Adatvédelmi szabályzat 2018.
ADATVÉDELMI SZABÁLYZAT
2018.
Szervezet neve: MASA Könyvelő és Rendszerfejlesztő Kft.
Székhelye: 1039 Budapest, Deák utca 5.
Adószáma: 12959561-2-41
Képviseletre jogosult személy(ek) neve: Krajcsik Mihály
Jelen szabályzat felülvizsgálata és karbantartása a jogszabályi változások függvényében évente
történik.
Hatályba lépett: ___2018.05.25._____
Alkalmazandó: ___2018.05.25._____ -től
1
www.masa.hu/
Adatvédelmi szabályzat 2018.
TARTALOMJEGYZÉK
I. A SZABÁLYZAT CÉLJA
II. A SZABÁLYZAT HATÁLYA
1. Személyi hatály
2. Időbeli hatály
III. FOGALOMMEGHATÁROZÁSOK
IV. ALAPELVEK
V. AZ ADATKEZELÉS JOGALAPJA
1. Az érintett hozzájárulása
2. Szerződés teljesítése
3. Az adatkezelőre vonatkozó jogi kötelezettség teljesítése, vagy az érintett, illetve más
természetes személy létfontosságú érdekeinek védelme
4. Közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának
keretében végzett feladat végrehajtása, az adatkezelő vagy egy harmadik fél jogos
érdekeinek érvényesítése.
VI. AZ ADATOK MEGISMERÉSÉRE JOGOSULTAK KÖRE
VII. AZ ÉRINTETT SZEMÉLY JOGAI
1. Tájékoztatáshoz való jog
2. Az érintett hozzáférési joga
3. Az érintett helyesbítéshez és törléshez való joga
3.1. A helyesbítéshez való jog
3.2. A törléshez való jog („az elfeledtetéshez való jog”)
4. Az adatkezelés korlátozásához való jog
5. A személyes adatok helyesbítéséhez, vagy törléséhez, illetve az adatkezelés
korlátozásához kapcsolódó értesítési kötelezettség
6. Az adathordozhatósághoz való jog
7. A tiltakozáshoz való jog
8. Az automatizált döntéshozatal alóli mentesség joga
9. Az érintett panasztételhez és jogorvoslathoz való joga
9.1. A felügyeleti hatóságnál történő panasztételhez való jog.
9.2. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
9.3. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági
jogorvoslathoz való jog
10. Korlátozások
11. Az adatvédelmi incidensről történő tájékoztatás
VIII. AZ ÉRINTETT KÉRELME ESETÉN ALKALMAZANDÓ ELJÁRÁS
IX. ADATVÉDELMI INCIDENS (PERSONAL DATA BREACH) ESETÉN
ALKALMAZANDÓ ELJÁRÁS
X. A VÁLLALKOZÁS MUNKAVISZONNYAL KAPCSOLATBAN FOLYTATOTT
ADATKEZELÉSI TEVÉKENYSÉGEI
1. A Munkaviszony létesítését megelőzően folytatott adatkezelés
1.1. A munkavállalók felvételére irányuló pályáztatási eljárás során folytatott
adatkezelés
1.2.Munkakörre való alkalmassági vizsgálat során végzett adatkezelés
2. A munkaviszony fennállása alatt folytatott adatkezelés
2.1. Munkaügyi nyilvántartás keretében folytatott adatkezelés
2
www.masa.hu/
Adatvédelmi szabályzat 2018.
2.2. A munkavállaló munkaviszonnyal összefüggő magatartásának ellenőrzése
2.2.1. A Vállalkozás által a munkavállaló rendelkezésére bocsátott e-mail fi-
ók használatával kapcsolatos adatkezelés
2.2.2. Munkavállaló rendelkezésére bocsátott laptop, tablet, telefon haszná-
lat ellenőrzése
2.2.3. A munkavállaló munkahelyi internethasználatának ellenőrzése
2.2.4. A munkavállalókra vonatkozó eseti adatkezelés
XI. ADATKEZELÉSSEL ÉRINTETT EGYÉB TEVÉKENYSÉGEK ÉS KEZELT
ADATKÖRÖK
1. Jogi kötelezettségen alapuló adatkezelés
1.1. Pénzmosás elleni kötelezettségek teljesítéséhez kapcsolódó adatkezelés
1.2. Számviteli kötelezettségek teljesítéséhez szükséges adatkezelés
1.3. Adó- és járulékkötelezettségek teljesítéséhez kapcsolódó adatkezelés
2. Információkérés, ajánlatkérés során végzett adatkezelés
3. A Vállalkozás által üzemeltetett weboldallal összefüggő adatkezelés
3.1. A Vállalkozás honlapjára látogatók adataival kapcsolatos tájékoztatás
4. Szerződés teljesítésével kapcsolatos adatkezelési tevékenység
XII. AZ ADATFELDOLGOZÁSSAL KAPCSOLATOS SZABÁLYOK
1. Az adatfeldolgozással kapcsolatos általános szabályok
2. A Vállalkozás által ellátott adatfeldolgozói tevékenység
XIII. AZ ADATBIZTONSÁGRA VONATKOZÓ RENDELKEZÉSEK
1. Az adatbiztonság megvalósításának elvei.
2. A Vállalkozás informatikai nyilvántartásainak védelme
3. A Vállalkozás papíralapú nyilvántartásainak védelme
XIV. EGYÉB RENDELKEZÉSEK
MELLÉKLETEK
1. AZ ADATFELDOLGOZÓK NYILVÁNTARTÁSA
2. WEBOLDAL ADATKEZELÉSI TÁJÉKOZTATÓ
3. MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK NYILVÁNTARTÁSA
4. ADATVÉDELMI INCIDENSEK NYILVÁNTARTÁSA
5. ADATVÉDELMI INCIDENS BEJELENTÉS
3
www.masa.hu/
Adatvédelmi szabályzat 2018.
I. A SZABÁLYZAT CÉLJA
Jelen szabályzat célja a Vállalkozásunk adatvédelmi és adatkezelési politikáját rögzítő belső
szabályok megállapítása AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679
RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK
rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) által meghatározott
adatvédelmi és adatkezelési rendelkezések betartásával, melyek érvényesítésével a Vállalkozás
valamennyi tevékenysége, szolgáltatásának igénybevétele során biztosítja az érintettek személyes
adatok védelméhez való jogának tiszteletben tartását az érintettek személyes adatainak
feldolgozása, illetőleg kezelése során.
A Vállalkozás jelen szabályzat elfogadásával deklarálja a AZ EURÓPAI PARLAMENT ÉS A
TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) - továbbiakban „Rendelet” - 5. cikkében
foglalt személyes adatok kezelésére vonatkozó elvek betartását.
II. A SZABÁLYZAT HATÁLYA
1. Személyi hatály
Jelen szabályzat hatálya a Vállalkozásra és azon természetes személyekre terjed ki, akikre az
adatkezelési tevékenysége kiterjed. A jelen szabályzatban rögzített adatkezelési tevékenység
természetes személyek személyes adataira irányul. A szabályzat hatálya nem terjed ki az olyan
személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra
vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját,
valamint a jogi személy elérhetőségére vonatkozó adatokat. Jogi személy az egyesület, a gazdasági
társaság, a szövetkezet, az egyesülés és az alapítvány.
2. Időbeli hatály
Jelen szabályzat időbeli hatálya a megállapításának napjától további rendelkezésig, vagy a
szabályzat visszavonásának napjáig áll fenn.
III. FOGALOMMEGHATÁROZÁSOK
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó
bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon,
különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a
természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális
azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés,
rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás,
közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás
vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük
korlátozása céljából;
4
www.masa.hu/
Adatvédelmi szabályzat 2018.
4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek
során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők
értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz,
személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez
vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;
5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében
további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat
mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön
tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy
azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált
vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott
ismérvek alapján hozzáférhető;
7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal
együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza
meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy
a tagállami jog is meghatározhatja;
8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.
Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal
összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok
e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az
alkalmazandó adatvédelmi szabályoknak;
10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy
azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a
személyes adatok kezelésére felhatalmazást kaptak;
11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a
megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő
személyes adatok kezeléséhez;
12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más
módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire
vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi
állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes
személyből vett biológiai minta elemzéséből ered;
5
www.masa.hu/
Adatvédelmi szabályzat 2018.
14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire
vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi
vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a
daktiloszkópiai adat;
15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára
vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi
szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy
egészségi állapotáról;
16. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a
jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő
társaságokat és egyesületeket is.
IV. ALAPELVEK
(1) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése
érdekében kezelhető.
(2) Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok
felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan
személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen,
a cél elérésére alkalmas.
(3) A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
(4) A Vállalkozás lerögzíti, hogy az általa kezelt személyes adatokat székhelyén tárolja
elektronikus állomány formájában, illetve papír alapú dokumentumokon az adatbiztonságra
vonatkozó jogszabályi előírások megtartása mellett. Jelen rendelkezés valamennyi, a
Vállalkozás által végzett adatkezelési- és adatfeldolgozói tevékenység tekintetében
érvényes.
V. AZ ADATKEZELÉS JOGALAPJA
1. Az érintett hozzájárulása
(1) A személyes adatok kezelése jogszerűségének az érintett hozzájárulásán kell alapulnia, vagy
valamely egyéb jogszerű, jogszabály által megállapított alappal kell rendelkeznie.
(2) Az érintett hozzájárulása alapján történő adatkezelés esetén az érintett a személyes adatainak
kezeléséhez való hozzájárulását a következő formában adhatja meg:
a) írásban, személyes adatkezeléshez hozzájárulást adó nyilatkozati formában,
b) elektronikus úton, a Vállalkozás internetes weboldalán megvalósított kifejezett
magatartásával, jelölőnégyzet kipipálásával, vagy ha az információs társadalommal
összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt
végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott
összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez
egyértelműen jelzi.
(3) A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.
(4) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési
tevékenységre kiterjed.
6
www.masa.hu/
Adatvédelmi szabályzat 2018.
(5) Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési
célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja
meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül
azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.
(6) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás
visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A
hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását
ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
2. Szerződés teljesítése
(1) Az adatkezelés jogszerűnek minősül, ha az olyan szerződés teljesítéséhez szükséges,
amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett
kérésére történő lépések megtételéhez szükséges.
(2) A szerződés teljesítéséhez nem szükséges személyes adatok kezeléséhez való érintetti
hozzájárulás nem lehet feltétele a szerződéskötésnek.
3. Az adatkezelőre vonatkozó jogi kötelezettség teljesítése, vagy az érintett, illetve más
természetes személy létfontosságú érdekeinek védelme
(1) Az adatkezelés jogalapját jogi kötelezettség teljesítése esetén törvény határozza meg, így az
érintett hozzájárulása az személyes adatainak kezeléséhez nem szükséges.
(2) Az adatkezelő köteles tájékoztatni az érintettet az adatkezelés céljáról, jogalapjáról,
időtartamáról az adatkezelő személyéről, továbbá a jogairól, a jogorvoslati lehetőségekről.
(3) Az adatkezelő jogi kötelezettség teljesítése címén az érintett hozzájárulásának visszavonását
követően jogosult kezelni azon adatkört, amely valamely rá vonatkozó jogi kötelezettség
teljesítése végett szükséges.
4. Közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében
végzett feladat végrehajtása, az adatkezelő vagy egy harmadik fél jogos érdekeinek
érvényesítése.
(1) Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik –
vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy
az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe
véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos
érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat