Adatvédelmi szabályzat Wine Institute Kft.
Az Wine Institute Kft (továbbiakban: Szervezet) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete alapján a Szervezet adatvédelmének, adatbiztonságának és adatkezelésének rendjére az alábbi szabályzatot alkotja. A Szervezetnél történő személyes adatok kezelését további ágazat specifikus részletező szabályok is meghatározhatják, amelyeket a Szervezet az adatkezelés során szem előtt tart és jelen szabályzat megalkotása során figyelembe vett.
1. § A szabályzat célja és hatálya
(1) Magyarország Alaptörvényének VI. cikke értelmében mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. Ez a hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH, elérhetősége:1125, Budapest, Szilágyi Erzsébet fasor 22/c, Telefon:+36 (1) 391-1400, E-mail: ugyfelszolgalat@naih.hu).
(2) A Wine Institute Kft. kiemelten fontosnak tartja a személyes adatok védelmét és azok bizalmas kezelését, valamint a közérdekű, ill. közérdekből nyilvános adatok minél szélesebb körű nyilvánosságra hozatalát. A Szervezet adatkezelési tájékoztatója (a továbbiakban: Szabályzat) a Szervezetnél vezetett nyilvántartásokra vonatkozó legfontosabb adatvédelmi szabályokat, elveket tartalmazza, különös tekintettel az adatkezeléssel, adatfeldolgozással, adattovábbítással, adatvédelemmel és nyilvánosságra hozatallal kapcsolatos követelményekre. A Szabályzat célja, hogy a vonatkozó jogszabályok előírásai szerint, a társadalom és az érintettek érdekeinek megfelelően meghatározza a Szervezet működésével kapcsolatos adatok kezelése és a feladatellátása körébe tartozó adatok feldolgozásának feltételeit, módját.
(3) E szabályzat célja, hogy meghatározza a Szervezetnél vezetett nyilvántartások törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát.
(4) E szabályzat személyi hatálya kiterjed a Szervezettel munkavállalói, megbízási vagy más munkavégzésre irányuló egyéb jogviszonyban álló személyekre.
(5) E szabályzat személyi hatálya kiterjed továbbá azon személyekre is, akik a Szervezettel nem állnak a fenti bekezdés szerinti jogviszonyban, azonban
a) e jogviszony létesítése céljából adataikat a Szervezet kezeli,
b) adataikat jogszabályi előírás folytán a Szervezet a jogviszony megszűnését követően kezelni köteles.
c) egyéb tevékenység céljából adataikat kezeli
(6) A jelen szabályzat tárgyi hatálya kiterjed a Szervezet által kezelt, jogszabály alapján személyes, közérdekű vagy közérdekből nyilvános adatra.
(7) A jelen szabályzat hatálya nem terjed ki az informatikai eszközökkel összefüggő technikai adatvédelemre, amelyről az informatikai biztonsági szabályzat rendelkezik.
2. § Értelmező rendelkezések
A Szabályzat alkalmazása során az Infotv.-ben meghatározottakon túl:
(1) adatállomány: az egy nyilvántartásban kezelt adatok összessége;
(2) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége; az adatkezelésnek az az állapota, amelyben a kockázati tényezőket - és ezzel a fenyegetettséget - a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;
(3) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik;
(4) adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;
(5) adatgazda: a szervezet vezetője, illetve aki az adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik;
(6) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, személyes vagy különleges adatot tartalmazó anyag;
(7) adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
(8) adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
(9) adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
(10) adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
(11) adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
(12) adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
(13) adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az adatalany információs önrendelkezési jogának érvényesítése érdekében;
(14) adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
(15) adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
(16) betekintési és megismerési jogosultság: az a jogkör, amelynek birtokában a jogosult számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes és különleges adatok;
(17) érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
(18) hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
(19) információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
(20) nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
(21) személyes adat: érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
(22) tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
3. § Az adatvédelem, adatbiztonság és adatkezelés szervezete
(1) A szervezeti egységek vezetői kötelesek gondoskodni a jelen szabályzatban foglaltak betartásáról és betartatásáról.
(2) Az informatikai eszközökkel összefüggő technikai adatvédelemért az informatikai felelős és annak vezetője az informatikai biztonsági szabályzatban meghatározottak szerint felelős.
4. § Az adatvédelmi tisztviselő
(1) A Szervezet adatvédelmi tisztviselőjét az ügyvezető bízhatja meg. A Szervezet jelen Adatvédelmi politika alapján akkor bíz meg adatvédelmi tisztviselőt, ha azt jogszabály kötelezővé teszi számára.
(2) A Szervezet adatvédelmi tisztviselője és elérhetőségei:…………………………….
(3) Az adatvédelmi tisztviselő a következő nyilvántartásokat vezeti:
a) a tudomására jutott adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat a jelen szabályzat 1. függelékében meghatározottak szerint;
b) az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat a jelen szabályzat 2. függelékében meghatározottak szerint;
(4) A (2) bekezdésben meghatározottakon túlmenően az adatvédelmi tisztviselő
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) ellenőrzi az Infotv. és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatkezelési tájékoztatók rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
c) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
d) elkészíti a belső adatkezelési tájékoztatót;
e) gondoskodik az adatvédelmi ismeretek oktatásáról;
f) összeállítja a hatósági adatvédelmi nyilvántartásba bejelentendő adatkezelések nyilvántartásba vételét kezdeményező kérelmet, gondoskodik annak benyújtásáról.
5. § Az adatvédelem alapelvei
(1) Az adatkezelő által, illetve az adatkezelő szervezetben a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
(2) Az adatkezelő munkavállalói és külső megbízottjai (a továbbiakban: alkalmazottai) a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
(3) A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az adatkezelő alkalmazottja személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhet, ha a törvény felhatalmazása alapján az adatkezelő Vezetője azt elrendeli, vagy ahhoz az adatalany kifejezetten - különleges adat esetén írásban - hozzájárult.
(4) Az adatkezelő adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, az adatkezelő nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
(5) Személyes adat kezelésére csak az adatkezelő jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. Az adatkezelő által kezelt - vagy az adatkezelő feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott - személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
(6) Ha az adatkezelő alkalmazottja tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
(7) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
(8) Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
(9) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat a törvény eltérő rendelkezésének hiányában
a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
(10) Személyes adat csak megfelelő tájékoztatáson alapuló beleegyezéssel kezelhető, kivéve, ha az adatkezelés kötelező jellegű, illetve az a felek jogos érdeke.
(11) Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. A bíróság, az ügyész, a nyomozó hatóság, a közigazgatási hatóság, a NAIH, illetőleg jogszabály felhatalmazása alapján más állami szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása céljából megkeresheti az adatkezelőt. Az adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – köteles teljesíteni a megkeresést, azonban személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
6. § Az adatkezelés alapelvei
(1) A személyes adatok védelme: a személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény elrendeli, valamint akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen, vagy aránytalan költséggel járna és az adatkezelés a Szervezetre vonatkozó jogi kötelezettség, ill. a Szervezet vagy harmadik személy jogos érdekének érvényesítése céljából szükséges. A nem szándékosan közölt személyes adatokat a Szervezet nem őrzi meg, és nem adja tovább.
(2) Az adatkezelés célhoz kötöttsége és arányossága: személyes adatot a Szervezet csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel.
(3) Az adatok minőségére vonatkozó elv: a Szervezet a személyes adatok felvételét és kezelését csak tisztességesen és törvényes módon végzi. Az adatoknak pontosaknak, teljeseknek és időszerűeknek kell lenniük, valamint oly módon kell azokat tárolni, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani.
(4) Különleges adatok védelme: a Szervezetnél különleges adat akkor kezelhető, ha
a) az adatkezeléshez az érintett írásban hozzájárul, továbbá
b) az nemzetközi egyezményen alapul, vagy Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében törvény elrendeli, vagy
c) egyéb esetekben azt a törvény elrendeli.
(5) Az üzleti titkot képező adatok védelme: az üzleti titok védendő adat, amit a Szervezet vagy üzleti partnere üzleti titoknak minősít, az kívülálló személynek nem adható meg, kivéve ha:
a) ha ahhoz az üzleti partner előzetesen, írásban hozzájárult,
b) hatóság, bíróság kéri,
c) az adat közérdekű vagy közérdekből nyilvános adatnak minősül
d) jogszabály alapján egyéb okból kötelező kiadni
(6) Adatbiztonság: a Szervezet mindent megtesz az általa kezelt, illetőleg feldolgozás alatt lévő adatok biztonságának érdekében.
(7) Érintett tájékoztatása: az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.
7. § A Szervezet dokumentumaiban kezelt, illetőleg feldolgozott adatok köre
(1) Személyes adatok köre: a Szervezet, mint munkáltató által a munkavállalóinak nyilvántartása során kezelt, az Infotv. által meghatározott személyes adatokat tartalmazó személyi iratok köre.
(2) Üzleti titok alá eső adatok köre: a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli. Az üzleti titokkal azonos védelemben részesül az azonosításra alkalmas módon rögzített, vagyoni értéket képviselő műszaki, gazdasági vagy szervezési ismeret, tapasztalat vagy ezek összeállítása (know-how). Kiemelten ide tartozók a technológiával, műszaki megoldással, a gyártás folyamatával, a munkaszervezéssel, logisztikai módszerekkel kapcsolatos adatok. Üzleti titok továbbá minden olyan adat, melyet üzleti partner a Szervezettel kapcsolatos jogviszonyában üzleti titoknak minősít.
(3) Közérdekű adatok köre: a Szervezet működése során, jogszabály alapján közérdekűnek minősülő adatok köre és a pályázatkezelés során kezelt pályázati anyagok, kivéve a személyes adatokat.
(4) Közérdekből nyilvános adatok köre: a Szervezet működése, valamint pályázatkezelési feladatai során a jogszabályok alapján közérdekből nyilvánosnak minősülő adatok köre.
(5) Különleges adatok köre: a Szervezet működése során felmerülő, a pályázati anyagokban és személyi iratokban felmerülő különleges adatok.
(6) Pályázati anyag: minden, részben vagy teljesen a Szervezet által kezelt pályázathoz kapcsolódó – bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett – adathordozó, amely a pályázattal vagy a pályázókkal összefüggésben bármilyen adatot tartalmaz.
(7) A Szervezet szervezeti egységein belül jelen Szabályzatban foglaltakra tekintettel külön szabályok előírásai rendelkezhetnek az adott egységen kezelt adatokról. A külön szabályzatokban nem szabályozott adatok vonatkozásában a jelen szabályzat az irányadó. A külön szabályzatok nem térhetnek el az Infotv.-ben előírtaktól.
(8) A szervezetnél kezelt személyes adatok köre egészében a nyilvános adatkezelési tájékoztatóban és a Szervezet székhelyén elérhető nyilvános adatvagyon nyilvántartásban került feltüntetésre, és kérésre tekinthető meg a Szervezet telephelyén.
8. § A személyes adatok védelme érdekében szükséges intézkedések
(1) Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét.
(2) A Szervezettel mindazon, a jelen szabályzat 1. § (4) bekezdése szerint jogviszonyban álló személy (a továbbiakban jelen szabályzatban: Szervezettel jogviszonyban állók), aki személyes adat birtokába jut, ilyet munkaköre vagy tisztsége alapján kezel, köteles védeni és őrizni a személyes adatokat, és minden erőfeszítést megtenni annak érdekében, hogy azok megfelelő védelmét biztosítsák. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
(3) Amennyiben a Szervezettel jogviszonyban álló személy munkaköre vagy tisztsége alapján személyes, különleges, avagy bűnügyi személyes adatokba nyer betekintést, vagy azok birtokába jut, köteles az Infotv.-ben foglaltaknak megfelelően eljárni, így különösen a személyes adatokat csupán az előre rögzített célra használhatja fel és az adatokat óvni kell az illetéktelen hozzáféréstől.
