshengwei@yahoo.com

+36303230390

Adatfeldolgozók

1. Microsoft (https://privacy.microsoft.com/hu-hu)

2. Google (https://policies.google.com/privacy?fg=1)

3. Tárhely szolgáltató (https://tarhely.eu/dokumentumok/adatvedelmi_szabalyzat.pdf)

Az adatfeldolgozókat a céges ügyvitelhez szükséges szoftverek és szoftverszolgáltatásokon keresztül vesszük igénybe, például az adatok tárolására, dokumentációra, fizetési tranzakciók kezdeményezésére és ügyfelekkel való kommunikációra.

AZ ADATKEZELÉS ALAPELVEI, CÉLJA ÉS JOGALAPJA

Az adatkezelés rövid bemutatása

Az adatkezelés céljai a cég szerződéses kötelezettségeinek teljesítése, a cég működésének biztosítása, jogos érdek érvényesítése, valamint az üzletszerzés. Kivételes esetben az adatkezelésre panaszkezelés, jogszabályi vagy erre feljogosított hatóság általi kötelezés révén is sor kerülhet. Az adatkezelés nyilvántartásokban történik, alapvetően célhoz kötött nyilvántartásokban, azonban az adattakarékosság követelményének is megfelelve, ahol ésszerű, ott egy adatbázis (fizikai nyilvántartás) több ügyviteli nyilvántartást (funkcionális nyilvántartás) is kiszolgál. Egy adat végleges törlésére akkor kerül sor, amikor már egyik nyilvántartás alapján sincs szükség a kezelésére.

Adatkezelés jogalapjainak és céljainak áttekintése

Összefoglalva a Mindig Otthon Bt. az alábbi jogalapokon kezel adatokat:

1. Szerződéses kötelezettségek teljesítéséhez szükséges nyilvántartás keretében kezeljük az adatot, ha „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges” (GPDR 6. cikk. (1) b) pont). Például amikor megírunk egy szerződést vagy nyomon követjük annak teljesülését, teljesítésigazolást, számlát állítunk ki, akkor ezen adatkezelés keretében használjuk fel az adatokat a dokumentumok előállítására.

2. A cég működésének biztosítása érdekében kezeljük az adatot, ha „az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges” (GPDR 6. cikk. (1) c) pont). Ide tartozik az adóbevallás, a munkavédelmi oktatás nyilvántartása, a munkavállalók nyilvántartása, a kötelezendően vezetendő egyéb dokumentumok, jegyzőkönyvek.

3. Jogos érdekeink érvényesítése érdekében kezeljük az adatot, ha „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek” (GPDR 6. cikk. (1) f) pont). Ide tartoznak a biztonsági incidens során készült kamerafelvételeink, pénzügyi követeléseink érvényesítéséhez szükséges adatok, vitarendezésre irányuló tárgyalás során a résztvevők beleegyezésével készült hangfelvétel.

4. Üzletszerzés konkrét céljára kezeljük az adatot, ha „az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez” (GPDR 6. cikk. (1) a) pont). Ez nem csak számunkra, hanem az érintett számára megszerezhető üzletet is jelent és magába foglalja a szociális hálózatokon fenntartott csatornáink elérését is. Ez alapján kapcsoljuk össze a potenciális konzorciumi partnereket, például email címük és nevük kölcsönös átadásával.

5. A weboldal használatával és korábbi szerződésekkel összefüggő tevékenységre utaló nyomkövetők (cookie-k) olyan mértékben, amilyenben az érintett a weboldal megnyitásakor beleegyezik

ADATKEZELÉS IDŐTARTAMA

Az adatkezelés időtartama az adott nyilvántartástól függ.

1. Szerződéses kötelezettségek teljesítéséhez szükséges nyilvántartás esetében a Polgári Törvénykönyv követelések elévülésére vonatkozó szabályai miatt az adatokat a szerződés megszűnéséig kezeljük majd azokat öt évig korlátozott adatkezelés keretében (archívumban) tároljuk. Jogszabály vagy Támogatási Szerződés egyes szerződésekre ennél hosszabb megőrzési időt is előírhat (van olyan pályázati forrás, ahol a projekt lezárását követő tíz évig is meg kell őrizni az adatokat).

