Adatvédelmi Szabályzat
Adatvédelmi Szabályzat
Bevezetés
A Gobel & Partner Ltd-nél (továbbiakban a jelen dokumentumban: a “társaság”) az érintettekre vonatkozó információkat, azaz személyes adatokat gyűjtünk és kezelünk üzleti célokra, beleértve a munkaviszonyt és a HR adminisztrációt, szolgáltatásaink nyújtását, marketinget és az üzleti adminisztrációt. Ide tartoznak a munkavállalóinkra, vevőinkre, beszállítóinkra és harmadik személyekre vonatkozó személyes adatok.
Az adatvédelmi jognak való megfelelés kulcsfontosságú annak érdekében, hogy biztosítsuk, hogy a személyes adatok biztonságban vannak, az üzleti folyamataink biztonságosak és az érintettek jogai tiszteletben tartsuk. A társaság adatkezelőnek minősül az adatvédelmi jog szerint, ami azt jelenti, hogy a társaság dönt arról, hogy hogyan és miért használja fel a személyes adatokat. A jelen Szabályzat írja le a személyes adatokkal kapcsolatos eljárásainkat, amelyeknek célja az adatvédelmi jognak való megfelelés. Szintén meghatározza az Ön kötelezettségeit arra az esetre, ha a munkaviszonya során személyes adatokat kezel.
Ha rendszeresen kezeli az érintettek személyes adatait, úgy célzott képzést / utasításokat kap az adott munkakörével / osztályával kapcsolatos adatvédelmi eljárások tekintetében. Ez a képzés kiegészíti a jelen Szabályzatban meghatározott kötelezettségeit.
Más szabályzatok is tartalmaznak előírásokat a személyes adatok kezelésére és az adatvédelemre, az egyik legfontosabb az IT és Kommunikációs rendszer Szabályzat és elvárjuk, hogy adott esetben ezeknek is megfeleljen.
A jelen Szabályzat nem ad szerződéses jogokat egy Munkavállalónak sem. Bármikor módosítható.
Kire vonatkozik a jelen Szabályzat?
A jelen Szabályzat a társaság minden munkavállalójára, vállalkozójára, ügynökségi dolgozójára, tanácsadójára, gyakornokára, önkéntesére, partnerére és igazgatójára vonatkozik (továbbiakban ‘Munkavállalók’ vagy ‘Ön’).
Ki felel az adatvédelemért a társaságnál?
Végső soron az Igazgatóság felel a társaság alkalmazandó adatvédelmi jognak való megfeleléséért. A társaság kinevezett egy HR Adatvédelmi vezetőt, aki felel a társaság részére való tanácsadásért és a jelen Szabályzatnak és az adatvédelmi jognak való megfelelés biztosításáért.
A társaság minden munkavállalója rendelkezik bizonyos felelőséggel annak biztosításáért, hogy a személyes adatokat biztonságosan tárolják és jogszerűen kezeljék, mindazonáltal bizonyos Munkavállalóknak kifejezett feladataik vannak, amelyeket meg kell, hogy ismerjenek és amelyekkel kapcsolatosan specifikus utasításokat és képzést kaphatnak.
Ha nem biztos benne, hogy hogyan kellene kezelnie a személyes adatokat vagy bármilyen aggálya vagy kérdése merül fel a jelen Szabályzat érvényesülésével vagy lehetséges megszegésével kapcsolatosan, úgy vegye fel a kapcsolatot a HR Adatvédelmi vezetővel!
Miért fontos az adatvédelmi megfelelés?
Az adatvédelmi jogszabályok megsértése a társaságot és bizonyos esetekben az egyes Munkavállalókat komoly jogi felelősségnek teheti ki. Ide tartozik a büntetőjogi fenyegetettség és a 20 millió euróig (kb. 18 millió font) vagy az éves globális forgalom 4%-áig terjedő bírság, attól függően, hogy melyik a magasabb. Továbbá az érintett kártérítést is követelhet tőlünk bíróságon, ha megsértjük az adatvédelmi jogaikat. Az adatvédelmi jog megsértése szintén komoly kárt okozhat a jó hírnevünknek és a márkának.
A felelősség mellett a jelen Szabályzatban foglalt kötelezettségek megsértése fegyelmi eljáráshoz vezethet és súlyos esetekben a munkaviszony is megszüntetésre kerülhet.
Mik azok a személyes adatok?
Személyes adat bármely élő személyre (úgy is mint érintettre) vonatkozó információ, aki közvetlenül vagy közvetve azonosítható, különösen egy azonosítóra való hivatkozással, pl. név, TAJ szám, munkavállalói azonosító, e-mail cím. Ilyen azonosítható egyének lehetnek a kollégái, a fogyasztók, harmadik személyek, üzletfelek, stb. A személyes adatok lehetnek tényszerűek, pl. elérhetőségek vagy születési idő, egy személy tevékenységére vagy magatartására vonatkozó vélemény vagy olyan információ más módon van kihatással az érintettre. Lehet személyes vagy üzleti célú.
A személyes adatok lehetnek automatizáltak, pl. elektronikus nyilvántartások, mint a számítógépes fájlok vagy e-mailek vagy kézzel vezetett nyilvántartások, amelyek egy nyilvántartás részeit képezik vagy erre a célra szánják, pl. rendszerezett papíralapú akták és archívumok.
