Adatkezelési szabályzat

1. ADATAKEZELÉS CÉLJA, ADATVÉDELMI TISZTSÉGVISELŐ ÉS ADATFELDOLGOZÓ

Az adatkezelés célja, a Társaság bejelentővédelmi rendszerén keresztül beérkező azon bejelentések kivizsgálása, amelyek elintézése a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések

bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény (továbbiakban „Panasz törvény”) hatálya alá tartozik.

Adatvédelmi tisztviselő neve: Bekéné Szabó Rozália

Elérhetőségei:

1. KEZELT ADATOK KÖRE

A Társaság a Panasz törvény rendelkezési alapján a következő személyes adatokat kezeli:

1. a bejelentőnek,
2. annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, és
3. annak a személynek, aki a bejelentésben foglaltakról érdemi információval rendelkezhet a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatai.

III. ADATKEZELÉS JOGALAPJA

Az adatkezelés az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 6. cikk (1) bekezdés c) pontján alapul (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges) tekintettel a Panasz tv. 26. §-ának rendelkezéseire.

IV. ADATFELDOLGOZÓK ÉS CÍMZETTEK

A Társaság a bejelentés kivizsgálásában esetlegesen közreműködő bejelentővédelmi ügyvéd, illetve külső szervezet – mint adatfeldolgozók – részére továbbíthatja az általa kezelt adatokat a bejelentés kapcsán.

Az Online, E-mailen érkező bejelentések esetében a Társaság a tárhelyszolgáltató és mail szolgáltató – mint adatfeldolgozók – tevékenységét is igénybe veszi.

Az adatfeldolgozókkal az adatfeldolgozásra a Társaság külön adatfeldolgozói megállapodást köt, melyben biztosítja, hogy az adatfeldolgozók a kapott utasítások szerint jogosultak eljárni, a Társaság nevében. A Társaság ellenőrzi az adatfeldolgozók adatkezelését.

A bejelentő személyes adatai csak bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatóak át, ha e szerv annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához bejelentő hozzájárult.

V. SZEMÉLYES ADATOK TÁROLÁSÁNAK IDEJE

A bejelentési eljárásban keletkezett adatok megőrzésére az alábbi szabályok vonatkoznak:

1. Azon bejelentések esetén, amelyek nem tartoznak a jelen dokumentumban szabályozott eljárás körébe, amennyiben nem kerül sor intézkedésre, a személyes adatokat haladéktalanul törölni Az anonimizált adatok archiválásra kerülnek.
2. Ha a bejelentést nem követi egyéb (hatósági, bírósági) eljárás, az adatokat meg kell semmisíteni vagy archiválni (az adatok anonimizálását követően) az eljárás befejezését követő két hónapon belül; A fenti megőrzési időre vonatkozó rendelkezések minden adathordozóra vonatkoznak, így fájlokra, e-mailekre, papír alapú dokumentumokra vagy beolvasott adathordozókra, nyomon követésre használt nyilvántartásokra
3. c)Ha egyéb eljárás indul, az adatokat az eljárás végéig meg kell őrizni. Ezt követően a törvényes elévülési határidő figyelembevételével az adatokat anonimizálni vagy törölni szükséges.

Az anonimizált adatokra a megőrzési időre vonatkozó szabályok nem vonatkoznak, így különösen, ha az adatokat anonimizálják statisztikai célokra vagy a bejelentő rendszer értékelése céljából.

VI. ÉRINTETT JOGAI

1. Tájékoztatáshoz fűződő jog

A Társaság az érintett jogai gyakorlására irányuló kérelmét az annak beérkezésétől számított legfeljebb egy hónapon belül teljesíti. A kérelem beérkezésének napja a határidőbe nem számít bele.

A Társaság szükség esetén, figyelembe véve a kérelem bonyolultságát és a kérelmek számát, ezt a határidőt további két hónappal meghosszabbíthatja. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. A tájékoztatás díjmentes, ezért díj nem számítható fel.

A Társaság – tekintettel az adatkezelés jogalapjára és arra, hogy a bejelentőre vonatkozó személyes adatokat magától a bejelentőtől gyűjti – az adatok megszerzésének időpontját megelőzően tájékoztatja a bejelentőt az adatkezelésről.

2. Hozzáféréshez való jog

Az érintett jogosult arra, hogy a Társaság az adatvédelmi szabályzatában megadott elérhetőségeken keresztül tájékoztatást kérjen arra vonatkozóan, hogy a Panasz törvény kapcsán megadott személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy megismerje azt, hogy a Társaság milyen személyes adatait, milyen jogalapon, milyen adatkezelési cél miatt és mennyi ideig kezeli. Jogosult arra, hogy megismerje, hogy a Társaság kinek, mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait.