(4) A Szervezettel jogviszonyban álló személyek felelősséggel tartoznak minden olyan kárért, amely a jelen szakaszban körülírt adatkezelési, adatvédelmi kötelezettségük megszegéséből származik.
(5) Amennyiben a Szervezet harmadik személlyel olyan nem adatfeldolgozásra irányuló szerződéses jogviszonyt létesít, amelyben előírt feladat során személyes adatok kezelése valósul meg, a szerződésben kötelezően rögzíteni kell a vonatkozó jogszabályokban, a jelen szabályzatban, valamint az informatikai biztonsági szabályzatban foglaltak betartásának kötelezettségét.
(6) Az adatkezelő, valamint tevékenységi körében az általa megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényben előírt valamint e Szabályzatban foglalt szabályok érvényre juttatásához szükségesek.
(7) Az adatkezelőnek és az általa megbízott adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére, és olyan döntést kell hoznia, amely leginkább garantálja az adatok biztonságát, kivéve, ha ez aránytalan nehézséggel járna az adatkezelő számára.
(8) A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel köteles biztosítani:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbítottak vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
(9) Automatizált adatkezelés során felmerülő informatikai problémák naplózása, az erre való lehetőség megteremtése elsődlegesen az informatika rendszert fejlesztő szolgáltató feladata.
9. § Tájékoztatás
(1) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, a kezelt adatok köréről, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő hozzájárulással, kötelezettségeinek teljesítése vagy harmadik személy jogos érdekeinek érvényesítése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.
(2) A (1) bekezdés szerinti tájékoztatásokat a Szervezet honlapján el kell helyezni, vagy a Szervezet adminisztrációs központjában elérhetővé kell tenni, legalább, magyar nyelven.
10. § A Szervezeten belül adattovábbítás, adatkezelések összekapcsolása
(1) A Szervezet szervezeti rendszerén belül a személyes adatok – a feladat elvégzéséhez szükséges mértékben és ideig – csak olyan szervezeti egységhez, személyhez továbbíthatók, amelynek, illetve akinek jogszabályban vagy Szervezeti szabályzatban meghatározott tevékenysége ellátásához a személyes adatok megismerése és kezelése szükséges.
(2) A Szervezetben folyó különböző célra irányuló adatkezelések csak törvényes céloknak megfelelően, indokolt esetben kapcsolhatók össze.
11. § Adattovábbítás megkeresés alapján, szervezeten kívüli adattovábbítás
(1) Olyan megkeresés, amely a Szervezet által kezelt személyes adat továbbítására irányul csak törvényi előírás alapján vagy csak a (2) bekezdésben foglalt feltételek fennállása esetén teljesíthető. Minden más esetben az adattovábbítás teljesítését meg kell tagadni.
(2) Olyan esetben, amikor az adattovábbítás nem törvényi kötelezettségen alapul, az csak akkor teljesíthető, ha az érintett erre félreérthetetlen beleegyezését adva hozzájárulásával felhatalmazza a Szervezetet. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő szervek meghatározott körére
(3) Ilyen értelemben Szervezeten kívülinek minősülnek
a) az érdekképviseleti szervek (szakszervezetek, üzemi tanács),
b) a Szervezet többségi tulajdonosának képviselői,
c) könyvvizsgáló, helyettes könyvvizsgáló és
d) a felügyelőbizottság tagjai is.
(4) Az érintett nyilatkozattételétől függetlenül teljesíteni kell a hatóságoktól (rendőrség, bíróság, ügyészség, adóhatóság, stb.), valamint a nemzetbiztonsági szolgálatoktól érkező megkereséseket. A nemzetbiztonsági szolgálatoktól érkező megkeresésre vonatkozó adat – a minősített adat védelméről szóló 2009. évi CLV tv. alapján – a megkeresésben foglaltak szerinti fokozatú minősített adat. Az adatszolgáltatás csak az ügyvezető vagy az ügyvezető helyettes jóváhagyásával teljesíthető és erről sem más személy, sem más szerv nem tájékoztatható.
(5) Azok az adatok, amelyek – a vonatkozó jogszabályok értelmében – nyilvánosak, vagy egyéb okból nyilvánosságra kerültek, megkeresésre közölhetők.
(6) A jogszabályokon alapuló adatszolgáltatás kötelező, ezek végrehajtása az illetékes szervezeti egységek feladata és felelőssége.
(7) Önkéntes adatszolgáltatás végrehajtását kizárólag az ügyvezető vagy az ügyvezető helyettes engedélyezhet vagy rendelhet el.
(8) A Szervezet köteles biztosítani, hogy a munkavállaló a róla kezelt adatok továbbításáról tájékoztatást kapjon, a kezelt adatokat tartalmazó dokumentumokról - külön kérésére - másolatot vagy kivonatot kapjon.
12. § A külföldre irányuló adattovábbítás
(1) Külföldre irányuló adattovábbítás esetén az adattovábbítást végzőnek külön meg kell győződnie arról, hogy a külföldre történő adattovábbítás Infotv.-ben írt feltételei fennállnak-e. Ennek kapcsán vizsgálandó, hogy az adattovábbítás az Infotv.-ben meghatározott valamely jogalapnak megfelelően történik-e, és az adatok megfelelő védelmi szintje az adatokat átvevő adatkezelőnél biztosított-e. Ha az adattovábbítás az Európai Gazdasági Térség valamely államába irányul, úgy a személyes adatok megfelelő szintű védelmét nem kell vizsgálni.
13. § A statisztikai célú adattovábbítás
(2) A Szervezet vállalja, hogy a személyes adatokat statisztikai célra kizárólag úgy adja át, hogy gondoskodik arról, hogy azt az érintettel ne lehessen kapcsolatba hozni.
