Adatvédelmi és adatbiztonsági szabályzat Hatályba léptetve: 2018.12.11 napján 1. A szabályzat célja Az információszabadságról szóló 2011. évi CXII. törvény, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény, a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény, valamint a 2018. május 25. napjától alkalmazandó, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet, azaz a GDPR és az egyéb vonatkozó jogszabályok, nemzeti és nemzetközi ajánlások rendelkezéseit megtartva járjon el a Uni-Pless kft. (a továbbiakban: Társaság) a működése során keletkező adatok biztosítása/védelme, a személyes adatigénylések teljesítési rendjének meghatározása felelősségi rend kialakítása, az információ-áramlás naprakészségének biztosítása érdekében az alábbiakat határozom meg. Adatkezelő megnevezése: Uni-Pless kft. Adatkezelő cégjegyzékszáma: 01-09-662581 Adatkezelő székhelye: 1035 Budapest, Szél utca 3-5. Adatkezelő elérhetősége: adatkezeles@torkosbufe.hu Adatkezelő belső adatvédelmi felelőse: Rafael Stampfer belső adatvédelmi felelős 1.2. A Szabályzat hatálya - A Szabályzat személyi hatálya kiterjed: a) a Társaság valamennyi munkavállalójára. b) az eseti jelleggel munkavégzésre igénybe vett dolgozóra, c) az adatfeldolgozásra, valamint d) a fentieken kívül mindazon személyre, aki a Társasággal bármilyen szerződéses jogviszonyban áll. - A Szabályzat tárgyi hatálya kiterjed: a) a Társaságnál keletkezett valamennyi adatra, b) az informatikai rendszerben kezelt vagy feldolgozott adatra, c) az adatkezelés eredményeképpen létrejött adatra, d) a Társaságnál alkalmazott valamennyi hardver- és szoftvereszközre, valamint e) a Társaság tevékenységével kapcsolatos, működése során keletkező közérdekű adatra vagy közérdekből nyilvános adatra. 2. Fogalmi meghatározások / értelmező rendelkezések 2.1 érintett: bármely meghatározott, személyes adat alapján azonosított vagy \u0096 közvetlenül vagy közvetve - azonosítható természetes személy. 2.2 személyes adat: az érintettel kapcsolatba hozható adat-különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságra jellemző ismeret-, valamint az abból levonható, az érintettre vonatkozó következtetés. 2.3 különleges adat: a faji eredetre, a nemzeti és etnikai kissebséghez tartozásra, a politikai véleményre, pártállásra, vallásos vagy világnézeti meggyőződésre, párttagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat 2.4 adatállomány: a cégen belül több nyilvántartó rendszerben kezelt adatok összessége 2.5 bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés végrehajtási szervezeteknél keletkezett, és az érintettekkel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat. 2.6 hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatásán alapul, és amellyel félreérthetetlen beleegyezést adja a rá vonatkozó személyes adatok- teljes körű vagy egyes műveletekre kiterjedő kezeléséhez. 2.7 tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. 2.8 adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja vagy az általa megbízott adatfeldolgozóval végrehajtja. 2.9 adatkezelés: az alkalmazott eljárásától függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. 2.10 adat továbbítása: az adat meghatározott harmadik személy vagy társaság számára történő hozzáférhetővé tétele. 2.11 nyilvánosságra hozatal: az adatot bárki számára történő hozzáférhetővé tétele. 2.12 adattörlés: az adatok felismerhetetlenné tétele, végleges törlése olya módon, hogy a helyreállításuk többé nem lehetséges. 2.13 adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából. 2.14 adatzárolás: az adat azonosító jelzéssel ellátása majd kezelésének végleges vagy meghatározott időre történő korlátozása. 2.15 adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése. 2.16 adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése. Függetlenül a műveletek végrehajtásához alkalmazott módszerektől és eszközöktől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. 2.17 adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján beleértve a jogszabály rendelkezésére alapján történő szerződéskötést is \u0096 az adatok feldolgozását végzi. 2.18 adatnyilvántartó rendszer: személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, mely meghatározott ismérvek alapján hozzáférhető 2.19 adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, a jogosulatlan hozzáférés, nyilvánosságra hozatal, továbbítás, törlés, sérülés vagy megsemmisülés 2.20 harmadik személy: olyan természetes személy vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel; az adatkezelővel vagy az adatfeldolgozóval. 2.21 harmadik ország: minden olyan állam, amelyen nem EGT - állam. 3. Az adatkezelés alapelvei A Társaság adatkezelői tevékenységét a jelen tájékoztatóban foglalt okból végzi. A társaság a kommunikációját ügyfeleivel magyar nyelven folytatja, végzi. A társaság mindenkori ügyvezető igazgatója, a társaság vezetőivel együttműködésben határozza meg a dolgozók adatkezeléssel kapcsolatos feladatait. Tevékenységük célja hogy törvényes és tisztességes módon az adatkezelés minden fázisában biztosítsák az adatok pontosságát, gondoskodjanak az érintett személyes adatainak védelméről jogosulatlan hozzáférés, megváltoztatás, továbbítás, törlés vagy megsemmisülés esetén. A Társasággal kapcsolatban lévő adatkezelésben résztvevő egyéb szervezetek, ill. vállalkozások megbízottjai kötelesek a megismert adatokat üzleti titokként megőrizni. Ezen szervezetek kötelesek Titoktartási nyilatkozatot tenni. 1. sz. melléklet 4. Az adatkezelés jogalapja Személyes adat akkor kezelhető, ha: a) ahhoz az érintett hozzájárul vagy b) azt a törvény, vagy a törvény felhatalmazása alapján, az abban meghatározott körben törvény, vagy helyi önkormányzat rendelete közérdeken alapuló célból elrendeli kötelező adatkezelés. Kötelező adatkezelés esetén a kezelendő anyagok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét a törvény, illetve önkormányzati rendelet határozza meg. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna és a személyes adat kezelése a Társaságra vonatkozó jogi kötelezettség teljesítése céljából szükséges vagy a Társaság, ill. harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul, vagy kötelező. Az érintettet egyértelműen, közérthetően és részletesen tájékoztatni kell a kezelésre kerülő személyes adatokról, valamint az adatainak kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, ill. arról, hogy kik ismerhetik meg az adatokat. Ha a személyes adat felvételére az érintett hozzájárulása alapján kerül sor, a Társaság a felvett adatokat-törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy a saját, ill. harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül is kezelheti. A Társaság az adatkezelés során az alábbi jogszabályok alapján végzi tevékenységét: \u0095 1993. évi XCIII. törvény a munkavédelemről \u0095 1995.évi CXVII. törvény a személyi jövedelemadóról \u0095 1995.évi CXIX. törvény a kutatás és közvetlen üzletszerzés célját szolgáló név és lakcím adatok kezeléséről \u0095 1997.évi CLV. törvény a fogyasztóvédelemről \u0095 2000.évi C. törvény a számvitelről \u0095 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről \u0095 2005.évi CXXXIII. törvény a személy és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól \u0095 2007.évi CLXXXI. törvény a közpénzekből nyújtott állami támogatások átláthatóságáról \u0095 2011.évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról \u0095 2011.évi CXCV. törvény az államháztartásról \u0095 2012. évi I. törvény a munka törvénykönyvéről \u0095 2013.évi V. törvény a Polgári Törvénykönyvről \u0095 Az európai parlament és az európai parlament és a tanács (eu) 2016/679 rendelete (2016. Április 27.)S a tanács (eu) 2016/679 rendelete (2016. Április 27.) \u0095 2015.évi CXLIII. törvény a közbeszerzésekről 5. Adatbiztonságra és információbiztonságra vonatkozó szabályok A Társaság papíralapon, ill. számítógépen végzi a személyes adatok tárolását. A papíralapú adattárolás kizárólag, megfelelően zárható helyiségben történhet oly módon, hogy az illetéktelen személy által ne legyen hozzáférhető vagy megismerhető. Számítógép alapú adattárolás esetében a számítógép teljes titkosítása kerül alkalmazásra a személyes adatok védelmére. 6. A Társaságnál kezelt személyes adatok kezelése Vásárlói adatok kezelése A társaság személyes adatok kezelése a számviteli törvény, mint törvényi kötelezettségeinek a megvalósulását szolgálja, valamint a hírével küldés, a napi/heti menükről. A kezelt adatok köre: Név, Cím, Telefonszám, Levelezési cím, E-mail cím, IP cím, adószám. Az adatkezelés jogalapja: Törvényi, egyéb nem a törvényben meghatározott bizonyos adatai esetében az érintett személy/ek önkéntes hozzájárulása. Az adatkezelés időtartama: Kizárólag az adatkezelést törvény, ill. önkormányzati rendelet rendeli el, a 4. sz. pontban feltüntetett törvények előírásainak figyelembevételével, valamint a hozzájárulás alapon megadott adatok tekintetében a hozzájárulás visszavonásáig. Belső nyilvántartás a Társaság által történő adatkezelésről és adattovábbításról A Társaság az információs önrendelkezési jogról és információszabadságról szóló 2011.évi CXII. törvény 15. § alapján az adatkezelésekről és a hozzájuk kapcsolódó adattovábbítási folyamatról adatkezelési és adattovábbítási nyilvántartást vezet. A Társaság weboldalához tevékenysége során az alábbi adatfeldolgozó vállalkozásokat veszi igénybe: \u0095 Könyvelőcég: Virtus Üzleti Szolgáltató Kft. 1023 Budapest, Frankel Leó utca 21-23. fszt.7. \u0095 Weboldal üzemeltető: EVOLUTIONET Kft., 7342 Mágocs, Széchenyi utca 75. 8. AZ ÉRINTETTEK ADATKEZELÉSSEL KAPCSOLATOS JOGAI 8.1 Tájékoztatáskérés Az érintettek tájékoztatást kérhetnek az Önök által átadott és a Társaság által kezelt személyes adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá \u0096 személyes adataik továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. A tájékoztatás iránti kérelmet \u0096 az érintettek adatai biztonsága érdekében \u0096 csak személyesen teljesíti a Társaság. Ennek érdekében a tájékoztatás iránti kérelmet írásban postán történő megküldés esetén teljes bizonyító erejű magánokirat formájában, e-mailben illetve faxon a megfelelő azonosító adatok megadásával van lehetőség, a Társaság részére megküldeni. A Társaság a lehető legrövidebb idő alatt, de legkésőbb 1 hónapon belül írásban, közérthető módon megadja a tájékoztatást az érintett által megadott címre. Felhívjuk a figyelmet, hogy évente egy-egy adatkörre vonatkozó tájékoztatás ingyenes, további tájékoztatásért a Társaság költségtérítést számíthat fel. 8.2 Helyesbítés Amennyiben az érintett jelzi \u0096 a pontosított személyes adat egyidejű megadásával \u0096 a Társaság felé, hogy a kezelt személyes adat a valóságnak nem felel meg vagy a Társaság egyéb úton tudomást szerez a személyes adatok hibájáról és a helyes adatokról, akkor a személyes adatot a Társaság helyesbíti. A helyesbítésről illetve a helyesbítésre vonatkozó kérelmének elutasításáról a Társaság értesíti az érintettet. 8.3 Törlés vagy zárolás Az érintettek jogosultak személyes adatik törlését vagy zárolását kérni. A személyes adatokat abban az esetben zároljuk, amennyiben a rendelkezésére álló információ alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. Az így zárolt személyes adatot kizárólag addig kezeljük, amíg fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A törlés vagy zárolás megtörténtéről értesítjük, vagy a törlésre illetve zárolásra vonatkozó kérelmének elutasításáról tájékoztatjuk az érintett személyeket. 8.4 Tiltakozás Az érintetek \u0096 a kötelező adatkezelés esetét kivéve \u0096 jogosultak tiltakozni személyes adataik kezelése ellen, \u0095 ha a személyes adataik kezelése vagy továbbítása kizárólag a Társaságra vonatkozó jogi kötelezettség teljesítéséhez vagy a Társaság vagy harmadik személy jogos érdekének érvényesítéséhez szükséges; vagy \u0095 ha a személyes adataik felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, amennyiben ahhoz nem járultak hozzá; vagy \u0095 törvényben meghatározott egyéb esetekben. A Társaság a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha a tiltakozás megalapozott, az adatkezelést \u0096 beleértve a további adatfelvételt és adattovábbítást is \u0096 a Társaság megszünteti, az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. 