A személyes adatok védelméhez való jog Magyarország Alaptörvénye VI. cikk (2) bekezdésében rögzítettek szerint alkotmányos alapjog, amelynek az Alkotmánybíróság gyakorlata alapján leglényegesebb követelménye, hogy “mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatkezelés egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát.”
A New Age Rent Korlátolt Felelősségű Társaság
székhely: 6722, Szeged, Vitéz utca 19.
weboldal: www.newagerentkft.com
cégjegyzékszám: 06 09 025071
adószám: 26666198-2-06
e-mail cím: newagerent@gmail.com
ügyvezető: Fazekas Tamás, Joó Gergely
mint adatkezelő(a továbbiakban: Adatkezelő)
eleget tesz ezen alkotmányos követelménynek és valamennyi jogszabályi kötelezettségének. Biztosítja továbbá az elszámoltathatóság alapelvének való megfelelést, a jelen szabályzatban (a továbbiakban: Szabályzat) és mellékleteiben rögzíti az általa végzett adatkezelési tevékenységeket, az adatkezelések feltételeit, célját, jogalapját, az eljárási rendeket, azaz hogy ki és milyen feladatot lát el az adatkezelés során, hogyan történik az adatkezelések megtervezése, az érintettek hogyan gyakorolhatják jogaikat, adatvédelmi incidens esetén mi az eljárási rend, Adatkezelő hogyan biztosítja az adatok biztonságát.
A Szabályzat célja, hogy az abban rögzítetteknek megfelelő eljárási rend alkalmazásával és az adatkezelés alapelveinek betartásával az Adatkezelő biztosítsa az információs önrendelkezési jog érvényesülését, megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását, nyilvánosságra hozatalát, ennek érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.
SZEMÉLYI HATÁLY
A 2018. május 25. napjától az EU területén kötelezően alkalmazandó, az Európai Parlament és a Tanács 2016. április 27-I (EU) 2016/679 rendelet (a továbbiakban: GDPR) 24. cikk (2) bekezdésében foglaltak szerinti belső adatkezelési és adatbiztonsági szabályzata kiterjed az New Age Rent Korlátolt Felelősségű Társaság (a továbbiakban: Adatkezelő) szervezetére és valamennyi munkatársára, továbbá az érintettekre, akiknek Adatkezelő személyes adatait kezeli.
TÁRGYI HATÁLY
A Szabályzat hatálya kiterjed az Adatkezelő által üzemeltetett www.newagerentkft.com weboldal üzemeltetésére, a weboldalon keresztül elérhető szolgáltatásokra, továbbá az Adatkezelő valamennyi olyan tevékenységére, amelynek során személyes adatokat kezel.
IDŐBELI HATÁLY
A szabályzat 2019. május 01. napján lép hatályba és visszavonásig hatályos
adatvédelem: a személyes adatok kezelésének szabályozása az érintett önrendelkezési jogának érvényesítése érdekében;
adathordozó: bármely formában, bármilyen eszköz felhasználásával, bármilyen eljárással előállított, személyes adatot tartalmazó anyag;
adatkezelő megbízottja: az a gazdasági társaság, aki az adatkezelővel kötött megbízási/vállalkozási/közvetítői/együttműködési szerződés alapján adatkezelő telephelyein adatkezelő érdekében üzleti tevékenységet végez, amely tevékenység során személyes adatokat kezel;
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, vagy másolatok készítésére szolgál, továbbá ami elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja;
hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas;
érintettek: azok a természetes személyek - különösen, de nem kizárólagosan az Adatkezelő ügyfelei és munkavállalói - akiknek személyes adatát az Adatkezelő kezeli;
Adatkezelő már az adatkezelés módjának meghatározásakor, illetőleg végig az adatkezelés során az adatkezelési célnak és az adatkezelés elveinek megfelelően jár el és megteszi a célnak megfelelő technikai és szervezési intézkedéseket és az adatkezelés során szem előtt tartja az adattakarékosság elvét. (beépített és alapértelmezett adatkezelés)
Adatkezelő az egyes adatkezelési célok megvalósulásához szükséges mértékben és ideig és kizárólag olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
Adatkezelő munkavállalói és megbízottjai a tevékenységük ellátása során személyes adatot kizárólag a vonatkozó jogszabályok rendelkezéseinek megfelelően kezelnek.
Ha az Adatkezelő, a munkavállalója, vagy megbízottja tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy elavult, Adatkezelő köteles eljárni a helyesbítés érdekében.