Mit jelent a személyes adatok kezelése?
Az adatkezelés minden, a személyes adatok felhasználását magában foglaló tevékenység, pl. a személyes adatok gyűjtése, rögzítése, tárolása, módosítása, helyreállítása, felhasználása, közlése, megosztása, törlése vagy megsemmisítése. Szintén ide tartozik a személyes adatok harmadik felek részére történő küldése vagy továbbítása.
Adatvédelmi Kötelezettségek
A társaság felel az adatvédelmi jognak való megfelelésért és ezt tudnia is kell igazolni. Annak biztosítása érdekében, hogy a társaság megfelel a követelményeknek, létfontosságú, hogy a Munkavállalók megfeleljenek az adatvédelmi jogszabályoknak és a társaság személyes adatokkal kapcsolatos szabályzatainak, iránymutatásainak vagy utasításainak, a munkaviszony során történő adatkezelés során.
Alább részletezzük az adatvédelmi jog szerinti legfontosabb kötelezettségeket és annak a részleteit, hogy a társaság milyen módon várja el a Munkavállalóktól az ezen követelményeknek való megfelelést.
- A személyes adatok tisztességes, jogszerű és átlátható kezelése
Adatkezelés jogalapja
Az adatvédelmi jog csak ott teszi lehetővé az adatkezelést, ahol tisztességes és jogszerű jogalap áll fenn, amely igazolja az információ felhasználását.
Az adatkezelés jogalapjaira példák:
- jogi kötelezettség teljesítése, pl. egészségügyi és biztonsági vagy adó jogszabályok;
- az érintettel való szerződéskötés vagy szerződés teljesítése, pl. a munkaszerződés vagy vállalkozási szerződés egy vevővel;
- a társaság vagy harmadik fél jogos érdekében történő eljárás, pl. üzleti tevékenységekről való nyilvántartások vezetése, termelékenység figyelése;
- az érintett előzetes hozzájárulásának beszerzése. pl. direkt marketing anyagok küldéséhez.
Ahol hozzájárulásra támaszkodnak, ott a hozzájárulásnak önkéntesen megadottnak, kifejezettnek, előzetes tájékoztatáson alapulónak és egyértelműnek kell lennie és a társaság köteles tudni igazolni, hogy a hozzájárulást megadták.
Az ICO munkaviszonnyal kapcsolatos iránymutatásával összhangban a társaság nem támaszkodik a munkavállalói adatok kezelése tekintetében hozzájárulásra mint jogalapra, kivéve, ha az adatkezelés célok ténylegesek opcionálisak.
A legtöbb esetben a hozzájárulás nem szükséges a rendes üzleti tevékenységhez, amely a vevők vagy beszállítók adatainak felhasználásra terjed ki, de szükséges lehet olyan tevékenységekhez, amelyek nem szükségesek az üzleti kapcsolat kezeléséhez, mint pl. a direkt marketing.
Átláthatóság
Az adatvédelmi jog szintén előírja részünkre, hogy az adatkezelést átlátható módon folytassuk, oly módon, hogy az érintettek részére megfelelő, világos és tömör tájékoztatást adunk az adatkezelésről.
Általában az érintetteknek alap információkat nyújtunk az adatkezelés módjáról azon a nyomtatványon, amin felvesszük az adataikat, mint pl. jelentkezési lapok vagy weboldalon található nyomtatványok és egy hosszabb adatvédelmi tájékoztatóban adjuk meg a részleteket, beleértve a kezelt személyes adatok típusát, a felhasználás módját, a kezelés jogalapját, az adattovábbítások címzettjeit és az adatmegőrzési időt. Például, a munkavállalói személyes adatok kezeléséről a társaság Munkavállalói Adatvédelmi Tájékoztatójában biztosítunk információkat.
Ezeket a tájékoztatókat, ahol szükséges, kiegészítjük emlékeztetőkkel vagy további információkkal az egyes adatkezelési tevékenységek kapcsán vagy ha az alkalmazásra kerül újonnan egy érintett kapcsán, pl. amikor egy új szolgáltatásra vagy eseményre feliratkoznak.
Ha a személyes adatok kezelését a jogszerű munkaköri kötelezettségei körében és a társaság utasításai szerint végzi, úgy megvalósul a tisztességes és jogszerű adatkezelés.
Az általunk kiadott általános adatvédelmi tájékoztatók és értesítések, mint pl. a Munkavállalók, vásárlók és a harmadik személyek részére kiadott tájékoztatók, általában elegendők annak biztosítására, hogy az érintettek megfelelő információval rendelkezzenek arról, hogy hogyan kezelik a személyes adataikat a munkaviszony során. Mindazonáltal, gondolja át, hogy szükség lehet-e emlékeztetőre vagy további tájékoztatásra az adott adatkezelés idején. Ez különösen fontos, ha úgy gondolja, hogy az érintettnek további segítségre lehet szüksége annak megértésével kapcsolatosan, hogy hogyan kezelik az adatait az ilyen tevékenységek keretében.
Minden új formanyomtatvány szövegét, amelynek segítségével személyes adatok és hozzájárulást gyűjtenek, jóvá kell hagynia előzetesen a HR Adatvédelmi vezetőnek.
Ha kétsége van az adatkezelés jogalapjával kapcsolatosan vagy nem biztos benne, hogy az érintett megkapta-e a kellő tájékoztatást főleg új adatkezelés esetén, úgy kérjük, konzultáljon a HR Adatvédelmi vezetővel!
- Érzékeny vagy különleges személyes adatok kezelésekor tanúsítson különleges odafigyelést!
A személyes adatok bizonyos kategóriái különlegesek, mivel kifejezetten érzékenyek. Ezek olyan információk, amelyek információkat közölnek az érintett:
- faji vagy etnikai származásáról;
- politikai véleményéről;
- vallási vagy filozófiai nézeteiről;
- szakszervezeti tagságáról;
- testi vagy szellemi egészségéről;
- szexuális életéről vagy irányultságáról;
- biometrikus vagy genetikai adatairól (ha az érintett azonosítására használják); és
- bűnügyi előéletéről és az elítélésekről.
Ahol különleges személyes adatokat kezelünk, ott az adatvédelmi jog előírja részünkre, hogy rendelkezésünkre álljon legalább egy, az 1. pontban leírt jogalap, és egy külön jogalap, amely igazolja az érzékeny adatok felhasználását. A megfelelő jogalap a körülményektől függ.
A különleges személyes adatok kezeléséhez szükséges további jogalapok közé tartoznak a következők. A csillaggal jelöltek (*) különleges fontosak a munkavállalói különleges személyes adatok kezelés esetén:
- jogi kötelezettségnek való megfelelés / jogosultság gyakorlása a munkaviszonnyal kapcsolatosan*;
- munkaképesség értékelése orvosi vélemény alapján és titoktartási kötelezettség mellett*;
- faji vagy etnikai származás, vallás, egészségügyi adatok vagy szexuális irányultság kapcsán egyenlő bánásmód figyelése*;
- követelések előterjesztéséhez érvényesítéséhez vagy azokkal szembeni védekezéshez szükséges*;
- jogellenes cselekmények feltárása vagy megelőzése; vagy
- érintett kifejezett hozzájárulása
Ha különleges személyes adatokkal dolgozik a munkaviszonya során, különös hangsúlyt fektessen az adatvédelmi jognak való megfelelésre. Különösen próbálja biztosítani, hogy:
- a bármely adatkezelési tevékenység szigorúan összhangban van a jogszerű munkaköri kötelezettségeivel és a társasági utasításokkal;
- megfelelő jogalapok állnak rendelkezésre az adatkezeléshez, mind az 1., mind pedig a 2. pontban felsorolt jogalapok közül, amelyek értékelésre kerültek az adott tevékenység céljára;
- az érintettek megfelelő tájékoztatást kaptak az adatkezelés módjáról. Bizonyos esetekben egy hatályos adatvédelmi tájékoztatót ki kell egészíteni egy specifikusabb tájékoztatással a különleges adatok tekintetében, pl. amikor a társaság táppénzes helyzeteket kezel és/vagy a fogyatékkal vagy komoly betegséggel élő munkavállalók munkaköri kötelezettségeit módosítja, egyedi adatvédelmi tájékoztatókat adhatunk a Munkavállalói Adatvédelmi Tájékoztató kiegészítéseképpen;
- kiegészítő biztonsági és titokvédelmi intézkedéseket alkalmaz, figyelembe véve, hogy a különleges személyes adatok elveszése vagy azokkal való visszaélés az érintettre gyakorolt hatása nagyobb, mint más adatok esetén. Lásd szintén az alábbi 7. pontot és
- ha hozzájárulásra mint az adatkezelési jogalapra támaszkodik, úgy előzetesen egyezteti a hozzájárulás szövegét a HR Adatvédelmi vezetővel.
Ha rendszeresen kezel különleges személyes adatokat a munkaköri feladatai szerint, úgy a társasági eljárások rendszerint biztosítják, hogy az adatkezelése megfelel a fenti követelményeknek.
Mindazonáltal, ha más körülmények állnak fenn, pl. új projektben vesz részt vagy egy létező rendszert frissít, amely különleges személyes adatok új kezelését foglalja magában, úgy kérjük, konzultáljon a HR Adatvédelmi vezetővel annak biztosítása érdekében, hogy a helyes megfelelőségi eljárásokat követik!
Hasonlóképpen, ha aggálya merül fel a különleges személyes adatok kezelése alapjául szolgáló jogalappal kapcsolatosan vagy az érintett részére megadandó megfelelő tájékoztatás vonatkozásában, úgy vegye fel a kapcsolatot a HR Adatvédelmi vezetővel!
- Személyes adatokat csak meghatározott, kifejezett és jogszerű célokra kezeljen!
A társaság személyes adatokat csak az üzleti tevékenység és a munkaviszony és más üzleti jogviszonyok adminisztrációja céljából kezel.
Az Ön által kezelt személyes adatokat kizárólag a társaság jogszerű és jóváhagyott céljaival kapcsolatos kötelezettségei körében használhatja. Nem kezelheti a személyes adatokat olyan célokra, amelyek nincsenek kapcsolatban a munkaköri kötelezettségeivel.
Az összeférhetetlen vagy jóvá nem hagyott célokra történő adatkezelés az adatvédelmi jogszabályokat sértheti, pl. a társaság névjegyzékének arra való felhasználása, hogy megtudja egy kolléga lakcímét magánjellegű, munkához nem kapcsolódó célból. Ennek minden érintett félre negatív hatása lehet, beleértve a fegyelmi eljárást is.
Ha úgy látja, hogy más célra kell kezelnie személyes adatokat, mint amire gyűjtötték őket eredetileg, úgy ellenőriznie kell, hogy az egyének erről tájékoztatásra kerültek-e és ha nem, akkor át kell gondolnia, hogy ez a további cél jogszerű-e a társaság üzleti tevékenysége vonatkozásában és összhangban áll-e az eredeti céllal.
Ha nem biztos benne, hogy az adatkezelési cél jogszerű, úgy vegye fel a kapcsolatot a HR Adatvédelmi vezetővel, mielőtt megkezdené az adatkezelést erre a további célra!
- Győződjon meg arról, hogy a személyes adatok alkalmasak, relevánsak és az adatkezelés jogszerű céljára korlátozottak!
Az adatvédelmi jog előírja részünkre, hogy biztosítsuk, hogy a kezelt adatok alkalmasak és relevánsak a céljainkhoz és azon adatokra korlátozottak, amelyek szükségesek a célok eléréséhez (‘adatminimalizálás’). Másként fogalmazva, bekérjük a jogszerű üzleti érdekünkhöz szükséges adatokat, de nem kérünk több adatot, mint amire szükségünk van az üzleti tevékenység végzéséhez.
Meg kell próbálnia biztosítani, hogy kizárólag olyan személyes adatokat gyűjtsön és kezeljen, amelyek valójában szükségesek a társaság jogos és jóváhagyott adatkezelési céljaihoz az Ön munkakörével kapcsolatosan.
Köteles biztosítani, hogy rendelkezik az elégséges személyes adatokkal, amelyek szükségesek a tisztességes felhasználáshoz és figyelembe vesz minden releváns részletet.
Ha személyes adatok gyűjtését célzó formanyomtatványt hoz létre, úgy igazolnia kell tudni, hogy miért van szüksége az egyes adatkategóriákra.
Szintén meg kell felelnie a társaság adatmegőrzési és tárolási utasításainak, annak biztosítása érdekében, hogy a személyes adatokat csak addig kezeljük, amíg szükséges a megfelelő adatkezelési célhoz.
- A személyes adatok pontosak és adott esetben naprakészek legyenek
A társaság köteles intézkedéseket bevezetni, hogy biztosítsa, hogy a személyes adatok pontosak és adott esetben naprakészek. Például, megkérjük a Munkavállalókat, hogy értesítsenek bennünket az elérhetőségeikben vagy személyes adataikban bekövetkezett bármely változásról. Szintén rendszeresen megkérjük a munkavállalókat, hogy frissítsék a személyes adataikat. Szintén odafigyelünk arra, hogy az érintettekre kihatással lévő döntések pontos és naprakész információkon nyugodjanak.
Amikor a munkaviszonya során érintettek személyes adatait kezeli, ésszerű erőfeszítéseket kell tennie, hogy az adatok pontosak és adott esetben naprakészek legyenek.
A személyes adatok gyűjtése elején próbálja ellenőrizni a pontosságukat. Ha pontatlanságot észlel ezt követően a kezelt személyes adatok kapcsán, úgy ezeket helyesbíteni vagy törölni kell késedelem nélkül.
A személyes adatokat a lehető legkevesebb helyen kellene tárolni, hogy csökkentsék annak kockázatát, hogy a duplikátumokat nem frissítik és így nem áll fenn az összhang a különböző változatok között. Ne készítsen a személyes adatokról további másolatokat, hanem egy központi példányból dolgozzon, amit frissít is, ha ez lehetséges.
- A személyes adatokat ne őrizze meg tovább, mint ami szükséges az azonosított célokhoz!
A személyes adatokat tartalmazó nyilvántartásokat addig kellene csak megőrizni, amíg azok szükségesek az azonosított célokhoz. A társaságnál hatályban vannak adatmegőrzési, tárolási és törlési belső adatkezelési szabályzatok, valamint a személyes adatokat tartalmazó társasági nyilvántartások és információk különböző típusaira irányadó útmutatások.
Megfelelő intézkedéseket teszünk annak érdekében, hogy a személyes adatokat csak addig őrizzük meg, amíg azok szükségesek, figyelembe véve a következő követelményeket:
- a személyes adatok mennyiségét, jellegét és érzékenységét;
- a jogosulatlan felhasználásból vagy közlésből eredő károsodás kockázatát;
- az adatkezelés célját és, hogy mennyi ideig van szükségünk az adatokra a célok eléréséhez;
- meddig valószínű, hogy a személyes adatok pontosak és naprakészek maradnak;
- meddig lehetnek a személyes adatok relevánsak lehetséges jövőbeni követelések tekintetében; és
- bármely jogi, könyvelési, jelentéstételi és szabályozási követelmény, amely meghatározza, hogy meddig kell megőrizni bizonyos nyilvántartási adatokat.