A bejelentő személyes adatai nem tehetők megismerhetővé a tájékoztatást kérő személy számára.

3. Helyesbítéshez való jog

Az érintett személy a Társaság megadott elérhetőségeken keresztül kérheti, hogy a Társaság módosítsa valamely személyes adatát. Amennyiben az érintett hitelt érdemlően igazolni tudja a helyesbített adat pontosságát, a Társaság a kérést legfeljebb egy hónapon belül teljesíti, és erről az általa megadott elérhetőségen értesíti az érintett személyt.

4. Zároláshoz való jog

Az érintett személy a Társaság elérhetőségeken keresztül kérheti, hogy a személyes adatai kezelését a Társaság korlátozza (az adatkezelés korlátozott jellegének egyértelmű jelölésével és az egyéb adatoktól elkülönített kezelés biztosításával) amennyiben

• vitatja a személyes adatai pontosságát (ebben az esetben a Társaság arra az időtartamra korlátozza az adatkezelést, amíg ellenőrzi a személyes adatok pontosságát);
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhe

5. Törléshez való jog

Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Társaság pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat a Társaság kezelte
• igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli
• a személyes adatok törlését jogszabály előírja.

VII. ADATBIZTONSÁGI INTÉZKEDÉSEK

A belső visszaélés-bejelentési rendszert a Társaság úgy alakítja ki, hogy a személyazonosságát felfedő bejelentő, valamint a bejelentésben érintett személy személyes adatait az erre jogosultakon kívül más ne ismerhesse meg. A bejelentést kivizsgáló személy a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyre vonatkozó információkat – a bejelentésben érintett személy tájékoztatásán túl – a foglalkoztató más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatja meg.

A Társaság kötelezi magát arra, hogy gondoskodik az általa kezelt személyes adatok biztonságáról. A tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megteszi azokat a technikai és szervezési intézkedéseket, és a azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását.

A Társaság kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek az adatokat bármilyen jogalappal továbbítja vagy átadja, felhívja, hogy tegyenek eleget az adatbiztonság követelményének.

A Társaság gondoskodik arról, hogy a kezelt adatokhoz illetéktelen személy ne férhessen hozzá, ne hozhassa nyilvánosságra, ne továbbíthassa, valamint azokat ne módosíthassa, törölhesse.

Az összegyűjtött adatok biztonsága a bejelentési rendszer egészében biztosított (visszajelzés, kivizsgálás, információátadás, megőrzés, archiválás) az alábbiak szerint:

• Az információk tárolása olyan külön könyvtárakban történik, amelyekhez csak az arra jogosult személyek férhetnek hozzá;
• Jelszóval védett fájlok;
• Munkaállomások automatikus zárolása távollét esetén;
• Papíralapú fájlokat ellenőrzött hozzáférésű, zárt szekrényekben kell tárolni;
• Biztonságos, jelszóval védett nyomtatás;
• Az e-mailben történő információátadásnak bizalmasnak kell lennie mind az e-mail tárgyában, mind szövegében. Az adatokat csatolmányként, jelszóval védett fájlban kell küldeni;
• Az e-mail-ben küldött adatokhoz való hozzáférés nyomon követését a Társaság biztosítja;
• A megőrzési idő végén a dokumentumokat meg kell semmisíteni.

A bejelentési eljárásokhoz kapcsolódó információkhoz csak a megfelelően felhatalmazott személyek férhetnek hozzá, miután a szükséges tájékoztatást megkapták és aláírtak egy külön titoktartási nyilatkozatot.

VIII. ADATTOVÁBBÍTÁS HARMADIK ORSZÁGBA VAGY NEMZETKÖZI SZERVEZET RÉSZÉRE

A Társaság az általa kezelt személyes adatokat harmadik országba és nemzetközi szervezet részére nem továbbítja, kivéve amennyiben kötelező jogszabályi rendelkezés ezt előírja.

Jogérvényesítési lehetőség

Amennyiben az érintettnek a személyes adataival kapcsolatos, panaszát, kérelmeit nem sikerült megnyugtató módon rendezni, vagy az érintett megítélése szerint személyes adatok kezelése sérti a GDPR rendelkezéseit, az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jogosult panaszbejelentést tenni.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Székhely: 1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9

Telefon: 06 1 391 1400

Telefax: 06 1 391 1410

Email: ugyfelszolgalat@naih.hu

Web: naih.hu

Személyes adatok kezelésével kapcsolatos jogsértések esetén az érintett jogosult bírósághoz fordulni.