Adatkezelő biztosítja, hogy az adatkezelés átlátható legyen, azaz az érintett tömör, ugyanakkor közérthető, könnyen hozzáférhető, világosan megfogalmazott tájékoztatást kapjon személyes adatai kezeléséről.
Az Adatkezelő ügyvezetője a társaság működésének sajátosságait figyelembe véve határozta meg az adatvédelem szervezetét, a feladat- és hatásköröket. A szabályzatban előírtak betartatásáért a feladatkörében minden érintett önálló szervezeti egység vezetője felelős. A társaság munkavállalói munkavégzésük során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.
A társaság adatvédelmi rendszerének felügyeletét az ügyvezető látja el.
Az ügyvezető az adatvédelemmel kapcsolatosan:
Szabályzatok, tájékoztatók
Adatkezelő – az átláthatóság és elszámoltathatóság elvével összhangban –az alább felsorolt szabályzatokat, tájékoztatókat bocsátotta ki:
Adatkezelő informatikus munkatársa gondoskodott arról, hogy az Adatkezelő által üzemeltetett honlapon a nyitó oldalról egy linkre kattintva, egyszerűen elérhető legyen az adatkezelési tájékoztató, biztosítva ezzel az érintettek előzetes tájékoztatását és az átláthatóságot.
Hatásvizsgálat, adatvédelmi tisztviselő
Adatkezelő a jelen szabályzat 1. számú mellékletében foglalt felmérés alapján megállapította, hogy adatkezelési tevékenysége vonatkozásában a GDPR 35. cikkében részletezett adatvédelmi hatásvizsgálat lefolytatása nem szükséges.
Adatkezelő a GDPR 37. cikke alapján adatvédelmi tisztviselő kijelölésére nem köteles.
Adatfeldolgozók
Adatkezelő az adatkezelési tevékenysége ellátása során az alábbi adatfeldolgozókat veszi igénybe:
?bérszámfejtő?:
(hozzáférés a bérszámfejtéshez szükséges személyes adatokhoz)
székhely:
adószám:
e-mail:
telefonszám:
képviseletében:
?könyvelő?:
(hozzáférés a könyvelés során kezelt személyes adatokhoz)
székhely:
e-mail:
telefonszám:
képviseletében:
levelezőrendszer backup:
(hozzáférés a levelezőrendszerhez)
székhely:
adószám:
cégjegyzékszám:
e-mail:
Adatkezelő ügyvezetője felülvizsgálta és a GDPR rendelkezéseinek megfelelően kiegészítette és módosította az adatfeldolgozókkal kötött szerződéseket, amelyek kitérnek arra, hogy amennyiben az adatfeldolgozó adatvédelmi incidensről szerez tudomást, arról haladéktalanul köteles adatkezelőt értesíteni, a GDPR 33. cikkében rögzítetteknek megfelelően.
Adatbiztonsági intézkedések
A GDPR 32. cikkében foglalt előírásoknak megfelelően Adatkezelő garantálja az általa végzett adatkezelés jellegének, hatókörének, körülményeinek és céljainak megfelelő adatbiztonságot, azaz:
Adatkezelő az információbiztonsági intézkedésekkel megteremti a kezelt személyes adatok
Fizikai kontroll:
Informatikai védelem (mint a fizikai kontroll része):
Adminisztratív kontroll:
Adatkezelő a jelen szabályzat, a munkaügyi adatkezelési szabályzat és az adatvédelmi tájékoztatók megalkotásával kialakította azokat az eljárási szabályokat, amelyek biztosítják a jogszabályi rendelkezések érvényre juttatását. Felülvizsgálta és kiegészítette továbbá az adatfeldolgozási szerződéseket, és munkavállalói oktatásával is biztosítja az adminisztratív kontrollt.
Logikai kontroll
A természetes személyek személyes adatai egymástól elkülönítetten kezelt, megfelelő IT biztonsági intézkedésekkel védett adatbázisban találhatók, amelyekhez kizárólag az ügyvezető és az IT munkatárs rendelkezik hozzáféréssel.
Adatkezelő az általa kezelt adatvagyon felmérést követően – a GDPR. 30. cikkében foglaltaknak megfelelően – adatkezelési célonként nyilvántartási rendszert vezet, amelyben meghatározza az adatkezelés célját, jogalapját, az adatkezeléssel érintetteket és a kezelt adatok körét, továbbá az adatkezelés időtartamát, és az esetleges címzetteket.