14. § A személyes adatok feldolgozása
(1) Amennyiben az adatfeldolgozás nem végezhető el az adatkezelők útján, a Szervezet adatfeldolgozással külső szervezetet is megbízhat. Az adatfeldolgozásra irányuló szerződésekre az általános szerződéskötési szabályok irányadóak. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
(2) Az (1) bekezdés szerinti adatfeldolgozó a Szervezet rendelkezése szerint vehet igénybe további adatfeldolgozót.
15. § Alkalmazotti személyes adatok nyilvántartása
(1) A munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját az a munka törvénykönyvéről szóló 2012. évi I. törvény, illetve végrehajtási rendeletei képezik.
(2) Az alkalmazotti nyilvántartás adatai a foglalkoztatottak munkaviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására és statisztikai adatszolgáltatásra, valamint a munkaviszonyokkal kapcsolatos szerződésekkel kapcsolatos ügyintézésre használhatók fel.
(3) Az alkalmazotti nyilvántartás a Szervezet valamennyi (2) bekezdésben meghatározott alkalmazott adatát tartalmazza.
(4) Az alkalmazotti nyilvántartás adatait az érintett szolgáltatja.
(5) Az alkalmazotti nyilvántartás kezelése a(z) informatikai felelős integrált rendszer HR moduljában, valamint papíralapon valósul meg.
16. § Bér és munkaügyi nyilvántartás
(1) A bér- és munkaügyi nyilvántartásra az alkalmazotti nyilvántartásra vonatkozó rendelkezések irányadók az e szakaszban írt eltérésekkel.
(2) A bér- és munkaügyi nyilvántartás adatai a foglalkoztatott jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel.
17. § A működés során keletkező adatok védelme érdekében szükséges intézkedések
(1) A Szervezet munkatársai kötelesek bizalmasan kezelni minden olyan adatot, információt vagy dokumentumot stb. – függetlenül attól, hogy ahhoz milyen formában és milyen módon jutottak hozzá –, amely előttük a munkaköri feladataik teljesítése során vagy azzal összefüggésben vált ismertté.
18. § Az adatkezelés időtartama, az adatok törlése
(1) Az adatkezelés időtartama:
e) az adózás rendjéről szóló törvényben meghatározott személyes adatok,
f) a társadalombiztosítási ellátásokról és azok fedezetéről szóló törvényben meghatározott személyes adatok ésg) a kötelező egészségbiztosítási törvényben meghatározott személyes adatok
esetében a munkaviszony megszűnésének évét követő 6. év utolsó napja, kivéve, ha jogszabály ennél hosszabb megőrzési időt ír elő;
h) a menetlevelek kötelező használatát előíró jogszabályban meghatározott személyes adatok és
i) a közúti közlekedésben használt menetíró készülékek kötelező használatát előíró jogszabályban meghatározott személyes adatok
esetében az adatfelvételt követő 5. év utolsó napja, kivéve, ha jogszabály ennél hosszabb megőrzési időt ír elő;
j) egyéb esetekben az adatkezelés az adatkezelés céljának megvalósulásáig történik, kivéve, ha jogszabály ettől eltérő megőrzési időt ír elő. Ezen adatok megőrzésére vonatkozó részletes szabályok a Szervezet egyéb adatkezeléseiről rendelkező szabályokban kerülnek kifejtésre.
(2) Az adatkezelő az adatokat az adat rendelkezésére állásától kezdve az adatok törléséig kezeli. A személyi adatokat törölni kell, ha:
a) kezelése jogellenes
b) az adat hiányos vagy téves és ez az állapot jogszerűen nem korrigálható, feltéve, hogy a törlést jogszabály nem zárja ki
c) az adatkezelés célja megszűnt
d) hozzájáruláson alapuló adatszolgáltatás esetén, amennyiben az érintett kéri az adatai törlését
e) azt bíróság vagy az adatvédelmi hatóság elrendelte.
(3) A személyes adat adatkezelésének megszűnése után a személyes adatot tartalmazó iratot irattárba kell helyezni és a hatályos Iratkezelési Szabályzat, illetve a törvényi szabályozás szerinti megőrzési időtartam lejáratával selejtezni kell, ill. meg kell semmisíteni.
19. § Bizalmasság
(1) A Szervezettel jogviszonyban állók kötelesek védeni és őrizni a munkakörükből, velük kötött szerződésből, tisztségükből adódó feladatok teljesítése során vagy azzal összefüggésben tudomásukra jutott adatokat, információkat, dokumentumokat, és kötelesek minden erőfeszítést megtenni annak érdekében, hogy azok megfelelő védelmét biztosítsák.
(2) Az (1) bekezdésben foglalt kötelezettségük teljesítése érdekében a Szervezettel jogviszonyban állóknak szellemi termék, kutatási eredmény, tananyag, találmány stb. kezelését, tárolását elsősorban szervezeti eszközzel, szervezeti informatikai szolgáltatás esetében jóváhagyott szerződéssel kell biztosítaniuk. Ha ilyen jellegű anyagot Szervezeten kívül kezelnek, meg kell bizonyosodniuk arról, hogy a jelen és egyéb részletező szabályzatban foglaltak érvényesíthetők.
(3) A Szervezettel jogviszonyban állók felelősséggel tartoznak minden olyan kárért, amely az (1)-(2) bekezdésben körülírt adatkezelési, titoktartási kötelezettségük megszegéséből származik.
20. § Adatkezeléssel kapcsolatos kötelező nyilvántartások
(1) Az Infotv. értelmében a következő nyilvántartásba vételi, ill. nyilvántartási kötelezettségek terhelik a Szervezetet:
a) Belső adatvédelmi nyilvántartás (Infotv. 24. § (1) bek. e.) pont)
b) Adattovábbítási nyilvántartás (Infotv. 15. § (2) bek.)
c) Nyilvántartás adatvédelmi incidensekről (Infotv. 15. § (1a) bek.)
d) Nyilvántartás elutasított közérdekű adatigénylési kérelmekről (Infotv. 30. § (3) bek.)
