Adatkezelési tájékoztató

 

Adatvédelmi és adatkezelési szabályzat

 

  1. A szabályzat célja

Jelen szabályzat célja, hogy rögzítse a „Yankee Hot-Dog” cégcsoport (Fast Food Sale Kft, Gastro Frozen Food Kft.) adatvédelmi és adatkezelési tevékenységét.

 

Jelen szabályozás feladata, hogy a cégek tevékenységét megfeleltesse az Európai Parlament és Tanács 2016/679 rendeletének (GDPR rendelet). A szabályozás további feladata, hogy a cégcsoport partnereinek az ügyviteli szoftverben regisztrált adatait, a magánélet biztonsága, illetve más, alapvető szabadságjogok biztosítása érdekében a cégcsoport rendes működése során tiszteletben tartsa, illetve védelmezze.

Adatkezelők a cégcsoport keretein belül:

Gastro Frozen Food Kft

8000, Székesfehérvár, Fecskeparti út 13.

23893269-2-07

Fast Food Sale Kft.

1107, Budapest, Mázsa utca 9.

25074262-2-42

 

  1. Fogalmak meghatározása

 

Jelen szabályozásban használt fogalmak meghatározásai (úgy, mint adatkezelő, személyes adat, adatfeldolgozás, stb.) követik az Európai Tanács 2016/679 rendeletében foglaltakat.

 

  1. Az adatkezelés jogalapja, megvalósulása

 

 A Yankee Hot-Dog cégcsoport, mint adatkezelő célja az adatfeldolgozás során, hogy a személyes adatok minél szűkebb körét kezelje. A Yankee Hot-Dog cégcsoport tevékenysége során az esetek döntő többségében nyilvánosan elérhető adatokat (pl. e-cegjegyzek.hu) használ fel a cégcsoport partnereivel történő együttműködés céljából. Ennek oka, hogy a folytatott tevékenység nem a cégcsoport, illetve más magánszemélyek között, hanem a cégcsoport, és más cégek között valósul meg. A Yankee Hot-Dog cégcsoport magánszemélyeket nem szolgál ki. Az adatkezelés során csak és kizárólag olyan esetben merülhet fel személyes adatok regisztrálása és tárolása, amennyiben annak a cégcsoport üzletmenetének megvalósulása céljából relevanciája van. Ez a következő esetekben lehetséges:

  • magántelefonszámok és email címek regisztrálása az ügyviteli szoftverbe, amennyiben a partnercég elérhetőségei között nem szerepel a partnercégnél kimondottan az ügymenet céljából használt telefonszám, email cím
  • munkavállalókkal történő szerződéskötést követően, mivel a munkaviszony létrejötte a személyes adatok regisztrálását és tárolását szükségessé teszi
  • magánemail címek és telefonszámok regisztrálása és tárolása a Cégcsoport által használt levelezőrendszerben, amennyiben valamilyen oknál fogva a kommunikáció ezeket az információkat tartalmazza

 

  1. A személyes adatok védelme érdekében tett intézkedések

 

A cégcsoport a személyes adatokat csak direkt marketing tevékenysége során (csoportos SMS, telefonos marketing, hírlevél formájában) használja fel, azokat harmadik fél részére semmilyen módon nem közvetíti. Az üzletmenet szempontjából az Európai Parlament és Tanács 2016/679 rendeletének legérzékenyebb pontjai, a különleges adatok (vallási, etnikai hovatartozás, szexuális irányultság) semmiképpen nem képezik részét bármilyen jellegű adatfeldolgozásnak. Emellett a Cégcsoport nem veszi igénybe egy olyan cég szolgáltatásait sem, mely során a célcsoport meghatározását követően célzott hirdetés valósulhat meg.

A beérkezett önéletrajzokat egy évig tároljuk, majd töröljük a rendszerből. Az egy éven belüli törlést az alábbi e-mail címen tudja kérvényezni: info@yankeehotdog.com.

A cég weboldala, amennyiben az üzleti kapcsolat, azaz a rendelés felvétele ezen a felületen valósul meg, semmilyen személyes adat megadását nem teszi szükségessé, így se nem regisztrálja, se nem kezeli azt.

A Cégcsoport a Brics ERP ügyviteli szoftverben tárolt személyes adatokat semmilyen esetben nem adja ki harmadik félnek, azt a cég üzleti titkaként kezeli. Ebben az esetben a Cégcsoport magatartása a 2016/679-es rendelettől függetlenül is megfelel az abban foglaltaknak. Ez alól kivételt képeznek azok az esetek, ahol valamely hatóság számára, hivatalos állami tevékenység részeként kerülnek az adatok kiadásra.

A Cégcsoport telephelyén zárt kamerarendszer működik, melynek célja bármely, esetlegesen bekövetkező bűncselekmény kivizsgálásának megkönnyítése. A kamerarendszer működtetéséről a telephelyre érkezőket táblás jelzések tájékoztatják. A kamerarendszer nem a dolgozók teljesítményének értékelését szolgálja. A kamerarendszer felvételeit a Cégcsoport korlátozott ideig (72 óra) tárolja, azt semmilyen esetben nem adja ki harmadik félnek. Ez alól kivételt képeznek azok az esetek, ahol valamely hatóság számára, hivatalos állami tevékenység részeként kerülnek az adatok kiadásra.

A Cégcsoport ilyen értelemben vett magatartásáról az adatkezelést végző alkalmazottak tájékoztatást kaptak, betartásuk a munkakörük része.

A Brics ERP ügyviteli szoftverbe való külső belépés nem lehetséges, a felhasználókat jelszavak azonosítják, az ügyviteli szoftverben végzett tevékenységük nyomon követhető. Kockázatelemzés tekintetében a Cégcsoport adatbázisa nem veszélyeztetett a tárolt adatok jellegéből kifolyólag, incidens nem valószínű.

 

  1. Jogorvoslati lehetőségek

 

Mivel a Cégcsoport adatgyűjtése, illetve tárolása nem magánszemélyekre vonatkozik, így azok előfordulása a Brics ERP ügyviteli szoftverben elenyésző, megvalósulás esetén nem képezi részét a Cégcsoport rendes ügymenetének. A Cégcsoport üzleti partnerei ettől függetlenül tájékoztatást kérhetnek a személyes adataik meglétéről, felhasználásáról, illetve a tárolt információkról a Cégcsoport bármely elérhetőségén. A Cégcsoport üzleti partnerei, amennyiben azok részét képezik a tárolt partneri információknak, kérhetik személyes adataik törlését, illetve módosítását, amit a Cégcsoport a kérésnek megfelelően haladéktalanul végrehajt. A Cégcsoport üzletpolitikája szerint a személyes adatok feletti rendelkezési jog azok birtokosát illeti meg, így a módosítást és a törlést azon esetekben is elvégzi, amennyiben a magánszemély nem hivatkozik az adataival való visszaélésre. Kivételt képeznek ez alól azon esetek, ahol a személyes adatok törlése valamilyen okból kifolyólag nem lehetséges (pl. munkaviszony). Ezen esetekben az adatkezelés jogszerű, mivel szerződéskötés keretében valósul meg.

A Cégcsoport Európai Parlament és Tanács 2016/679 rendeletének történő belső szabályzati megfelelést éves szinten felülvizsgálja az esetlegesen bekövetkező szükséges módosítások elvégzése céljából.

(14)   A természetes személyeket a személyes adataik kezelésével kapcsolatban e rendelet alapján nyújtott védelem állampolgárságuktól és lakóhelyüktől függetlenül megilleti. E rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

(18)   Ez a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon törté ő kapcsolattartás és online tevékenységek. E rendeletet kell alkalmazni azonban azokra az adatkezelőkre és adatfeldolgozókra, akik a személyes adatok ilyen személyes vagy otthoni tevékenység keretében végzett kezeléséhez az eszközöket biztosítják.

(32)   Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.

(39)   A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

(44)   Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

(81) Annak biztosítása érdekében, hogy az e rendeletben az adatfeldolgozó által az adatkezelő nevében elvégzendő adatkezelésre vonatkozóan előírt követelmények teljesüljenek, ha az adatkezelő adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is. Az adatkezelő kötelezettségei teljesítésének bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz. Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is. Az adatkezelő és az adatfeldolgozó dönthet egyedi szerződés vagy általános szerződési feltételek alkalmazása mellett, mely utóbbiakat vagy közvetlenül a Bizottság, vagy az egységességi mechanizmus alapján valamely felügyeleti hatóság, majd pedig a Bizottság fogad el. Az adatkezelésnek az adatkezelő nevében való elvégzését követően az adatfeldolgozó az adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

26. cikk

Közös adatkezelők

(1)   Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2)   Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3)   Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.