Munkaügyi adatok kezelése
Adatkezelő a munkaügyi adatok kezelése tárgyában külön szabályzatot bocsát ki, amely rendelkezik:
Munkaerő felvétel nyilvántartása
Munkaviszonnyal összefüggő személyes adatok nyilvántartása
Ügyféladatbázis nyilvántartása – front office rendszer üzemeltetése
Számlázással kapcsolatos adatkezelések nyilvántartása
Ügyféladatbázis nyilvántartása – integrált vállalatirányítási rendszer üzemeltetése
Adatvédelmi incidensek nyilvántartása
Adatvédelmi incidensek jelentése, kivizsgálása
Amennyiben az adatkezelő munkavállalói, megbízottai, illetőleg vele egyéb szerződéses jogviszonyban álló adatfeldolgozói adatvédelmi incidenst észlelnek, haladéktalanul kötelesek ezt az Adatkezelő részére írásban, az newagerent@gmail.com e-mail címre küldött üzenetben jelezni.
Az ügyvezető – a GDPR-ban meghatározott eljárásrendnek megfelelően – első lépésben kategorizálja az incidenst, vagyis meghatározza azt, hogy az érintett természetes személyek jogára és szabadságára milyen hatással van. (1. magas kockázat, 2. kockázat, 3. kockázat hiánya)
Ezt követően az adatkezelő ügyvezetője az incidenst legkésőbb a tudomására jutásától számított 72 órán belül a Nemzeti Adatvédelmi és Információszabadság Hatóság részére bejelenti. Amennyiben a bejelentés a fent megadott határidőben nem történik meg, a késedelmes bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokolást is.
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, az adatkezelő ügyvezetője indokolatlan késedelem nélkül tájékozatni köteles az érintettet is, kivéve, ha megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre az incidenssel érintett adatok tekintetében, továbbá akkor sem, ha olyan egyéb intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.
Az adatvédelmi incidensekről Adatkezelő ügyvezetője a 4. számú melléklet szerint nyilvántartást vezet.
Az érintett alapvető joga a tájékoztatáshoz való jog, amelyet ügyfelei vonatkozásában Adatkezelő az általa üzemeltetett weboldal nyitóoldalán elhelyezett adatkezelési tájékoztatóval biztosít. Munkavállalóit a munkaügyi adatkezelésről és az elektronikus megfigyelőrendszerről készült szabályzat és tájékoztató átadásával és helyben szokásos módon történő kihirdetésével tájékoztatja. Az érintett jogosult az Adatkezelőtől tájékoztatást kérni, amelyet Adatkezelő 30 napon belül megválaszol írásban válaszol meg.
Az érintettet megilleti a hozzáférés joga, amelynek értelmében jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra, hogy személyes adatainak kezelése folyamatban van-e, amennyiben igen, úgy mi az adatkezelés célja, mely adatait kezelik és mely címzett(ek)el közölték az(oka)t, mennyi ideig tervezik kezelni. Kezdeményezheti továbbá személyes adatainak helyesbítését, törlését, kezelésének korlátozását, tiltakozhat továbbá személyes adatainak kezelése ellen. Megilleti továbbá érintettet a felügyeleti hatósághoz címzett panasz benyújtásának joga.
A helyesbítéshez való jog értelmében az érintett jogosult arra, hogy kérésére az Adatkezelő helyesbítse a rá vonatkozó pontatlan adatokat, illetőleg kérheti a hiányos személyes adatok kiegészítését.
Az elfeledtetéshez való jog alapján az érintett jogosult arra, hogy kérésére az Adatkezelő törölje a rá vonatkozó személyes adatokat. Az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat haladéktalanul törölje, amennyiben:
Az adatkezelés korlátozásának joga értelmében az adatokat pusztán tárolni lehet, egyéb adatkezelés kizárólag érintett hozzájárulásával, jogi igény előterjesztése céljából lehetséges. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha:
Az érintettek az őket megillető jogok gyakorlását az Adatkezelő newagerent@gmail.com e-mail címére küldött írásbeli megkeresés útján gyakorolhatják.
Amennyiben az adatkezelési elveket megsértjük, az érintettek a bíróság előtt gyakorolhatják jogérvényesítési lehetőségeiket, polgári per keretében. A per elbírálása a törvényszék hatáskörébe tartozik. A per az érintett ügyfelünk lakóhelye szerinti törvényszék előtt is
Ezen túlmenően az érintettek panasszal élhetnek a Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/C) előtt.