2. A cég működésének biztosítása nyilvántartásban szereplő adatokat a munkaviszony vagy megbízási szerződés megszűnését követő adóbevallási időszak végéig kezeli, majd az azt követő további 2 évben vagy egyéb jogszabályban vagy szerződésben meghatározott időtartamig keretében tárolja, majd a nyilvántartásból törli.

3. Jogos érdekek érvényesítése nyilvántartás keretében csak addig kezeljük az adatokat, amíg az adott érdek érvényesítéséhez igénybe vehető lehetőségeket ki nem merítjük vagy korábban felismerésre nem kerül, hogy az adatkezelés az érintett olyan érdekeit sérti, amelyek aránytalanul fontosabbak jogos érdekünknél. Mivel az érdekérvényesítés adott esetekben, például bírói út igénybevételénél sok évig is eltarthat, ezért bár a lehető legrövidebb ideig kívánjuk kezelni ezen adatokat, az adatkezelés időtartamának pontos meghatározása nem lehetséges.

4. Az érintett tájékoztatáson alapuló beleegyezésével megvalósuló adatkezelés időtartama addig tart amíg az érintett vissza nem vonja beleegyezését, ezt követően az adatkezelést meg kell szüntetni. Az érintett nem vonhatja vissza a beleegyezését, amennyiben valamely jogszabály kötelezően írja elő az adatok kezelését (pl.: Tht). A törlési kötelezettség nem zárja ki az adatok törlése előtt azok statisztikai célú anonimizált feldolgozásából nyert információk kezelését, de ezen információk személyes adatot nem tartalmazhatnak és nem tehetik az érintettet felismerhetővé.

AZ ADATKEZELÉS FOLYAMATA

Érintett tájékoztatása

Az érintett erre irányuló kérése esetén tájékoztatást kell adni a vele kapcsolatban tárolt adatok köréről, magukról az adatokról (hogy szükség esetén helyesbítési jogával élhessen), automatikus feldolgozás esetén az algoritmus alapvető tulajdonságairól (pl. ez egy olyan algoritmus, amely az eddigi eredmények alapján próbál javaslatot tenni a következő tananyagra) és az adatkezelés hátralévő idejéről. A tájékoztatás történhet webes felületen is, ahol az érintett megnézheti a saját profilját, ilyen esetben a kérésnek automatizált módon teszünk eleget.

Jogalap megállapítása

Az adatkezelés megkezdése előtt vizsgálni kell, hogy milyen jogalapon vagy milyen jogalapokon kezeljük az érintett személyes adatait. Egy adott érintett személyes adatainak kezelésére vonatkozóan elméletileg egy időben több jogalap is fennállhat, de ez különbséget jelenthet a kezelhető adatok körében. Csak olyan adat kezelhető, amelyre tekintettel a jogalap fennáll. Például az üzletszerzési nyilvántartásban, melynek jogalapja tájékoztatáson alapuló önkéntes hozzájárulás, nem kezelhető az érintett társadalombiztosítási azonosító jele akkor sem, ha korábban munkaviszonyban állt és így annak kezelésére jogszabály alapján a másik nyilvántartásban (cég működésének biztosítására szolgáló nyilvántartás) lehetőség volt. Ha jogalap nem állapítható meg, például az érintett nem adott hozzájárulást és más jogalap sincs az adatkezelésre, akkor azt meg kell szüntetni és az adatokat törölni kell.

Adatrögzítés

Az adatkezelés kétféleképpen indulhat: az érintett adatközlésével vagy az érintett tájékoztatáson alapuló beleegyezésével zajló adatrögzítéssel. Előbbi esetre példa a szerződéshez szükséges adatok megadása, utóbbira a weboldalon működő cookie-k vagy egy workshop alkalmával a résztvevőkről készült kép- és hangfelvételek rögzítése. A rögzítés előtt vizsgálni kell, hogy az adatkezelés jogalapja fennáll-e, különösen, ahol az érintett beleegyezése szükséges. Kétség esetén fel kell venni a kapcsolatot az érintettel, illetve az adatvédelmi tisztviselővel.

Adatosztályozás

Az adatosztályozás során meg kell állapítani, hogy melyik személyes adatot mely nyilvántartás(ok)ban kell kezelni. Az adat csak olyan nyilvántartásokban kezelhető, amelyekre nézve a jogalap az adat tekintetében fennáll. Az adatot el kell látni a logikai nyilvántartás szerinti címkével, melyből megállapítható, hogy az adat mely nyilvántartásokban kezelhető.

Adattárolás és adatkezelés

Az adatok ezt követően tárolásra és automatizált, illetve szükség esetén manuális feldolgozásra kerülnek. A feldolgozás eredményeként van lehetőség az érintettel különböző tranzakciók végrehajtására, például szerződés megkötésére, képzés hozzáférhetővé tételére, hírlevél küldésére, szolgáltatás nyújtására, munkabér folyósítására, számla kiállítására, stb. Ha már nincs több folyamatban lévő tranzakció, az adatokat automatikusan korlátozott adatkezelés körébe kell vonni és a tárolási idő leteltét követően (ha ilyen nincs meghatározva, akkor azonnal) törölni kell. A kezelt adatokból az adatkezelés megszüntetésekor anonimizálást követően statisztikai jelentéseket lehet készíteni, az így készült anonimizált statisztikai jelentés már nem minősül személyes adatnak.

Kiegészítés, kijavítás, adatváltozás

Érintettnek joga van kérni, hogy a róla tárolt személyes adatokat kiegészítsék (például doktori fokozat megszerzése), kijavítsák (például elgépelés, téves rögzítés) vagy a megváltozott helyzetnek megfelelően megváltoztassák (például házasság miatti névváltozás, költözés miatti lakcím változás, új email cím). Ez történhet az érintett felhasználói profiljával kapcsolatos adatok webes felületen az érintett által történő megváltoztatásával is. Adatbiztonsági okokból a változtatást naplózni kell (a naplófájl a céges működés nyilvántartási körbe tartozik) és arról az érintettnek értesítést kell küldeni.

Hozzájárulás visszavonása

Amennyiben valamely jogszabály nem írja elő kötelezőnek az adatok kezelését, az érintett hozzájárulását bármikor visszavonhatja anélkül, hogy ezért jogosulatlan hátrány érné. A szerződésbe, munkaszerződésbe vagy részvételi feltételekbe foglalt jogszerű következmény, például adott szolgáltatás megszüntetése, üzemi területre belépés korlátozása, rendezvényre szóló regisztráció törlése, nem tekintendők jogosulatlan hátránynak. A hozzájárulás visszavonását semmilyen módon nem szabad akadályozni, rábeszéléssel, meggyőzéssel sem. A hozzájárulás visszavonásának kinyilvánítására egyszerű és érthető módon kell lehetőséget biztosítani (például legfeljebb két kattintással megtehető legyen). A hozzájárulás visszavonása után meg kell vizsgálni, hogy az érintett mely személyes adatai kezelhetőek más jogalapon tovább. Erre az érintett figyelmét fel kell hívni, hogy erre irányuló akarata esetén más jogalap megszűnésére is intézkedhessen (például szerződés felmondása). Az adatkezelésre vonatkozó jogalappal nem rendelkező adatok tekintetében az adatkezelés megszüntetését végre kell hajtani.

Adatkezelés korlátozása és megszűnése

A jogalap megszűnésekor meg kell győződni, hogy az érintettel kapcsolatban minden elszámolási, átadás-átvételi kötelezettségnek eleget tett az adatkezelő (pl. szerződés kifizetése, munkavállalót illető igazolások kiadása). Amennyiben olyan nyilvántartásról van szó, amelyhez megőrzési kötelezettség kapcsolódik, akkor az adatra átmenetileg korlátozott adatkezelést kell alkalmazni, azaz archívumban kell tárolni (ez a tárhelyen belül elkülönített, titkosított adatkonténert jelent, melyből automatikusan információ nem nyerhető ki). Ezt követően az adatokon további művelet a törlést kivéve nem hajható végre egészen addig, amíg kezelésükre újra jogalap nem keletkezik (például Hatóság a projekt utóellenőrzése keretében az adatok átadására kötelez). Érintettnek szintén joga van kezdeményezni az adatkezelés korlátozását, különös tekintettel arra, ha vitatja az adatkezelés jogalapját, az adatokat pontosítani kell vagy az érintett jogos érdekeinek védelmében az adatok törlését meg kívánja akadályozni. Az adatkezelés korlátozására vonatkozó érintetti kérésnek a helyzet tisztázásáig eleget kell tenni, de törekedni kell arra, hogy ez a lehető leggyorsabban megoldódjon.