Kérjük, tekintse át az adatmegőrzési szabályzatunkat és az adatkezelési iránymutatásokat és utasításokat, amelyek relevánsak az Ön munkakörével kapcsolatosan. Biztosítsa, hogy ahol ez az Ön felelősségi körébe tartozik, ott ezekkel összhangban megsemmisít vagy töröl minden információt, amire már nincs szüksége.
Ha nem biztos benne, hogy milyen adatmegőrzési iránymutatások / utasítások vonatkoznak az Ön munkakörére, vagy nem biztos abban, hogy hogyan kell ezeket alkalmazni bizonyos személyes adatokra, úgy kérjük, vegye fel a kapcsolatot a HR Adatvédelmi vezetővel!
- Megfelelő intézkedések megtétele a személyes adatok biztonságának garantálása érdekében
A társaság és munkavállalói kulcsfontosságú feladata a személyes adatok biztonságának garantálása és a társaság biztonsági szabályzatainak való megfelelés a személyes adatok bizalmassága, sértetlensége, elérhetősége és ellenálló képessége terén.
A társaság IT és Kommunikációs rendszer Szabályzata írja elő a szervezési és technikai biztonsági intézkedéseket az adatok, így a személyes adatok megőrzése érdekében.
Elvárjuk Öntől, hogy megfeleljen a jelen Szabályzatnak, az IT és Kommunikációs rendszer Szabályzatnak és minden társasági utasításnak a személyes adatok kezelésével és biztonságával kapcsolatosan, hogy segítse azt, hogy a társaság fenn tudja tartani az adatbiztonságot és meg tudja óvni az Ön által munkaviszonya keretében kezelt személyes adatok bizalmasságát és sértetlenségét.
- A személyes adatokat csak a társaság információs és kommunikációs rendszerein belül vagy azok felhasználásával mentse, tárolja és továbbítsa! Korlátozza a személyes adatok tárolását személyi eszközökön vagy személyi kommunikációs csatornák felhasználásával!
- Jelszóval védett és titkosított szoftvert használjon az e-mailek küldéséhez és fogadásához!
- Az aktákat biztonságos szekrénybe zárja, ha lehetséges!
- Soha ne hagyja a személyes adatokat tartalmazó laptopját, más eszközét vagy a dokumentumok papíralapú példányait nyilvános helyen!
- Figyeljen arra, hogy amikor a személyes adatokat papíron vagy képernyőn megtekinti, akkor ne lássa más az adatokat, akinek nincs joga megismerni az információkat, különösen, ha a személyes adatokat nyilvános helyen tekinti meg!
- Amikor az adatokat hordozható eszközökön, mint pl. laptopon, okostelefonon vagy pendrive-on tárolja, biztosítsa, hogy az eszköz titkosított és jelszóval védett legyen!
- Biztosítsa, hogy a személyes adatokat tartalmazó információkat biztonságosan és véglegesen megsemmisítik, bizalmas hulladék kezelését garantáló szolgáltatást vagy darálását felhasználva, ahol szükséges!
- Értesítse a HR Adatvédelmi vezetőt azonnal bármely adatvédelmi incidensről, lásd alább az adatvédelmi incidenskezelés részleteit!
- Biztosítsa, hogy a személyes adatok bármely megosztását vagy közlését megfelelő jogalap teszi lehetővé és, ahol szükséges, a megfelelő garanciák is adottak, lásd alább a további részleteket a külföldi adattovábbítások vagy harmadik személy szolgáltatók részére történő továbbítások garanciáival kapcsolatosan!
- Tanúsítson különös odafigyelést, amikor személyes adatokat oszt meg vagy közöl!
A személyes adatok közlése és megosztása az adatkezelés egy fajtája és így a jelen Szabályzatban rögzített minden alapelvet alkalmazni kell.
Belső adatmegosztás
A társaság biztosítja, hogy a személyes adatok a szervezeten belül csak szükség szerint (need-to-know) kerüljenek megosztásra.
Külső adatmegosztás
Személyes adatokat csak akkor osztunk meg harmadik felekkel, beleértve a cégcsoport más tagjait is, amikor jogszerű ez a cél és megfelelő adatvédelmi jogalap jogosít fel bennünket erre. Általában ide tartoznak az olyan helyzetek, ahol jogilag kötelesek vagyunk információt biztosítani, pl. az adóhatóság részére adózási célokból vagy ahol szükséges az érintettek felé fennálló szerződéses kötelezettségeink teljesítéséhez, pl. nyugdíjszolgáltatók részére történő adatközlés.
Megbízhatunk harmadik személy szolgáltatókat (ún. adatfeldolgozókat), akik a megbízásunkból kezelik az adatokat, pl. bérszámfejtési, adattárolási vagy más technológiai szolgáltatások.
A társaság továbbra is felel annak biztosításáért, hogy az adatfeldolgozói megfelelnek az adatvédelmi jogszabályoknak és a jelen Szabályzatnak a személyes adatok kezelése során. Az adatvédelmi és információbiztonsági intézkedéseket értékelnünk és alkalmaznunk kell, az adatfeldolgozó megbízása előtt és a megbízás során is. Ezen intézkedések kiterjedtsége függ a tevékenységek jellegétől, de magában foglalja a megfelelő kockázatértékeléseket, ellenőrzéseket és szerződéses kötelezettségeket.
A kezelt személyes adatokat a szervezeten belül csak Munkavállalókkal, megbízottakkal vagy a társaság képviselőivel oszthatja meg vagy ezek részére továbbíthatja, ha a címzett munkaköre alapján szükséges az információ megismerése.
A kezelt személyes adatokat csak akkor oszthatja meg szolgáltatókkal vagy harmadik személyekkel, beleértve a cégcsoport tagjait is, ha:
- ennek fennáll a jogszerű célja és a megfelelő jogalapja, pl. szükséges, hogy kezeljék a személyes adatokat a szolgáltatásaik részünkre történő nyújtásához, pl. bérszámfejtés vagy, ha jogi kötelezettségünk az adattovábbítás;
- az érintett, akinek a személyes adatai megosztásra kerülnek, megfelelően tájékoztatásra került, pl. egy megfelelő adatvédelmi tájékoztatóval;
- ha a közlés olyan szolgáltató felé irányul, akinél a társaság ellenőrizte, hogy megfelelő biztonsági és adatvédelmi intézkedéseket alkalmaz az érintett személyes adatok védelmére;
- a szolgáltató vagy a harmadik fél megkötött írásban egy szerződést, amely tartalmazza az adatvédelmi jogszabályokban megkövetelt elemeket, kivéve, ha a HR Adatvédelmi vezető úgy döntött, hogy ez nem szükséges a jelen esetben;
A személyes adatok szokásos közlése szokásos címzettek része, pl. bérszámfejtők vagy cégcsoport tagok részére, általában az Ön munkaköri feladatainak szokásos részét képezi és ez általában megfelel a fenti követelményeknek. Mindig biztosítania kell, hogy megfelel minden vonatkozó társasági utasításnak. Mindazonáltal, ha kétségei vannak, hogy megoszthat-e személyes adatokat másokkal, először konzultáljon a HR Adatvédelmi vezetővel.
- Ne továbbítson személyes adatokat más országokba, kivéve, ha a megfelelő biztosítékok adottak
Személyes adatok külföldi közlésére akkor kerül sor, amikor az adatokat más országba továbbítják vagy küldik, vagy ott nézik meg, férnek hozzá vagy kezelik azokat más módon. Az Európai Unió adatvédelmi joga különösen korlátozza a személyes adatok továbbítását az Európai Gazdasági Térségen (EGT – ez az EU, illetve Norvégia, Liechtenstein és Izland) kívülre annak biztosítása érdekében, hogy az érintettek adatainak védettségi szintje ne csökkenjen, mivel az ilyen országok joga nem biztos, hogy biztosítja a személyes adatok azonos szintű védelmét, mint ahogyan az az EGT-n belül megszokott.
Annak biztosítása érdekében, hogy az adatvédelem szintje ne csökkenjen a személyes adatok más országba való továbbításakor, a társaság értékeli a személyes adatok Egyesült Királyságon kívüli továbbításának kockázatát, figyelembe véve a jelen Szabályzatban foglalt elveket, valamint az EGT-n kívüli továbbításokra vonatkozó korlátozásokat és bevezet további megfelelő garanciákat, ha szükséges.
Ha egy érintett személyes adatait az Egyesült Királyságon vagy EGT-n kívülre kell továbbítania a munkaköri kötelezettségeivel összhangban, úgy megfelelő garanciáknak kell érvényesülniük. Ahol az ilyen külföldi adattovábbítások a munkaköri kötelezettségeinek szokásos részét képezik, ott a társaság jelenlegi garanciái valószínűleg az adatvédelem megfelelő szintjét biztosítják.
Mindazonáltal, ha személyes adatokat továbbít külföldre más körülmények között, pl. új adatkezelés részeként, amely korábban nem képezte a munkájának részét vagy olyan országokba, amelyekkel még nem volt dolga korábban, úgy vegye fel a kapcsolatot a HR Adatvédelmi Vezetővel további iránymutatásért, mielőtt megkezdené a továbbítást!
- Az adatvédelmi incidenseket késedelem nélkül jelentse
A társaság minden adatvédelmi incidenst nagyon komolyan vesz. Ide tartoznak az elvesztett vagy nem talált eszközök és adatok, nem pontos vagy felesleges adatok használata, az érintetti jogok nem megfelelő kezelése, az adatok nem megfelelő személynek való véletlen elküldése, jogosulatlan hozzáférés az adatokhoz, adatok jogosulatlan használata vagy közlése, szándékos támadás a társaság rendszerei ellen vagy nyilvántartások eltulajdonítása és bármely más jogsértés a társaság szolgáltatói által.
A társaság azonnali intézkedéseket tesz a biztonsági probléma azonosítása, értékelése és kezelése érdekében (beleértve a kockázatok kezelését, az incidens orvoslását és az érintett felek értesítését (lásd lentebb)), ahol ez vezetett a személyes adatok véletlen vagy jogosulatlan megsemmisüléséhez, elveszéséhez, módosulásához, jogosulatlan közléséhez vagy az azokhoz való jogosulatlan hozzáféréshez.
Ha a társaság észleli, hogy adatvédelmi incidens történt, amely kockázat jelent az érintettek jogaira és szabadságaira, úgy ezt jelenti az ICO részére az észleléstől számított 72 órán belül.
Belső nyilvántartást vezetünk az adatvédelmi incidensekről, függetlenül azok hatásától és attól, hogy jelentjük-e azokat az ICO felé vagy sem.
Ha az adatvédelmi incidens valószínűleg magas kockázatot jelent az érintettek jogaira és szabadságaira, úgy közöljük az érintettekkel, hogy incidens történt és megadjuk részükre a tájékoztatást a valószínű következményekről és az általunk megtett kockázatcsökkentési tevékenységekről.
Ha tudomást szerez bármilyen incidensről vagy a jelen Szabályzat megsértésének gyanúja merül fel, beleértve különösen bármely incidenst is, úgy ezt jelenteni kell a HR Adatvédelmi vezető részére azonnal és meg kell tenni minden szükséges intézkedést ennek megfelelően.
- Ne alkalmazzon profilalkotást vagy automatizált döntéshozatalt, kivéve, ha feljogosították erre!
Profilalkotás vagy automatizált döntéshozatal akkor történik, amikor az érintett személyes adatait automatizált módon kezelik és értékelik és erre az érintettre vonatkozó jelentős döntést alapítanak. Ez különös kockázatokat jelenthet az érintett részére, amikor a döntés meghozatala kizárólag a profilalkotáson vagy más automatizált adatkezelésen alapszik.
Egy példa a kizárólag automatizált döntéshozatalra egy online pszichometriai teszt, amely automatikusan, bármilyen emberi felülvizsgálat (mint pl. a teszteredmények átnézése a toborzási vezető által) nélkül elutasít egy jelentkezőt, aki nem teljesíti a minimum követelményeket.
Az adatvédelmi jogszabályok általában tiltják a kizárólagosan profilalkotáson vagy más automatizált adatkezelésen alapuló döntéshozatalt, kivéve nagyon szűk körben. Továbbá, ahol a profilalkotás vagy más automatizált döntéshozatal megengedett, ott garanciákat kell biztosítani és biztosítani kell az érintettnek a lehetőséget, hogy kifejezze a véleményét és kifogásolja a döntést. A társaság által a munkavállalók lehetségesen és ténylegesen kezelt személyes adataival kapcsolatosan végzett profilalkotását vagy más automatizált döntéshozatalát ezen követelmények szerint kell értékelni a megfelelőség szempontjából és esetről esetre biztosítani kell a megfelelő garanciákat.
- Az adatvédelem integrálása a működésbe
Az adatvédelmi jogszabályok előírják a társaság részére, hogy az adatvédelmi megfontolásokat és biztonsági intézkedéseket építsék be minden, adatkezelést érintő tevékenységükbe, különösen egy olyan új projekt vagy tevékenység kezdetekor, amely az érintettek magánéletére kihatással lehet. Ez magában foglalja különböző faktorok figyelembe vételét, mint pl.:
- az adatkezelés érintettek jogaira és szabadságaira gyakorolt kockázatai és azok valószínűsége és súlyossága;
- technológiai képességek;
- megvalósítás költsége; és
- az adatkezelés jellemzői, terjedelme, körülményei és célja.
Az adatvédelmi kockázatok rendszeresen kívánjuk ellenőrizni az adatkezelést megvalósító projekt vagy tevékenység életciklusán keresztül.
Ha adatkezelést magában foglaló projekt vagy tevékenység tervezésében vagy megvalósításában vesz részt, úgy figyelembe kell vennie a jelen szabályzatban meghatározott adatvédelmi elveket.
A HR Adatvédelmi vezetőt segítenie kell rendszeres projekt és tevékenység áttekintésekkel, hogy biztosítsa, hogy az adatvédelmi kockázatokat kezelik.
Az adatvédelmi megfontolások értékeléséhez hasznos eszköz az Adatvédelmi hatásvizsgálat vagy ‘DPIA’. A DPIA figyelembe veszi az adatkezelés szükségességét és arányosságát és értékeli az egyénre gyakorolt kockázatokat és az intézkedéseket, amelyeket meg lehet valósítani a kockázatok csökkentése érdekében. A DPIA-t akkor kell elvégezni, ha az adatkezelés valószínűleg magas kockázatot jelent az érintettek jogaira és szabadságaira.
Ha adatkezelést magában foglaló új projekt tervezésében vagy megvalósításában vesz részt, úgy ellenőriznie kell, hogy szükséges-e egy DPIA vagy hasonló kockázat vagy megfelelőség értékelés elvégzése, oly módon, hogy felveszi a kapcsolatot az Adatvédelmi vezetővel. Ő szintén tanácsot tud adni, hogy milyen eljárást várunk el öntől vagy egyéb módon is hozzá tud járulni a DPIA-hoz vagy hasonló kockázatértékeléshez.
Az érintettek jogai és kérelmei
Az adatvédelmi jogszabályok szerint az érintettek rendelkeznek bizonyos jogokkal az adatkezeléssel kapcsolatosan, pl. az érintett a következő jogokat érvényesítheti:
- “Érintetti hozzáférési kérelem” beadásának joga. Ez feljogosítja az érintettet, hogy másolatot kérjen a róla kezelt személyes adatokról és tájékoztatást kapjon az adatkezelés módjáról és okáról és más, alább részletezett jogokról. Ez lehetővé teszi az érintettek részére, például, hogy ellenőrizzék, hogy jogszerűen kezeljük-e az adataikat és, hogy helyesbítsenek bármely pontatlanságot.
- Hiányos vagy pontatlan adatok helyesbítése kérelmezésének joga, a kezelt személyes adatok tekintetében.
- Megadott hozzájárulás visszavonásának joga.
- Kezelt személyes adatok törlésének vagy eltávolításának kérelmezésére vonatkozó jog, ha nem áll fenn a további kezelésre ok. Az érintett szintén jogosult felszólítani bennünket, hogy töröljük vagy távolítsuk el a személyes adatait, ahol éltek az adatkezelés elleni tiltakozási jogukkal (lásd alább).
- A személyes adatok kezelése elleni tiltakozás joga, direkt marketing célok esetén vagy más esetben, ahol a saját vagy harmadik fél jogos érdekére támaszkodunk, ahol nem tudunk bemutatni egy olyan kényszerítő erejű okot, amely lehetővé tenné az adatkezelés folytatását.
- A személyes adatok kezelése korlátozása kérelmezésére vonatkozó jog. Ez lehetővé teszi az érintettek részére, hogy felszólítsanak bennünket, hogy függesszük fel az adatkezelést, pl. ha ellenőrizni kell az adatok pontosságát vagy az adatkezelés okát.
- Az általuk rendelkezésünkre bocsátott személyes adatok továbbítása kérelmezésének joga részükre vagy más személy részére, strukturált formában, úgy is mint az adathordozhatóság joga. Ennek alkalmazandósága az adatkezelés jogalapján múlik.
- A kizárólag profilalkotáson vagy automatizált adatkezelésen alapuló döntés megtámadásának joga, emberi beavatkozás kérése és álláspontjának kifejtése.
Kötelesek vagyunk teljesíteni ezen jogokon alapuló kéréseket indokolatlan késedelem nélkül és bizonyos jogok esetén, egy hónapon belül.
Az érintett szintén jogosult panaszt tenni az ICO-nál és pert indítani bíróság előtt a jogai érvényesítése érdekében és bármely jogsértés esetén jogosult kártérítést követelni.
Munkavállalói kérés beérkezése.
Ha egy érintettől a személyes adataival kapcsolatos jogai gyakorlására vonatkozó kérelmet kap vagy az érintett érdeklődik vagy panaszt nyújt be a személyes adatai felhasználásával kapcsolatosan, úgy továbbítsa a kérelmet, érdeklődést vagy panaszt a HR Adatvédelmi vezető részére azonnal, hogy megfelelően tudjuk kezelni ezeket határidőn belül. A segítsége szükséges lehet a kérelem, érdeklődés vagy panasz kezeléséhez és megválaszolásához.
Nyilvántartás vezetése
Az adatvédelmi megfelelőség teljesítése és bizonyítása érdekében a társaság különböző adatkezelési tevékenységekre vonatkozó nyilvántartásokat vezet. Ide tartoznak az Adatkezelési Nyilvántartások, amelyeknek legalább tartalmazniuk kell: az adatkezelés célját, az érintettek és a személyes adatok kategóriáit; az adatátvevők kategóriáit; a nemzetközi adattovábbításokra vonatkozó információkat; az előírt adatmegőrzési időket; az alkalmazott biztonsági intézkedések általános leírását és bizonyos további részleteket különleges személyes adatok esetén.
Szintén meg kell felelnie az irányadó adatkezelésnek / iránymutatásoknak és egyedi utasításoknak, amelyeket az adatkezelési nyilvántartás vezetésével kapcsolatosan kap.
Ha munkaviszonya során érintettek személyes adatait kezeli és új típusú személyes adatokat gyűjt vagy új típusú adatkezelést végez, új rendszer vagy technológia bevezetésével vagy a létezők módosításával, úgy kérjük, értesítse a HR Adatvédelmi vezetőt, hogy a nyilvántartásainkat naprakészen tudjuk tartani!
Képzés
Minden Munkavállalónak alapképzésen kell részt vennie, hogy meg tudjon felelni az adatvédelmi jogszabályoknak és a jelen szabályzatnak. Kiegészítő képzés lehet szükséges bizonyos munkakörök és tevékenységek esetén, ahol személyes adatokat használnak fel.
Ebből a célból képzést biztosítunk a társasághoz frissen csatlakozottak bevezető képzése részeként és szintén működtetünk egy folytatólagos képzési programot, hogy biztosítsuk azt, hogy a Munkavállalók naprakészen tudják és értik, hogy mi szükséges a munkakörükkel kapcsolatos adatvédelmi megfeleléshez. A részvétel az ilyen képzéseken kötelező és jelenléti ív kerül vezetésre.