8.5 Együttműködés megtagadása direkt marketing kapcsán A közvetlen üzletszerzésre irányuló, ún. direkt marketing levelekkel kapcsolatos együttműködésüket az érintettek jogosultak bármikor indokolás nélkül megtagadni. Ennek keretében jogosultak megtagadni vagy megtiltani névadataiknak a kapcsolat-felvételi, illetve üzletszerzési listán való szerepeltetését, közvetlen üzletszerzési \u0096 illetőleg azon belül meghatározott konkrét \u0096 célra történő felhasználását, illetve harmadik személynek átadását. 8.6 Az adatok továbbítására vagy másolatban történő hordozhatósága Az adathordozhatóság egy új jogi elemként EU-ban mindenkit feljogosít arra, hogy a személyes adatait szervezetek között továbbíthassa. Ez a jogosultság ingyenes, amely lehetővé teszi az érintetteknek, hogy szolgáltatót válthassanak. Azt jelenti, hogy az érintett meg kell, hogy kapja az adatait tagolt, valamely széles körben használt, és géppel olvasható formátumban, mint például a CSV formátum. 9 Adatvédelmi incidensek kezelése A Társaság tudomásul veszi, hogy az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai vagyoni, vagy nem vagyoni kárt okozhat természetes személyeknek. Az adatvédelmi incidensek kezelése érdekében adatvédelmi incidens naplót vezet, melybe az adatvédelmi incidens körülményeit az adatvédelmi megbízott az incidens jelentését követő maximum 72 órán belül jegyzőkönyvezi, és megteszi a szükséges és törvény által előírt intézkedéseket. 10 Általános jogorvoslati lehetőségek Az érintett személy személyesen, előzetes bejelentkezés után hétfőtől péntekig, 8-16 óra között hangrögzítés nélkül kaphat tájékoztatást adatai kezeléséről, továbbá kérheti személyes adatai helyesbítését, valamint törlését vagy zárolását. Az adatkezelő az igénybejelentéstől számított legrövidebb időn, de legfeljebb 1 hónapon belül a kérést kivizsgálja, és írásos tájékoztatót nyújt. Amennyiben az adatkezelő által a valóságnak nem megfelelő személyes adat kerül nyilvántartásba vételre, az adatkezelő módosítja, amennyiben a valóságnak megfelelő személyes adat áll rendelkezésre. Az adatkezelő a személyes adatot törli ha: - ha kezelése jogellenes - ezt bíróság vagy hatóság elrendelte - az hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható - az érintett kéri - az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott ideje lejárt A törlési kötelezettség alá eső személyes adatot az adatkezelő a törlés helyett zárolja, ha az érintett ezt kéri, vagy a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag akkor kezelhető, amíg fennáll a személyes adat törlését kizáró adatkezelési cél. Adatkezelő a jogszerűen kezelhető adatok közül azokat, melyek az adatkezelés céljához szükségesek átadhatja: Ha az érintett személy az adatkezelőnek a személyes adatainak kezeléséről szóló döntésével vagy tájékoztatásával nem ért egyet, ill. ha az adatkezelő a törvényben meghatározott válaszadási határidőt elmulasztja az érintett a döntés közlésétől, illetve a határidő elmulasztásától számított 30 napon belül bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automata adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, ill. adat kiadására kötelezheti. Az érintett jogainak megsértése, ill. észrevétel esetén az alábbi elérhetőségeken tehet nyilatkozatot, ill. az alábbi hatóságokhoz fordulhat: - Uni-Pless kft.. \u0095 személyesen: 1035 Budapest, Szél utca 3-5. e-mail-ben: adatkezeles@torkosbufe.hu - Fővárosi Törvényszék 1055 Budapest, Markó utca 27., valamit a lakóhely szerinti Törvényszék. - Nemzeti Adatvédelmi és Információszabadság Hatóság: 1055 Budapest, Falk Miksa utca 9-11.; - Hatóság levelezési címe: 1374 Budapest, Pf. 603.