(2) Belső adatvédelmi nyilvántartás A hatósági nyilvántartásba vett adatkezelésekről a Szervezet – a jogi képviselő útján – (a NAIH-nak bejelentett adattartalommal) köteles nyilvántartást vezetni.
(3) Adattovábbítási nyilvántartás A Szervezetnek – a jogi képviselő útján – az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást kell vezetnie a 2. függelékben meghatározott adattartalommal.
A központi adattovábbítási nyilvántartást személyes adat tekintetében öt évig, különleges adat esetében 20 évig kell megőrizni.
Nem kell nyilvántartást vezetni a Szervezeten belüli olyan személyes adatok továbbításáról, amely törvényi előíráson vagy felhatalmazáson alapul és a rendeltetésszerű munkavégzéshez az adott tevékenységi folyamat leírása szerint szükséges.
(4) Nyilvántartás adatvédelmi incidensekről
A Szervezetnek – a jogi képviselő útján – az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást kell vezetnie az 1. függelékben meghatározott adattartalommal.
(5) Nyilvántartás elutasított közérdekű adatigénylési kérelmekről
A Szervezet – a jogi képviselő útján - az elutasított kérelmekről, valamint az elutasítások indokairól nyilvántartást köteles vezetni, és az abban foglaltakról minden évben január 31-éig tájékoztatni köteles a NAIH-t.
21. § Az érintett jogai és azok érvényesítése
(1) Az adatvédelmi tisztviselő az Infotv. és a jelen szabályzat rendelkezéseinek kivonatával tájékoztatást készít arról, hogy az érintettet milyen jogok illetik meg és azok megsértése esetén mi a jogorvoslat rendje a NAIH-hoz és a bírósághoz fordulás jogára és rendjére kiterjedően.
(2) Az érintett az adatkezelést végző illetékes ügyintézőtől tájékoztatást kérhet a róla szóló adatkezelésről és jogosultsága igazolását követően abba bele is tekinthet. A betekintést úgy kell biztosítani, hogy ez alatt az érintett más személy adatait ne ismerhesse meg.
(3) Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá arról, hogy kik és milyen célból kapták meg az adatokat. Az adatkezelő köteles a kérelem benyújtásától számított legfeljebb 25 munkanap alatt, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
(4) Adatváltozás vagy téves adatrögzítés észlelése esetén az érintett kérheti kezelt adatainak helyesbítését, illetve kijavítását, valamint személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását. Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő, de legfeljebb 25 munkanap alatt az adatváltozást átvezetni, a téves adatot kijavítani és annak megtörténtéről a kérelmezőt tájékoztatni.
(5) Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett az adatvédelmi tisztviselőhöz fordulhat, aki a panaszt megvizsgálja, és ha alapos, a Szervezet vezetőjénél intézkedést kezdeményez, ellenkező esetben a panaszt elutasítja, erről a panaszost a kérelem kézhezvételét követő 15 napon belül írásban tájékoztatja a kérelem elutasításának ténybeli és jogi indokait is közölve. A kérelem elutasítása esetén a panaszost tájékoztatni kell a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
(6) A kérelemre teljesített adattovábbításról, valamint az elutasított kérelmekről az érintett adatkezelő jegyzőkönyvet köteles felvenni. A jegyzőkönyv vezetését a 2. függelékben meghatározottak szerint kell elvégezni. A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát pedig mellékleteivel együtt – másolat küldése esetén az „Eredetivel megegyező hiteles másolat” szövegezéssel és pecséttel ellátva – az adatvédelmi tisztviselőhöz kell továbbítani, aki köteles az elutasított kérelmekről a Hatóságot a tárgyévet követő év január 31-éig értesíteni. A jegyzőkönyvet öt évig kell megőrizni.
22. § Az adatvédelmi incidenssel kapcsolatos rendelkezések
(1) Az adatkezelő nyilvántartást vezet az adatkezelőnél vagy a megbízott adatfeldolgozójánál felmerülő adatvédelmi incidensekről. A nyilvántartás adattartalmát az 1. függelékben meghatározottak szerint kell vezetni.
(2) Az incidensekkel kapcsolatos rendelkezésekről és kommunikációról a Szervezet Incidenskezelési és kommunikációs szabályzata rendelkezik.
23. § Általános szabályok
(1) A Szervezet az adatkezelési műveletek megtervezése és végrehajtása során az Infotv. és az adatkezelésre vonatkozó más jogszabályok rendelkezéseit maradéktalanul betartva gondoskodik az érintettek magánszférájának védelméről.
(2) A Szervezet gondoskodik a személyes adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
(3) A Szervezetnek az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az intézménynek.
(4) Az adatokat védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
(5) Az adatbiztonsági rendszabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
24. § Számítógépen tárolt adatok
(1) A számítógépen tárolt adatok védelméről az informatikai biztonsági szabályzat rendelkezik.
25. § Manuális kezelésű adatok
(1) A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:
a) az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni;
b) a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaviszonnyal kapcsolatos iratokat biztonságosan elzárva kell tartani,
c) a jelen szabályzatban meghatározott adatkezelések iratainak archiválását évente egyszer el kell végezni, az archivált iratokat a Szervezet iratkezelési és selejtezési szabályzatának, valamint az irattári terveknek megfelelően kell szétválogatni és irattári kezelésbe venni.
(2) Az (1) bekezdés b) pontja szerinti helyiségek, illetve szekrények kulcsához való hozzáférés rendjét az adatkezelő szervezeti egység vezetője állapítja meg, melyet az adatvédelmi tisztviselő részére megküld.
26. § Záró rendelkezések
(1) A jelen szabályzat – a (2) bekezdésben meghatározott kivétellel 2018 május 25. napján lép hatályba.
………………………., 2018. 05. 25.
……………………………
ügyvezető igazgató
Adatkezelési tájékoztató ügyfeleknek
A Wine Institute Kft. (a továbbiakban: Szervezet) a www.cewi.hu (a továbbiakban: Honlap) működtetése során a Szervezet számára személyes adataikat megadó természetes személyek, Honlapra látogatók, Honlapon regisztrálók vagy személyes adataikat egyéb módon megadó (a továbbiakban együttesen Érintett) adatait kezeli. Az adatok kezelésével összefüggésben a Szervezet ezúton tájékoztatja az Érintetteket az általa fenti viszonylatban kezelt személyes adatokról, a személyes adatok kezelése körében követett elveiről és gyakorlatáról, valamint az érintettek jogai gyakorlásának módjáról és lehetőségeiről. Az Érintett a hozzájárulásával elfogadja az Adatkezelési Tájékoztatóban foglaltakat, és hozzájárul az alábbiakban meghatározott adatkezelésekhez.
1. Szolgáltató mint adatkezelő megnevezése
Cégnév: Wine Institute Kft
Székhely, levelezési cím: 1061, Budapest, Paulay Ede u. 55.
Telefon: 6303606626
E-mail: office@cewi.hu
Adószám: ………………………………….
Cégjegyzékszám: ………………………………..
Adatkezelési nyilvántartási szám (ha van): ………………………………..
Tárhely szolgáltató:
Cégnév: SGNEXT Internet Consultancy
Cím: 7003 Sárbogérd, Vörösmarty u 16.
Telefon: +36 70 457 6814
E-mail: info@sgnext.com
2. Adatvédelemmel kapcsolatos jogszabályok
Adatkezelési gyakorlata során a Szervezet figyelembe veszi a vonatkozó mindenkoron hatályos jogszabályokat. Jelen tájékoztatóban közzétett adatkezelési alapelvek összhangban vannak az alábbi jogszabályokkal:
- 1992. évi LXVI. törvény – a polgárok személyi adatainak és lakcímének nyilvántartásáról;
- 1995. évi CXIX. törvény – a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről (DM törvény);
- 2001. évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről;
- 2008. évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.)
- 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (Infotv.)
- az EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE (GDPR).
3. Fogalmak
3.1 személyes adat
Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személlyel (továbbiakban érintett) kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
3.2 hozzájárulás
Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
3.3 tiltakozás
Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
3.4 adatkezelő
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező Szervezet, aki vagy amely önállóan, vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
3.5 adatkezelés
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
3.6 adattovábbítás
Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
3.7 nyilvánosságra hozatal
Az adat bárki számára történő hozzáférhetővé tétele.
3.8 adattörlés
Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
3.9 adatzárolás
Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
3.10 adatmegsemmisítés
Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
3.11 adatfeldolgozás
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.
3.12 adatfeldolgozó
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező Szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.
3.13 harmadik személy
Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező Szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
3.14 harmadik ország
Minden olyan állam, amely nem tagja az Európai Gazdasági Térségnek.
3.15 Cookie
Olyan szövegfájl, amelyet az internetes böngészőprogramon keresztül a felkeresett honlap tárol le a számítógépünkön. Funkciója, hogy kényelmesebbé, személyre szabottabbá tegye a szörfölést, hiszen segítségével eltárolhatjuk különböző személyes adatainkat, jelszavainkat. A cookiek segítségükkel célzott/személyre szabott reklámkampányok is kivitelezhetők.
4. Követett alapelvek az adatkezelés során
Személyes adat akkor kezelhető, ha
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. A megadott adatokért, azok helyességéért, teljességért és valódiságáért az érintett a felelős. A tévesen megadott adatokból eredő károkért a Szervezet akkor sem felel, ha az adat téves jellegét felismerhette. Ha az adatokat megadó más személy nevében jár el, az adat megadója felelős azért, hogy a jelen Adatkezelési tájékoztató szerinti feltételekkel megegyező adatvédelmi hozzájáruló nyilatkozattal az érintett személytől rendelkezzék, illetve ennek bizonyítása is őt terheli.
Személyes adat csak a megfelelő előzetes tájékoztatáson alapuló beleegyezéssel kezelhető, kivéve, ha annak kezelését törvény írja elő, illetve a felek jogos érdeke.
Az adatkezelésébe kerülő személyes adatokat a Szervezet nyilvánosságra nem hozza, az említett alvállalkozókon kívül harmadik félnek nem adja át, illetve az átadott személyes adatokat az alvállalkozók semmilyen módon nem jogosultak megőrizni, illetve további harmadik személyeknek átadni.
Személyes adatot az adatkezelő harmadik országban adatkezelést folytató adatkezelő vagy adatfeldolgozást végző adatfeldolgozó részére akkor továbbíthat, ha ahhoz az érintett kifejezetten hozzájárult. Az Európai Gazdasági Térséghez tartozó-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat.
A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
A Szervezet gondoskodik az adatok biztonságáról, továbbá megteszi mindazokat a technikai intézkedéseket, illetve kialakítja azokat az eljárási szabályokat, amelyek az adatvédelmi rendelkezések megvalósulásához szükségesek, összhangban a 2. pontban részletezett jogszabályok rendelkezéseivel.
5. Az adatkezelés jogalapja
Az adatkezelésre a www.cewi.hu honlapon regisztráló felhasználók önkéntes hozzájárulásával kerül sor. A regisztráció magában foglalja a személyes adatokat tartalmazó űrlap kitöltését és az adatkezelési tájékoztatóban leírtak elfogadását.
5.1 Honlap www.cewi.hu weboldal látogatóinak adatai
Adatkezelés célja: honlap működésének biztosítása, ellenőrzése, biztonsági események megelőzése, utólagos kiértékelése.
Adatkezelés jogalapja: az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.
Kezelt adatok köre: a látogatás dátuma, pontos ideje, a meglátogatott weboldal címe, az azt megelőzően látogatott oldal címe, a látogató IP címe, illetve a használt böngészőt és az operációs rendszert jellemző adatok.
Adatok törlésének határideje: a látogatástól számított 2 év
5.2 Külső Szervezetek adatfelvétele a honlapon
A Szervezet megbízásából külső Szervezetek nem gyűjtenek, és nem kezelnek személyes adatokat.
A webanalitikai Szervezet a Szervezet(z) Wine Institute Kft megbízásából a Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043) csupán az egyénre utaló információktól megfosztott adatokat jogosult kezelni. Az alkalmazott adatkezelési irányelveket a http://www.google.com/intl/hu/privacy/ (http://www.google.com/intl/hu/privacy/) oldalon ismerheti meg.
5.3 BekértKapcsolattartás
A www.cewi.hu weboldalon történő jelentkezést a Szervezet kapcsolatfelvételként kezeli.
Adatkezelés célja: kapcsolattartás.
Adatkezelés jogalapja: érintett önkéntes hozzájárulása.
Kezelt adatok köre: cégnév, név, email cím, név, telefonszám, betöltött munkakör. Nyilvántartási száma:
Adatok törlésének határideje: az utolsó kapcsolatfelvételtől számított 2 év
5.5 Regisztráció a(z) Wine Institute Kft rendezvényeire
Adatkezelés célja: rendezvényszervezés.
Adatkezelés jogalapja: érintett önkéntes hozzájárulása.
Kezelt adatok köre: cégnév, ország, email cím, név, telefonszám, betöltött munkakör. Nyilvántartási száma:
Adatok törlésének határideje: az utolsó kapcsolatfelvételtől számított 2 év
5.6 Feliratkozás hírlevélre
Adatkezelés célja: tájékoztatás, kapcsolattartás és reklámjellegű ajánlatok küldése. Adatkezelés jogalapja: érintett önkéntes hozzájárulása.
Kezelt adatok köre: email cím, név.
Nyilvántartási száma:
Adatok törlésének határideje: az utolsó aktivitástól számított 2 év
5.7 Jelentkezés álláshirdetésre
Adatkezelés célja: toborzás, kapcsolattartás.
Adatkezelés jogalapja: érintett önkéntes hozzájárulása.
Kezelt adatok köre: név, email cím, születési év, nyelvismeret, legmagasabb iskolai végzettség, korábbi munkahely.
Nyilvántartási száma:
Adatok törlésének határideje: a jelentkezés időpontjától számított 1 év
6. A személyes adatok
Kezelt adatok típusa, köre
Adat forrása
Adatkezelés jogalapja
Adatkezelés célja, megőrzés ideje
adatvagyon táblából kerül átemelésre
6.A(z) Wine Institute Kft a személyes adatot törli, ha kezelése jogellenes, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy az adatvédelmi biztos elrendelte.
A felhasználó kérheti saját személyes adatainak törlését, amelyről igényét e-mailben a office@cewi.hu címre kell eljuttatni. A Szervezet a jogszerű törlési igény beérkezésétől számított 15 munkanapon belül törli az adatokat, ellenkező esetben felveszi a kapcsolatot kérelmezővel.
7. Cookie-k alkalmazása a Szervezet (z) Wine Institute Kft weboldalán
Mi a cookie?
Cookie-k alatt olyan kisméretű szöveges fájlokat értünk, amelyekben a weboldalak a látogatásokkal kapcsolatos információkat meghatározott ideig és célból tárolják. Az ismételt látogatások során a weboldal képes felismerni a szövegfájlt, ezáltal beazonosítva a korábbi látogatót.
A cookie-k elsődleges funkciója, hogy kényelmesebbé, személyre szabottá tegyék a böngészést, hiszen segítségükkel eltárolhatjuk különböző személyes adatainkat, beállításainkat. A cookie-k segítségével jól célzott, személyre szabott reklámkampányok is megvalósíthatók.
Cookie beállítások
Böngészője megfelelő beállításával megtilthatja az cookie-k tárolását; illetve a http://tools.google.com/dlpage/gaoptout?hl=hu címen letölthető böngészőbővítménnyel megtilthatja az cookie-ban lévő, a weboldal használatát leíró adatok (köztük az IP-cím) elküldését a Google részére, illetve az ilyen adatok Google általi kezelését és feldolgozását.
Cookie-k típusai
A Szervezet weboldalán használatos cookie-kat négy különböző kategóriába sorolhatjuk, a Nemzetközi Kereskedelmi Kamara osztályozásának (https://www.cookielaw.org/media/1096/icc_uk_cookiesguide_revnov.pdf) megfelelően: működéshez feltétlenül szükséges, teljesítményt javító, egyéni beállításokat tároló, webanalitikai és hirdetések célzását szolgáló cookie.
(1) Google Analytics
Weboldalunk igénybe veszi a Google Inc. (cím: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; a továbbiakban Google) webanalitikai Google Analytics szolgáltatását. A Google Analytics saját cookie-kat használ – ezek is a felhasználó számítógépén tárolt szövegfájlok – a felhasználók weboldalhasználatának elemzéséhez. A jelen weboldal használati adatait leíró cookie-ban található információk rendszerint a Google asz Amerikai Egyesült Államokban működő valamelyik szerverére jutnak el, és ott tárolódnak.
A Google adatfeldolgozási megbízásunk alapján és a nevünkben használja fel a hozzá eljutott adatokat a weboldal használatának elemzésére és a weboldalakon kifejtett tevékenységeket feldolgozó jelentések összeállítására, továbbá megbízásunk keretén belül szolgáltat egyéb weboldalakkal kapcsolatos internetes szolgáltatásokat a weboldal üzemeltetőjének. A böngésző által a Google Analytics szolgáltatáshoz eljuttatott IP-címeket a Google más adatoktól elkülönítve tárolja. Böngészője megfelelő beállításával megtilthatja az cookie-k tárolását; illetve a http://tools.google.com/dlpage/gaoptout?hl=de címen letölthető böngészőbővítménnyel megtilthatja az cookie-ban lévő, a weboldal használatát leíró adatok (köztük az IP-cím) elküldését a Google részére, illetve az ilyen adatok Google általi kezelését és feldolgozását. A Google Analytics általános felhasználási feltételeiről a http://www.google.com/analytics/terms/hu.html oldalon, adatvédelmi szabályzatáról a http://www.google.com/intl/de/analytics/privacyoverview.html oldalon tájékozódhat.