Adatok törlése

Amennyiben nincs megőrzési kötelezettség vagy a tárolási idő már lejárt, akkor az adatot törölni kell. Ha az adat fizikai adathordozón is jelen van, akkor felülírással vagy ha ez nem lehetséges akkor fizikai megsemmisítéssel (pl. DVD lemez lezúzása) kell gondoskodni a törlés végleges voltáról, azonban a fizikai megsemmisítés környezetkárosítással nem járhat (pl. műanyag adathordozót szabadban elégetni tilos). Ezzel az adatkezelés végleg megszűnik. A törlés tényéről annak megkezdése előtt tájékoztatni kell az érintettet.

Adattovábbítás

Az adatot harmadik félnek az érintett kifejezett, adott adatra és továbbításra szóló felhatalmazása nélkül nem adjuk át. Ez alól kivételt jelentenek a saját szerződött adatfeldolgozóink, valamint azok a hatóságok, akiknek jogszabály alapján az adatot kötelező továbbítanunk (például a céges működés keretébe tartozó nyilvántartásnál az adóhatóság részére a munkavállaló adóazonosító jele). Kivételt képez továbbá, ha az adat átadására az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt van szükség. A felhatalmazással történő átadásra példa, ha az érintett üzletszerzés céljából beleegyezik, hogy nevét, email címét és telefonszámát olyan harmadik félnek átadjuk, aki az érintett szolgáltatásait szeretné igénybe venni.

AZ ÉRINTETTEK JOGAI

Érintettek tájékoztatása

Érintetteknek joga van, hogy adataik kezeléséről és a kezelt adatokról tájékoztatást kapjanak. Az érintettek tájékoztatása elsősorban a webes felületen, emailen történik. Amennyiben az érintett kéri vagy erre az adott helyzetben szükség van (például adatvédelmi incidens vagy egyértelmű hiba a bevitt adatokban és annak helyesbítése, törlésre kijelölt adatok és a törlés ténye, korlátozás bevezetése vagy feloldása), akkor az érintettet külön is értesítjük az elérhetőségei valamelyikén.

Érintett panaszjoga

Az adatkezelés során törekedünk a felmerült problémák proaktív kezelésére és az érintettekkel történő maximális együttműködésre. Amennyiben az érintettnek az adatkezeléssel kapcsolatban panasza, észrevétele van, kérjük először forduljon az adatvédelmi tisztviselőnkhöz a fent megadott elérhetőségek valamelyikén. Ettől függetlenül jogában áll panaszt tenni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (www.naih.hu).

Érintett törléshez való joga

Érintettnek joga van az adatkezelés megszüntetését és az adatok törlését kérni. Az adatok akkor kerülnek törlésre, ha azok kezelésére már nincs szükség vagy kezelésüknek nincs jogalapja. Például kérésre az általános 5 éves kezelési időtartam lejárta előtt is töröljük azokat a szerződéses adatokat, amelyekre vonatkozóan érintettel a szerződés megszűnését követően már elszámoltunk, egymás felé követelésünk nincsen és jogszabály a megőrzésére nem kötelez. Nem kerülnek törlésre azok az adatok, amelyekre jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez van szükség (lásd jogos érdekek érvényesítése nyilvántartás).

Érintett tiltakozáshoz való joga

Érintett tiltakozhat az adatkezelés ellen. Vizsgálni kell, hogy valóban érintettel kapcsolatban merült fel a jogos érdekérvényesítés igénye. Ha igen és azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, akkor az adatok tovább kezelhetők. Egyéb esetben ezt a hozzájárulás visszavonásának kell tekinteni és az adatkezelést azonnal meg kell szüntetni.