MELLÉKLETEK
1. SZÁMÚ MELLÉKLET: ADATVÉDELMI HATÁSVIZSGÁLAT SZÜKSÉGESSÉGÉNEK FELMÉRÉSE
Ügyféladatok kezelése
Kezelt adatok:
életkor, név, születési idő, lakcím, gépjárművezetői engedély száma, bankkártya-és hitelkártya adatok, e-mail cím, mobilszám,
járatszám, törzsutasszám, telefonszám
Tervezett adatkezelési műveletek:
- autókölcsönzés céljából bérleti szerződések megkötése, számlázás;
- káresemény, baleset , bírság esetén kapcsolattartás a hatóságokkal, biztosító társasággal, a bekért adatok továbbítása a részükre;
- ügyfelek reklamációjával kapcsolatos ügyintézés;
Az adatkezelés célja:
- Autókölcsönzés céljából bérleti szerződések megkötése, teljesítése
A kezelt adatok körére és a fent leírt folyamatokra tekintettel az adatkezelés várhatóan nem jár magas kockázattal, így az Adatkezelő adatvédelmi hatásvizsgálat lefolytatására a GDPR 35. cikkének értelmében nem köteles.
Az adatkezelés célja:
Adatkezelő székhelyén található nagy mennyiségű és jelentős értékű gépjárművek vagyonvédelme.
A kezelt adatok körére és a fent leírt folyamatokra tekintettel az adatkezelés várhatóan nem jár magas kockázattal, így az Adatkezelő adatvédelmi hatásvizsgálat lefolytatására a GDPR 35. cikkének értelmében nem köteles.
2. SZÁMÚ MELLÉKLET: ÉRDEKMÉRLEGELÉSI TESZT A SZÉKHELYEN MEGVALÓSULÓ KAMERÁS ADATKEZELÉS TÁRGYÁBAN
Az adatkezelő megnevezése:
NeaAge Rent Korlátolt Felelősségű Társaság
székhely: 6722, Szeged, Vitéz utca 19.
cégjegyzékszám: 06 09 025071
adószám: 26666198-2-06
weboldal: www.newagerentkft.com
képviseletében: Fazekas Tamás, Joó Gergely ügyvezető
e-mail címe: newagerent@gmail.com
a továbbiakban: Adatkezelő, úgyis, mint munkáltató.
Az érdekmérlegelési teszt elvégzésének oka:
Adatkezelő fő tevékenysége az autókölcsönzés, amely tevékenység során nagy értékű gépjárművek kölcsönzését biztosítja ügyfelei számára. A gépjárműveket többek között a székhelyén kialakított parkolóban tárolja, ahol vagyonvédelmi célból elektronikus megfigyelőrendszert üzemeltet.
Adatkezelő székhelyén található egy irodaépület is, ahol különösen, de nem kizárólagosan ügyfeleket, partnereket fogad, postai küldeményeket vesz át stb. Ezen tevékenységek során külső, harmadik személyek lépnek a területre és így szerepelnek az elektronikus megfigyelőrendszer által készített kamerafelvételeken. Az Adatkezelő által végzett, fent részletezett adatkezelésnek a jogalapja az Adatkezelő jogos érdeke.
A 2016/79 EU Rendelet (a továbbiakban: GDPR) 6. cikk (1) bekezdésének f) pontja szerint alkalmazható jogalap: Adatkezelő jogos érdeke
Az Adatkezelő székhelyére belépő személyek képmásának, mint személyes adatnak a kezelése jogszerű abban az esetben, amennyiben a személyes adat kezelése és felhasználása az Adatkezelő jogos érdekének érvényesítése céljából szükséges.
Az adatkezeléshez fűződő törvényes, egyértelmű, valós érdek:
A kamerák által megfigyelt területen Adatkezelő több száz millió forint értékű gépjárművet tárol, amelyek nélkülözhetetlenek a munkáltató fő tevékenységének ellátásához és amelyeknek vagyonvédelme az elektronikus megfigyelőrendszer kiépítésével megfelelően biztosítható.
Rendelkezésére áll-e az Adatkezelőnek egyéb módszer, megoldás, amellyel székhelyén a vagyonvédelmet megfelelően biztosítani tudja?
Nem áll rendelkezésre. Bár Adatkezelő a székhelyén 22.00-06.30 óra között portaszolgálatot üzemeltet, amely biztosítja, hogy a székhely területére a bejárati kapun a megadott időben kizárólag Adatkezelő munkavállalói és ügyfelei jussanak be. Ugyanakkor a portafülkében szolgálatot ellátó egy fő a terület nagyságára tekintettel nem tudja folyamatosan ellenőrizni a teljes telepet, a portaszolgálatot ellátók munkájához is elengedhetetlen a kamerarendszer működtetése, hogy folyamatosan ellenőrizni tudják a telepen parkoló autókat és így biztosítani tudják a megfelelő védelmet.
Az Adatkezelő érdekeinek a székhelyre belépő személyek érekeivel, jogaival történő összevetése alapján elért ideiglenes egyensúly:
Az Adatkezelő székhelyére belépő természetes személy információs önrendelkezési joga alapján saját maga rendelkezik saját adatai felett. Alapvető érdeke a Ptk.-ban, az Infotv.-ben és a Btk.-ban szabályozott, személyes adatok védelméről szóló, magánszféráját és személyiségi jogait védelmező rendelkezések érvényesülése.
Ugyanakkor a megfelelően biztosított vagyonvédelem elengedhetetlen ahhoz, hogy az Adatkezelő a tevékenységét el tudja látni. Az autókölcsönzési tevékenység zökkenőmentes ellátása érdekében Adatkezelőnek százas nagyságrendű gépjármű flottája parkol a kamerás megfigyelőrendszerrel védett területen, amelyek jelentős vagyoni értéket képviselnek és egy esetleges lopás, rongálás a tevékenységét, tágabban értelmezve pedig a munkavállalóinak munkáját és megélhetését veszélyezteti. Kiemelendő, hogy a portaszolgálatot ellátó munkavállalók munkájának ellátásához szintén elengedhetetlen az elektronikus megfigyelőrendszer működtetése.
Biztosítékok és végleges egyensúly:
A kép- és hangfelvételeket Adatkezelő a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Szvtv.) 31. § (2) bekezdés rendelkezéseinek megfelelően kezeli és 3 napig tárolja. A tárolási idő elteltével a rendszer a felvételeket automatikusan törli a tároló szerverről. Ha a felvételen szereplő érintett jogát, jogos érdekét érinti, jogos érdekének igazolásával kérheti az Adatkezelőtől, hogy a róla készült felvételt az őrzési idő lejártával ne semmisítse meg, illetve ne törölje. Az érintettnek lehetősége van az Adatkezelőnél kezdeményezni a róla készült felvétel visszanézését a munkáltató ügyvezetője és az informatikus munkatárs jelenlétében. Tekintettel arra, hogy az adatkezelés az Adatkezelő jogos érdekén alapul, az érintett tiltakozhat személyes adatai kezelése iránt. Ebben az esetben a személyes adat nem kezelhető tovább, kivéve, ha az Adatkezelő bizonyítani tudja, hogy az adatkezelést kényszerítő ok indokolja.
Bíróság, vagy más hatóság megkeresésére - bírósági-, vagy hatósági határozat felmutatását követően – az Adatkezelő a rögzített képfelvételt haladéktalanul átadja. Amennyiben a megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem került sor, a rögzített képfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell.
A felvételek tárolására szolgáló szerver egy elzárt helyiségben található, amelyhez kulccsal kizárólag az Adatkezelő ügyvezetője és informatikus munkatársa rendelkezik, akik a kulcsot folyamatosan maguknál tartják.
Adatkezelő az elektronikus megfigyelőrendszer működtetéséről, a kamerák elhelyezéséről, az adatkezelés céljáról, jogalapjáról, a hang- és képfelvételek őrzési idejéről tájékoztatók készít az érintettek számára, amelyet a bejáratnál (az egyetlen belépési pont) kihelyez és ezzel biztosítja, hogy az abban foglaltakat az érintettek megismerhessék. Kihelyez továbbá a bejáratnál egy elektronikus megfigyelőrendszer működtetésére figyelmeztető piktogramot is, figyelemfelhívás céljából.
Az érdekmérlegelési teszt eredménye, a megfelelés bizonyítása és az átláthatóság biztosítása:
A jelen érdekmérlegelési tesztben részletesen kifejtett, az Adatkezelő személyes adatok kezeléséhez fűződő érdeke felülmúlja az érintettek személyes adatainak védelméhez fűződő érdekeit, tekintettel az alábbiakra:
Összegzés:
Az érdekmérlegelési teszt eredményeként tehát megállapításra került, hogy a GDPR 6. cikk (1) bekezdés f) pontjában meghatározott adatkezelési jogalap a tárgybeli személyes adatok kezelése vonatkozásában fennáll. Vagyis a tárgybeli személyes adatok kezelése és felhasználása Adatkezelő által további külön hozzájárulás nélkül is kezelhető.