(2) Google Adwords
A weboldal igénybe veszi a Google társaság Google AdWords nevű elemzési szolgáltatását, illetve ennek részeként az átkattintáskövetési funkciót. A Google AdWords egy átkattintáskövető cookie-t (amely átkattintási vagy konverziós cookie néven is ismert) helyez a látogató számítógépének merevlemezére, amikor a felhasználó egy Google által szolgáltatott hirdetésre kattint. Ezek az cookie 30 napon belül elévülnek, és nem alkalmasak személyes azonosításra. Egyes weboldalaink meglátogatásakor a Google és CÉG NEVE figyelemmel kísérheti, hogy hirdetésre kattintva jutott-e weboldalunkra.
Az átkattintási cookie-kon keresztül megismert adatokat az AdWords szolgáltatás átkattintáskövetési funkcióját igénybe vevő felhasználóknak nyújtott statisztikai elemzések összeállítására használja a Google. E statisztikákból az derül ki, hogy összesen hányan kattintottak egy Google által szolgáltatott hirdetésre, és hányan nyitották meg úgy oldalainkat, hogy a számítógépükön volt érvényes átkattintási adatmorzsa. Látogatóink személyes azonosítására alkalmas adatokat nem kapunk. Ezeket az adatokat nem tudjuk úgy kombinálni más adatainkkal, hogy egy-egy adott felhasználóval kapcsolatos következtetésre jussunk.
7. Az adatokat megismerő személyek köre, adattovábbítás, adatfeldolgozás
Az adatokat elsődlegesen Szervezet, az adatok kezelésére a Szervezettel szerződéses viszonyban álló vállalkozások (Partner vállalatok nyilvántartásban és Adatvagyon leltárban rögzítve) illetve Szervezet belső munkatársai jogosultak megismerni, azonban azokat nem teszik közzé, harmadik személy(ek) részére nem adják át. Szervezet a meghatározott célok elérése körében adatfeldolgozót vehet igénybe.
A fentieken túl az Érintettre vonatkozó személyes adatok továbbítására kizárólag törvényben kötelezően meghatározott esetben, illetve az Érintett hozzájárulása alapján kerülhet sor.
8. Adatbiztonsági intézkedések
A személyes adatokat a területén, az szervertermében telepített, 24 órás őrzéssel védett, dedikált szervereken, valamint az Szervezet szervertermében tároljuk.
9. Az adatkezelési szabályzat módosításának lehetősége
A Wine Institute Kft fenntartja a jogot, hogy jelen adatkezelési szabályzatot a felhasználók előzetes értesítése mellett egyoldalúan módosítsa. Ön a szolgáltatásnak a módosítás hatálybalépését követő használatával elfogadja a módosított adatkezelési szabályzatot.
10. A felhasználók jogai személyes adataik kezelésével kapcsolatban
Személyes adatai kezeléséről az érintett tájékoztatást kérhetnek, valamint kérheti személyes adatainak helyesbítését, illetve –a jogszabályi kivételektől eltekintve- törlését. Az érintett kérelmére a Szervezet tájékoztatást ad az érintettnek az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában adja meg a tájékoztatást. E tájékoztatás ingyenes. A tájékoztatás iránti kérelmet e-mailben az office@cewi.hu címre kell eljuttatni, amire 8 munkanapon belül választ kap az érintett.
Az érintett tiltakozhat a személyes adatának kezelése ellen a Szervezetnél a 14. pontban megadott elérhetőségekre eljuttatott nyilatkozatában, ha az adatkezelés jogszerűségét kifogásolja; ebben az esetben a Szervezet a döntésről írásban értesíti az érintettet. Amennyiben az érintett a döntéssel nem ért egyet, úgy bírósághoz (törvényszék) fordulhat jogainak érvényesítése érdekében, amely esetben a bíróság soron kívül jár el. (Infotv. 21- 22.§).
11. Jogérvényesítési lehetőségek
Az érintett tiltakozhat személyes adatának kezelése ellen,
a. ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
b. ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
c. törvényben meghatározott egyéb esetben.
Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Amennyiben a Szervezet az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Ha az érintett az adatkezelőnek a tiltakozással kapcsolatban meghozott döntésével nem ért egyet, illetve ha az adatkezelő a vizsgálatra lefolytatására meghatározott 15 napos határidőt elmulasztja, az érintett - a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat.
12. Adatkezelő nyilatkozata
Az adatkezelő, magára nézve kötelezőnek ismeri el jelen tájékoztató tartalmát és kötelezettséget vállal arra, hogy szolgáltatásával kapcsolatos adatkezelése megfelel a jelen tájékoztatóban meghatározott elvárásoknak.
13. Jogorvoslat
Az adatkezeléssel kapcsolatban a érintettnek az alábbi jogai, jogorvoslati lehetőségei állnak fenn:
Az érintett tájékoztatást kérhet a Szervezettől annak elérhetőségein (e-mail: CÉG EMAIL CÍME; postacím: CÉG POSTACÍME, telefonszám: CÉG TELEFONSZÁMA) a személyes adatok kezeléséről; ennek során az Szervezet tájékoztatást ad az általa kezelt adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról, illetve az esetleges adatfeldolgozásról, vagy az adattovábbítás jogalapjáról és címzettjéről (Infotv. 14-15. §).
A Szervezet köteles legkésőbb 25 napon belül írásban megadni a tájékoztatást, amelyet csak törvényben meghatározott ok alapján tagadhat meg.
Az érintett jogorvoslati igényével, panaszaival a NAIH-hoz fordulhat:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon:+36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu