1. Bevezetés Jelen adatvédelmi szabályzatot a ComLift2000 KFT adja ki adatkezelési tevékenysége szabályozása céljából. A szabályzat rendszeresen aktualizálásra kerül a hatályos hazai és Európai Uniós jogszabályoknak való folyamatos megfelelés érdekében. 2. Az adatkezelő adatai Adatkezelő megnevezése: ComLift2000 Szolgáltató Korlátolt Felelősségű Társaság (továbbiakban: ComLift2000 Kft) Székhelyünk címe: 2351 Alsónémedi, RaktárAD u. 3. D/2 Hibabejelentő és irodai telefonszámunk: +36208513608 Email: office (“kukac” ill. @ ) comlift2000.hu Honlap: https://www.comlift2000.hu Cégjegyzék szám: 13 09 089210 Az adatvédelemi tevékenységeket összefogó Kiss Péter ügyvezető igazgató 3. A szabályzat célja Jelen adatkezelési szabályzat célja, hogy meghatározza a ComLift2000 Kft által kezelt személyes adatokkal kapcsolatos legfontosabb szabályokat, az adatkezelésekre vonatkozó információkat és alapelveket. Az adatvédelmi szabályzat célja elsősorban annak biztosítása, hogy a megfeleljünk a hatályos jogszabályok adatvédelemmel kapcsolatos rendelkezéseinek, így különösen, de nem kizárólagosan az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról szóló 2008. évi XLVII. törvény, a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény rendelkezéseinek 4. A szabályzat hatálya 4.1 Időbeli hatály Jelen szabályzat utolsó módosítása 2021 Január 6-án történt. 4.2 Személyi hatály Jelen szabályzat hatálya kiterjed az Adatkezelőre (ComLift2000 Kft) az adatkezelő Munkavállalóira és Partnereire; valamint minden további természetes személyre, akinek adatait e szabályzat hatálya alá tartozó adatkezelések érintik. 4.3 Tárgyi hatály Jelen szabályzat hatálya kiterjed az Adatkezelő bármely szervezeti egységében folytatott, személyes adatokat érintő adatkezelésre, függetlenül attól, hogy az elektronikusan és/vagy papíralapon történik. 5. Tájékoztatás az adatkezelésről Az adatkezelő kötelessége tájékoztatni az érintetteket személyes adataik kezeléséről. Jelen szabályzat elválaszthatatlan részét képezik a mellékletekben található adatvédelmi tájékoztatók. A tájékoztatók részletesen tartalmazzák az egyes adatkezelésekre vonatkozó fontos információkat, így az adatkezelési tevékenység és a folyamat leírását, az érintettek megnevezését, a kezelt adatok körét, az adatok megőrzésének előre látható időtartamát, az adatkezelések jogalapját és céljait. A tájékoztatók tartalmazzák az adatok biztonsága érdekében alkalmazott szabályokat, az érintettek jogait és jogérvényesítési lehetőségeit. Jelen adatkezelési szabályzat kizárólag ezekkel az információkkal együtt érvényes. 6. Az adatkezelés alapvető elvei A személyes adatok: kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”); gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet („célhoz kötöttség”); az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”); pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”); tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”); kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). Az adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”). 7. Felelősségek A ComLift2000 Kft. az adatkezelési tevékenységeiről nyilvántartást készített, mely adatcélonként tartalmazza az adatkezelési tevékenységeket és a hozzájuk kapcsolódó információkat (az adatkezelési tevékenység megnevezését és célját, az érintetteket, adat forrását, adatfajtákat, adatkezelés alapját (pl. hozzájárulás, szervezet jogos érdeke, jogszabály), a tárolási időt, a tárolás módját, az adattovábbítás címzetteit (ha vannak)). Valamennyi adatkezelési tevékenység esetén meghatároztunk felelőst, aki érdemi döntéseket tud hozni az adatkezeléssel kapcsolatosan. A tevékenységünk során végrehajtandó adatkezelési tevékenységeket (pl. érintettek tájékoztatása, hozzájárulás megszerzése) beépítettük folyamatainkba. A ComLift2000 Kft. szervezetén belül a kezelt személyes adatokat – a feladat elvégzéséhez szükséges mértékben és ideig – csak az üggyel érintett szervezeti egység munkavállalói ismerhetik meg és használhatják fel, feltéve, hogy a személyes adatok megismerése nélkül az ügyben érdemben eljárni nem lehet. A ComLift2000 Kft. felelős azért, hogy minden adatkezelést végző munkavállalója megismerje jelen szabályzat rendelkezéseit. A szabályzat rendelkezéseinek betartását (általában az integrált irányítási rendszer auditokkal összevonva) rendszeresen ellenőrizni kell. 8. Érintett jogainak biztosítása Az érintettek az adatvédelmi tájékoztatókban meghatározott csatornákon keresztül jelezve élhetnek jogaikkal. A megkereséseket az adatvédelemmel foglalkozó munkatárs fogadja. A kérés teljesítésébe bevonja az adatkezelésben érintett felelősöket. 9. Adatbiztonság Az adatok védelmével, biztonságával kapcsolatos rendelkezéseket a ComLift2000 Kft. információbiztonsági szabályzata tartalmazza. 10. Incidensek kezelése 10.1 Az adatvédelmi incidens fogalma Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. 10.2 Eljárás adatvédelmi incidens esetén Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. Ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése, vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a személyazonossággal való visszaélés, a pénzügyi veszteség, a jó hírnév sérelme, stb. 10.2.1. Bejelentés Az adatkezelő feladata, hogy amint tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül bejelentse a NAIH felé. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. A bejelentésben ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Amennyiben az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, a bejelentéstől el lehet tekinteni. 10.2.2. Értesítés Abban az esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő az érintetteket is indokolatlan késedelem nélkül tájékoztatja, annak érdekében, hogy megtehessék a szükséges óvintézkedéseket. Az érintettnek nyújtott tájékoztatás közérthető formában kell, hogy tartalmazza a NAIH felé teljesítendő bejelentésre vonatkozóan a 10.2.1 pontban leírt információkat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást. Az érintetteket a 4. sz. mellékletben található minta felhasználásával kell tájékoztatni. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül: 1. az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket 2. az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása 3. amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; 4. az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn; 5. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Felelősségek Az adatkezelő bármely munkatársa, aki adatvédelmi incidenst észlel, köteles arról haladéktalanul értesíteni az adatvédelmi munkatársat. Az adatvédelmi munkatárs és az IT vezető gondoskodik a 10.2.1 pontban meghatározott feladatok végrehajtásáról, valamint nyilvántartásba veszi az incidenst (5. sz. melléklet). Az adatvédelmi munkatárs és az IT vezető ezek mellett haladéktalanul intézkedik, hogy adatkezelő érintett munkatársai megtegyenek minden lehetséges lépést, amivel az érintett személyes adatok biztonságának és jogszerű kezelésének visszaállítása garantálható. 1. sz. melléklet: A MUNKAVÁLLALÓK SZEMÉLYES ADATAINAK KEZELÉSE 2 sz. melléklet: A PARTNEREK SZEMÉLYES ADATAINAK KEZELÉSE 3. sz. melléklet: A JELENTKEZŐK SZEMÉLYES ADATAINAK KEZELÉSE 4. sz. melléklet: ÉRTESÍTÉS ADATVÉDELMI INCIDENSRŐL 5. sz. melléklet: ADATVÉDELMI INCIDENS NYILVÁNTARTÁS 4. sz. melléklet: Értesítés adatvédelmi incidensről ÉRTESÍTÉS ADATVÉDELMI INCIDENSRŐL A ComLift2000 Kft., mint Adtakezelő (Székhely: Budapest 1238 Szentlőrinci út 17/A, Cégjegyzék szám: 13 09 089210, E-mail office at comlift200.hu Képviselője: Kiss Péter a következőkről értesíti: …………………….. napon az Ön személyes adatait is érintő incidens történt. Az események leírása: Az érintettek kategóriái és hozzávetőleges száma: Az érintett adatok kategóriái és hozzávetőleges száma: Az incidensből eredő, valószínűsíthető következmények: Az incidens orvoslására tett vagy tervezett intézkedések: Kelt: …………………….. …………………………….. aláírás Legutóbbi módosítás: 2021.01.06. Incidens időpontja Incidens leírása Érintettek kategóriái Az incidens hatásai Megtett intézkedések bejelentés időpontja (NAIH) Értesítés időpontja (érintettek) 5. sz. melléklet: Adatvédelmi incidens nyilvántartás Adatvédelmi incidens nyilvántartás A nyilvántartás vezetéséért felelős személy: a mindenkori adatvédelmi munkatárs