ADATKEZELÉSI SZABÁLYZAT ÉS TÁJÉKOZTATÓ
A LABOKRAFT Mérnökiroda Korlátolt Felelősségű Társaság (Labokraft Kft.) a jelen adatkezelési szabályzat közzétételével tesz eleget az Európai Parlament és a Tanács 2016/679 rendelete (GDPR) által előírt kötelezettségének.
1. Adatkezelő
Név: Labokraft Kft.
Székhely: 2142 Nagytarcsa, Asbóth Oszkár utca 4 A/6
Levelezési cím: 2142 Nagytarcsa, Asbóth Oszkár utca 4 A/6
Cégjegyzékszám: 13-09-205447
Adószám: 13656230-2-13
Képviselő: Sirály Péter
Telefonszám: +36 30 484 2973
E-mail: office@labokraft.hu
Honlap: www.labokraft.hu
2. Adatfeldolgozás
A Labokraft Kft. adatfeldolgozót vesz igénybe könyvelési és bérszámfejtési feladatok ellátása, valamint könyvvizsgálat céljából. A kezelt személyes adatokat a Labokraft Kft. az itt megjelölt adatfeldolgozón kívül nem továbbítja. A Labokraft Kft. által igénybe vett adatfeldolgozók adatai:
Könyvelés és bérszámfejtés:
Cégnév: PerfActa Kft
Székhely: 1122 Budapest, Hajnóczy József utca 3. fszt. 2.
Cégjegyzékszám: 01-09-465645
Adószám: 12099887-2-43
Könyvvizsgálat:
Cégnév: Audit Institute Kft.
Székhely: 1122 Budapest, Hajnóczy József utca 3. 1. em. 6
Cégjegyzékszám: 01-09-171132
Adószám: 24307174-2-43
3. Általános szabályok
a. A személyes adatokat a Labokraft Kft. a vonatkozó adatkezelési célhoz kapcsolódó hozzáférési jogosultságokkal rendelkező munkavállalói, illetve a Labokraft Kft. részére szerződés alapján adatfeldolgozási tevékenységet végző személyek, szervezetek ismerhetik meg, a Labokraft Kft. által meghatározott terjedelemben és az adatkezelési cél megvalósulásához szükséges mértékben és ideig.
b. A jelen szabályzatban rögzített adatkezelési tevékenység természetes személyek személyes adataira irányul, és hatálya az adatkezeléssel érintett természetes személyeken kívül a Labokraft Kft.-ra, illetve a vele az adatkezelést érintően bármilyen szerződéses kapcsolatban lévő szervezetkre, gazdasági társaságokra terjed ki.
c. A Labokraft Kft. ügyvezető igazgatója gondoskodik arról, hogy a Labokraft Kft. valamennyi munkavállalója, munkavégzésre irányuló egyéb jogviszonyban lévő közreműködője és vezető tisztségviselője megtartsa a GDPR-ban, valamint a jelen szabályzatban foglalt rendelkezéseket.
d. Az adatkezelés során a Labokraft Kft. biztosítja az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
e. A Labokraft Kft. a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről a jogszabályi előírásoknak megfelelően írásbeli nyilvántartást vezet, melyet kérésére – a Nemzeti Adatvédelmi és Információszabadság Hatóság rendelkezésére kell bocsátani. A Labokraft Kft. automatizált adatkezelési rendszerben (a továbbiakban: elektronikus napló) rögzíti
i. az adatkezelési művelettel érintett személyes adatok körének meghatározását,
ii. az adatkezelési művelet célját és indokát,
iii. az adatkezelési művelet elvégzésének pontos időpontját,
iv. az adatkezelési műveletet végrehajtó személy megjelölését,
v. a személyes adatok továbbítása esetén az adattovábbítás címzettjét.
Az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a Labokraft Kft. a kezelt adat törlését követő tíz évig megőrzi.
f. A Labokraft Kft. az általa kezelt személyes adatokat székhelyén, illetve adatbázisban tárolja elektronikus állomány formájában, illetve bizonyos adatokat papír alapú dokumentumokon az adatbiztonságra vonatkozó jogszabályi előírások megtartása mellett.
4. Egyes adatkezelői tevékenységek
a. Hírlevél
A Labokraft Kft. hírlevelére történő feliratkozás a www.Labokraft.hu honlapon keresztül, a felhasználó teljes e-mail címének megadásával történik. Az adatok megadását követően a felhasználó adatai automatikusan a Labokraft Kft. által használt tartalomkezelő rendszerben tárolódnak. A Labokraft Kft. kezelésébe adott személyes adatok kezelésének a célja, hogy az érintett hírlevelet igényeljen, a Labokraft Kft. pedig hírlevelet küldhessen számára. A személyes adatok kezelése a hírlevél szolgáltatás biztosítása, valamint az érintettel való ezirányú kommunikáció céljából történik. A személyes adatokat a Labokraft Kft. eltérő célra nem használja és bizalmasan kezeli. A kezelt személyes adatok körébe az e-mail cím tartozik. A hírlevél lemondása úgy történik, hogy hírlevél alsó részében elhelyezett ‘Leiratkozás’ linkre kattintással a felhasználó a leiratkozási oldalra navigál. Itt a felhasználó beírja az erre rendelt adatbeviteli mezőbe az elektronikus levélcímét és megnyomja a ’Leiratkozom’ feliratú gombot. A felhasználó adatai ezt követően a tartalomkezelő rendszerből automatikusan törlésre kerülnek. A felhasználó adatairól a tartalomkezelő rendszer adatbázisán kívül az adatkezelés során semmiféle másolat nem készül.
b. Szerződések teljesítése
A Labokraft Kft. a vele szerződő természetes személyeknek, vagy jogi személyek természetes személy képviselőjének a szerződés teljesítéséhez szükséges személyes adatait, a szerződés teljesítéséhez szükséges ideig kezeli. A Labokraft Kft. által történő adatkezelés jogalapja a szerződés teljesítése, az adatkezelés célja a szerződő természetes személlyel vagy jogi személlyel történő kapcsolattartás, a szerződésből eredő igények érvényesítése, valamint a szerződésből fakadó kötelezettségek teljesítése. A kezelt személyes adatok körébe tartozhat: természetes személyazonosító adatok név, telefonszám, e-mail cím, lakcím, bankszámlaszám, adószám. A Labokraft Kft. a vele szerződő természetes személyek vagy jogi személyek természetes személy kapcsolattartóinak fent megnevezett személyes adatait a szerződés megőrzését előíró jogszabályi rendelkezések által meghatározott ideig kezeli.
c. Munkaviszonyhoz kapcsolódó adatkezelés
A Labokraft Kft. a munkavállalóinak a munkaügyi nyilvántartásban szereplő személyes adatait kezeli. Ezek a következők: név; anyja neve; lakcím és tartózkodási hely címe, valamint értesítési cím; elérhetőségi adatok (telefonszám, e-mail cím); társadalombiztosítási azonosító jel, adóazonosító jel, személyazonosító okmány típusa és száma; munkabér összege; számlavezető pénzintézet megnevezése és a számla száma; a munkabért terhelő letiltások, levonások összege és jogcíme, valamint a levonások és letiltások jogosultjának a számlaszáma; gyermekek, és eltartottak neve és társadalombiztosítási azonosító jele; értesítendő legközelebbi hozzátartozó neve és elérhetősége.
Az adatkezelés célja: a munkaviszonyból eredő kötelezettségek teljesítése és munkaviszonyból eredő jogok gyakorlása, a munkaviszony létesítése és megszüntetése.
Az adatkezelés tartama: a munkaviszony fennállása, valamint a munkaviszony megszűnését követően 8 év, illetve, amennyiben az hosszabb, a jogszabályokban meghatározott tartam.
Az adatkezelés jogalapja: a munkáltató jogos érdeke, jogi kötelezettség teljesítése, a munkaszerződés teljesítése. A munkavállalót az adatkezelés megkezdését megelőzően tájékoztatni kell az adatkezelés jogalapjáról és céljáról.
5. Az adatkezelés jogalapja
a. Az érintett hozzájárulása
Az érintett a személyes adatainak kezeléséhez való hozzájárulását kizárólag a következő formában adhatja meg:
i. írásban, személyes adatkezeléshez hozzájárulást adó nyilatkozati formában, mely nyilatkozat szerződésben foglalt adatvédelmi rendelkezések elfogadását is jelenti;
ii. elektronikus úton, a Labokraft Kft. internetes weboldalán megvalósított kifejezett magatartásával, jelölőnégyzet kipipálásával, vagy ha az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.
Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.
Az érintett a vonatkozó jogszabályokkal összhangban jogosult arra, hogy hozzájárulását bármikor visszavonja.
b. Az adatkezelőre vonatkozó jogi kötelezettség teljesítése
Ha az adatkezelés jogalapját jogi kötelezettség teljesítése esetén törvény határozza meg, és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult.
Az adatkezelő köteles tájékoztatni az érintettet az adatkezelés céljáról, jogalapjáról, időtartamáról az adatkezelő személyéről, továbbá a jogairól, a jogorvoslati lehetőségekről.
Az adatkezelő jogi kötelezettség teljesítése címén az érintett hozzájárulásának visszavonását követően jogosult kezelni azon adatkört, amely valamely rá vonatkozó jogi kötelezettség teljesítése végett szükséges.
c. Törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból való elrendelése
Az adatkezelés során ebben az esetben a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.
6. Az érintett személy adatainak kezelésével kapcsolatos jogai
Az érintettnek joga van:
a. az adatkezeléssel összefüggő tényekről tájékoztatást kapni az adatkezelés megkezdése előtt,
b. arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy kérelmére személyes adatait és az azok kezelésével összefüggő információkat az adatkezelő a rendelkezésére bocsássa,
c. kérelmezni adatainak helyesbítését, törlését, értesítést kapni az adatkezelőtől ennek megtörténtéről, ez a jog az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infó törvény) II/A fejezetben meghatározott esetekben is megilleti,
d. az adatkezelés korlátozását kérni, értesítést kapni az adatkezelőtől ennek megtörténtéről, ez a jog az Infó törvény II/A fejezetben meghatározott esetekben is megilleti,
e. az adathordozhatósághoz,
f. tiltakozáshoz, ha személyes adatait közérdekű célból, vagy az adatkezelő jogos érdekére hivatkozással kezelik,
g. mentesüljön az automatikus döntéshozatal alól, beleértve a profilalkotást,
h. a felügyeleti hatóságnál való panasztételhez. Panasztételhez való jogát az érintett az alábbi elérhetőségeken gyakorolhatja: Nemzeti Adatvédelmi és Információszabadság Hatóság, cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c., Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410., www:http://www.naih.hu; e-mail: ugyfelszolgalat@naih.hu
i. felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz,
j. az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz,
k. az adatvédelmi incidensről való tájékoztatáshoz.
7. Az érintett kérelme esetén alkalmazandó eljárás
A Labokraft Kft. elősegíti az érintett jogainak gyakorlását, az érintett jelen adatkezelési tájékoztatóban is rögzített jogainak gyakorlására irányuló kérelem teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
A Labokraft Kft. indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított huszonöt (25) napon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha a Labokraft Kft. nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, haladéktalanul tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
A Labokraft Kft. díjmentesen biztosítja az érintett számára a következő tájékoztatást és intézkedést: visszajelzés a személyes adatok kezeléséről, hozzáférés a kezelt adatokhoz, adatok helyesbítése, kiegészítése, törlése, adatkezelés korlátozása, adathordozhatóság, tiltakozás az adatkezelés ellen, az adatvédelmi incidensről való tájékoztatás.
A Rendelet 11. cikkének sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a Rendelet 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
8. Az adatvédelmi incidens esetében alkalmazandó eljárás
Az adatvédelmi incidens észlelése esetén a Labokraft Kft. képviselője haladéktalanul vizsgálatot folytat le az adatvédelmi incidens azonosítása és lehetséges következményeinek megállapítása céljából. A károk elhárítása érdekében a szükséges intézkedéseket meg kell tenni.
Az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
A bejelentésben legalább:
a. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b. közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d. ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a Rendelet 33. cikkében foglalt követelményeknek való megfelelést.
9. Adatbiztonságra vonatkozó rendelkezések
a. Az adatbiztonság megvalósításának elvei
A Labokraft Kft. személyes adatot csak a jelen szabályzatban rögzített tevékenységekkel összhangban, az adatkezelés célja szerint szükséges mértékben kezel.
A Labokraft Kft. az adatok biztonságáról gondoskodik, e körben kötelezettséget vállal arra, hogy megteszi mindazon technikai és szervezési intézkedéseket, amelyek elengedhetetlenül szükségesek az adatbiztonságra vonatkozó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához.
A Labokraft Kft. által végrehajtandó technikai és szervezési intézkedések a következőkre irányulnak:
i. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képességének fennállása;
ii. fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
iii. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelése szolgáló eljárás alkalmazása,
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
A Labokraft Kft. az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A Labokraft Kft. az általa kezelt adatokat az irányadó jogszabályoknak megfelelően tartja nyilván, biztosítva, hogy az adatokat csak azok a munkavállalók, és egyéb a Labokraft Kft. érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
A Labokraft Kft. az egyes adatkezelési tevékenység során megadott személyes adatokat más adatoktól elkülönítetten tárolja, azzal, hogy – összhangban a fent rendelkezéssel – az elkülönített adatállományokat kizárólag a megfelelő hozzáférési jogosultsággal rendelkező munkavállalók ismerhetik meg.
A Labokraft Kft. azon munkavállalóinak enged hozzáférést személyes adatokhoz, akik a kezelt személyes adatkörök tekintetében szóbeli, vagy írásbeli titoktartási nyilatkozat tételével vetették alá magukat az adatbiztonsági szabályok megtartásával kapcsolatos kötelezettségnek
A Labokraft Kft. az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére, több lehetséges adatkezelési megoldás esetén a személyes adatok magasabb szintű védelmét biztosító megoldást választja, kivéve, ha az aránytalan nehézséget jelentene.
b. A Labokraft Kft. informatikai nyilvántartásainak védelme
A Labokraft Kft. az informatikai nyilvántartásai tekintetében az adatbiztonság megvalósulásához a következő szükséges intézkedéseket foganatosítja:
i. Ellátja az általa kezelt adatállományokat számítógépes vírusok elleni állandó védelemmel (valós idejű vírusvédelmi szoftvert alkalmaz).
ii. Gondoskodik az informatikai rendszer hardver eszközeinek fizikai védelméről, beleértve az elemi károk elleni védelmet.
iii. Gondoskodik az informatikai rendszer jogosulatlan hozzáférés elleni védelméről, mind a szoftver mind a hardver eszközök tekintetében.
iv. Megteszi mindazokat az intézkedéseket, amelyek az adatállományok helyreállításához szükségesek, a biztonsági másolatok elkülönített, biztonságos kezelését végrehajtja.
v. A Labokraft Kft. papíralapú nyilvántartásainak védelme
A Labokraft Kft. a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
A Labokraft Kft. vezetője, munkavállalói és egyéb, a Labokraft Kft. érdekében eljáró személyek az általuk használt vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni, és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.
A Labokraft Kft. irodájához kulcsot csak a Labokraft Kft. vezetője, munkavállalói és egyéb, a Labokraft Kft. érdekében eljáró személyek részére ad.
10. Adatfeldolgozással kapcsolatos szabályok
Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg.
A Labokraft Kft. deklarálja, hogy az adatfeldolgozó tevékenysége során az adatkezelésre vonatkozó érdemi döntés meghozatalára kompetenciával nem rendelkezik, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
Az adatfeldolgozó részére az adatkezelési műveletek tárgyában adott utasítások jogszerűségéért a Labokraft Kft. felel.
A Labokraft Kft. kötelezettsége az érintettek számára az adatfeldolgozó személyéről, az adatfeldolgozás helyéről való tájékoztatás megadása.
A Labokraft Kft. az adatfeldolgozónak további adatfeldolgozó igénybevételére felhatalmazást nem ad.
A Labokraft Kft. adatkezelési szabályzata és tájákoztatója letölthető az ikonra kattintva .