Adatvédelmi szabályzat
Adatkezelési Tájékoztató
Adatkezelési Tájékoztatónk az Európai Unió 2016/679 számú Általános Adatvédelmi Rendelete (a továbbiakban: „Rendelet” vagy „GDPR”) és a 2011. évi CXII. tv. (a továbbiakban: „Infotv”.) alapján tartalmazza honlapunk adatkezelésével kapcsolatos érdemi információkat.
Amennyiben adatkezelésünkkel kapcsolatban további kérdése merül fel, kérjük forduljon hozzánk bizalommal!
1. Vonatkozó jogszabályok:
Jelen Adatkezelési Tájékoztató a Magyarországon hatályos jogszabályok alapján készült el, különös tekintettel az alábbiakban szereplő jogszabályokra:
1.1. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR);
1.2. 2000. évi C. törvény – a számvitelről (Számv. tv.);
1.3. 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információ-szabadságról (Infotv.);
1.4. 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
1.5. 2013. évi CCXXXVII. törvény – a hitelintézetekről és a pénzügyi vállalkozásokról (Hpt.);
1.6. 19/2014. (IV. 29.) NGM rendelet a fogyasztó és vállalkozás közötti szerződés keretében eladott dolgokra vonatkozó szavatossági és jótállási igények intézésének eljárási szabályairól;
1.7. 2017. évi LIII. törvény – a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.).
2. Adatkezelő
2.1. Név: Roastar Zrt.
2.2. Székhely:8154 Polgárdi, Kávé utca 1.
2.3. Cégjegyzékszám: 07-10-001635
2.4. Levelezési cím: 8154 Polgárdi, Kávé utca 1.
2.5. Weboldalak: www.roastcoffee.hu; www.shop.roastcoffee.hu
2.6. Adatvédelmi felelős neve: Nagy-György Zoltán
2.7. E-mail: info(kukac)roastcoffee.hu
3. Tárhelyszolgáltatók:
3.1. Név: Webflow, Inc.
3.2. Levelezési cím: San Francisco, CA 94103 398 11th Street, 2nd Floor
3.3. E-mail cím: privacy@webflow.com
3.4. Webflow privacy policy: https://webflow.com/legal/eu-privacy-policy
3.5. Név: Shopify International Limited
3.6. Levelezési cím: 2nd Floor, 1-2 Victoria Buildings Haddington Road Dublin 4, D04 XN32, Ireland
3.7. E-mail cím: privacy@webflow.com
3.8. Shopify privacy policy: https://www.shopify.com/legal/privacy
4. A kezelt személyes adatok köre
Az Adatkezelő a információs form valamint a megrendelési folyamat kitöltése és kezelése során megadott személyes adatokat kezeli, melyek a következők:
- név – vezetéknév és keresztnév
- e-mail cím
- telefonszám
- szállítási cím
- számlázási cím
5. A cookie-k használatával kapcsolatos tájékoztatás
5.1. Mi a cookie?
A cookie-k, azaz a sütik információkat gyűjtenek a honlapunk látogatóiról és használt eszközeikről, melyek segítségével növelni tudjuk weboldalunk felhasználói élményét és könnyebbé teszik a használatot, mivel megjegyzik az egyéni beállításokat.
5.2. A cookie-k jogszabályi háttere
Az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés a) pontja alapján az Ön hozzájárulása.
5.3. A honlap által használt cookie-k
5.3.1. Működéshez elengedhetetlen cookie-k
Ezek a cookie-k teszik lehetővé honlapunk zavartalan működését és a megfelelő felhasználói élmény melletti használatát. Ezek hiányában a honlapunk bizonyos funkciói nem működnek megfelelő módon, így felhasználóink nem megfelelő minőségben tudják megtekinteni honlapunkat. A honlap működéséhez elengedhetetlen cookie-k élettartama az adott munkamenetre korlátozódik.
5.3.2. Statisztikai célú cookie-k
A statisztikai célú cookie-k nem gyűjtenek személyes információkat a felhasználóról, hanem teljesítmény javítás céljából figyelik, hogy felhasználóink milyen típusú hibákkal találkoznak, illetve milyen weboldalhasználattal rendelkeznek. Ezen cookie-k névtelenül gyűjtik az információkat, melyeket fejlesztési célból kerülnek hasznosításra.
5.3.3. Marketing célú cookie-k
Marketing célú cookie-kat harmadik fél helyezi el weboldalunkon.
Google Adwords cookie Amikor valaki meglátogatja az oldalunkat, a látogató cookie-azonosítója hozzáadódik a remarketinglistához. A Google cookie-kat – például a NID és SID cookie-kat – használ a Google-termékekben, így például a Google Keresésben látható hirdetések testreszabásához. Az ilyen cookie-kat például arra használja, hogy megjegyezze az Ön legutóbbi kereséseit, az egyes hirdetők hirdetéseivel vagy a keresési eredményekkel való korábbi interakcióit, továbbá a hirdetők webhelyein tett látogatásait. Az AdWords konverziókövetés funkciója cookie-kat használ. A hirdetésből eredő értékesítések és egyéb konverziók követésére cookie-kat ment a felhasználó számítógépére, amikor az adott személy egy hirdetésre kattint. A cookie-k néhány gyakori alkalmazási módja: a hirdetések kiválasztása annak alapján, hogy mi a releváns az adott felhasználó esetén, a kampányok teljesítményéről szóló jelentések tökéletesítése, és a felhasználó által már megtekintett hirdetések megjelenítésének elkerülése.
Google Analytics cookie: A Google Analytics a Google elemző eszköze, amely abban segít a weboldalak és alkalmazások tulajdonosainak, hogy pontosabb képet kapjanak látogatóik tevékenységeiről. A szolgáltatás cookie-kat használhat, hogy információkat gyűjtsön és jelentést készítsen a weboldal használatára vonatkozó statisztikai adatokból anélkül, hogy egyénileg azonosítaná a látogatókat a Google számára. A Google Analytics által használt fő cookie a „__ga” cookie. A webhelyhasználati statisztikai adatokból készülő jelentések mellett a Google Analytics – az előbbiekben ismertetett néhány hirdetési cookie-val együtt – felhasználható arra is, hogy relevánsabb hirdetéseket jelenítsünk meg a Google-termékekben (például a Google Keresésben) és szerte az interneten.
Remarketing cookiek-k: A korábbi látogatók vagy felhasználók számára a Google Display Hálózaton található egyéb webhelyeken való böngészés, illetve termékeivel vagy szolgáltatásaival kapcsolatos kifejezések keresésekor jelenhetnek meg
Munkamenet cookie: Ezek a sütik a látogató tartózkodási helyét, a böngésző nyelvét, a fizetés pénznemét tárolják, élettartamuk a böngésző bezárása, vagy maximum 2 óra.
Mobil verzió, design cookie: Érzékeli a látogató használt eszközt, és mobilon átvált teljes nézetre. Élettartama 365 nap.
Cookie elfogadás cookie: Az oldalra érkezéskor a figyelmeztető ablakban elfogadja a cookiek tárolásáról szóló nyilatkozatot. Élettartama 365 nap.
Facebook pixel (Facebook cookie): A Facebook-képpont olyan kód, amelynek a segítségével a honlapon jelentés készül a konverziókról, célközönségek állíthatók össze, és az oldal tulajdonosa részletes elemzési adatokat kap a látogatók honlap használatáról. A Facebook pixel segítségével a weboldal látogatóinak személyre szabott ajánlatokat, hirdetéseket jeleníthet meg a Facebook felületén. A Facebook adatkezelési szabályzatát itt tanulmányozhatja: https://www.facebook.com/privacy/explanation
Amennyiben Ön nem fogadja el a cookie-k használatát, akkor bizonyos funkciók nem lesznek elérhetőek az Ön számára. A cookie-k törléséről bővebb tájékoztatást az alábbi linkeken találhat:
● Microsoft Edge edge://settings/content/cookies
● Firefox: https://support.mozilla.org/en-US/kb/cookies-information-websites-store-on-your-computer
● Mozilla: https://support.mozilla.org/hu/kb/weboldalak-altal-elhelyezett-sutik-torlese-szamito
● Safari: https://support.apple.com/kb/ph21411?locale=en_US
● Chrome: https://support.google.com/chrome/answer/95647
6. Kapcsolatfelvétel
Amennyiben honlapunk használatával, vagy termékeinkkel, szabályzatainkkal kapcsolatban kérdése merül fel, kérjük keressen minket bizalommal a jelen tájékoztató 1. pontjában megadott elérhetőségeinken. Az Adatkezelő minden hozzá beérkezett e-mailt, üzenetet a személyes adatokkal együtt az adatközléstől számított legfeljebb 3 év elteltével töröl.
6.1. Kezelt adatok: Az Ön által a kapcsolatfelvétel során megadott adatok.
6.2. Az adatkezelés időtartama: Az adatokat csak a kapcsolatfelvétel során kezeljük.
6.3. Az adatkezelés jogalapja: Az Ön önkéntes hozzájárulása, amit a kapcsolatfelvétellel ad meg Adatkezelő számára. [Rendelet 6. cikk (1) bekezdés a) pont szerinti adatkezelés].
7. Regisztráció honlapunkon
Honlapunkon keresztül való vásárlásnak a regisztráció nem feltétele.
8. Rendelés feldolgozása
A jelen oldalon történő kapcsolatfelvétel (kapcsolatfelvételi form) kitöltése nem tekinthető megrendelésnek, szerződéses jogviszony a kapcsolatfelvétel során nem alakul ki.
A shop.roastcoffee.hu oldalon leadott megrendelések azonban a megrendelés leadása és annak Eladó (Roastar Zrt.) általi elfogadása elektronikus úton, távollévők között megkötött szerződésnek minősül, amelyre a 2011/83/EU Irányelvben foglaltakkal összhangban az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvényben foglaltak megfelelően irányadóak. A Szerződés a megrendelésre adott automatikus visszaigazolás megérkezésével jön létre. A Felek között létrejövő Szerződés részévé válik a weboldalon elérhető Általános Szerződési Feltételek (továbbiakban: „ÁSZF”), melyet a Vevő a szerződés megkötése előtt köteles megismerni és a szerződést az ÁSZF tartalmát ismerve megkötni.
9. Marketing célú adatkezelések
9.1. A hírlevél-küldéssel kapcsolatos adatkezelés
Az adatkezelés célja hírlevelek küldése a felhasználó számára.
9.1.1. Kezelt adatok:
· név
· e-mail cím
· telefonszám (nem kötelező adat)
9.1.2. Az adatkezelés időtartama: Az érintett hozzájárulásának visszavonásáig.
9.1.3. Az adatkezelés jogalapja: A felhasználó önkéntes hozzájárulása, ami a hírlevélre történő feliratkozással ad meg az Adatkezelő számára [Rendelet 6. cikk (1) bekezdés a) pont szerinti adatkezelés].
9.2. A személyre szabott reklámok küldésével és megjelenítésével kapcsolatos adatkezelés
Az adatkezelés célja a felhasználó érdeklődési körébe tartozó reklámanyag küldése elektronikus úton.
9.2.1. Kezelt adatok:
· név
· e-mail cím
· telefonszám (nem kötelező adat)
9.2.2. Az adatkezelés időtartama: Az érintett hozzájárulásának visszavonásáig.
9.2.3. Az adatkezelés jogalapja: A felhasználó önkéntes, külön hozzájárulása, amit az adatfelvétel során ad meg az Adatkezelő számára [Rendelet 6. cikk (1) bekezdés a) pont szerinti adatkezelés].
10. További adatkezelések
Amennyiben az Adatkezelő további adatkezelést kíván végezni, tájékoztatja Önt az adatkezelés lényeges körülményeiről.
11. A személyes adatok címzettjei, adattovábbítás
11.1. A személyes adatok tárolására irányuló adatfeldolgozás
- Név: Roastar értékesítési vezető
- Székhely: 8154 Polgárdi, Kávé utca 1.
- E-mail cím: info(kukac)roastcoffee.hu
- Weboldal: www.roastcoffee.hu
11.2. Hírlevélküldéssel összefüggő adatfeldolgozói tevékenység
- Mailchimp e-mail marketing rendszer: www.mailchimp.com
- The Rocket Science Group LLC.
- Székhely: 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia 30308 (USA)
- Tevékenység: email küldés, analitikai és mérési szolgáltatás, profilalkotás
11.3. Google LLC
- Székhely: Google Data Protection Office, 1600 Amphitheatre Pkwy. Montain View, California 94043
- Tevékenység: hirdetés, analitikai és mérési szolgáltatás, viselkedésalapú reklám, profilalkotás
- Weboldal: www.google.com
11.4. Facebook Inc.
- Székhely: Menlo Park, California, USA
- Tevékenység: hirdetés, analitikai és mérési szolgáltatás, viselkedésalapú reklám, profilalkotás
- Weboldal: www.facebook.com
12. Az adatkezelés során Önt megillető jogok
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény alapján az érintett személyt az alábbi jogok illetik meg:
12.1. Tájékoztatáshoz való jog: Az Adatkezelő a jogszabályokban meghatározottak szerint az érintett rendelkezésére bocsátja a jogszabályokban előírt információkat abban az esetben is, ha az adott személyes adatot nem az érintett szolgáltatta.
12.2. Hozzáféréshez való jog: Az érintett jogosult arra, hogy az Adatkezelőtől információhoz jusson arra vonatkozóan, hogy személyes adatait milyen körben, milyen célra kezelik.
12.3. Helyesbítéshez való jog: Az érintett bármikor kérheti, hogy az Adatkezelő helyesbítse a rá vonatkozó pontatlan személyes adatokat, illetőleg a hiányos személyes adatait egészítse ki.
12.4. Törléshez való jog: Az érintett kérheti, hogy az Adatkezelő késedelem nélkül törölje a rá vonatkozó személyes adatokat, amely kérelem teljesítésének megtagadására csak a jogszabályok által meghatározott esetekben van lehetőség.
12.5. Korlátozáshoz való jog: Az érintett kérésére az Adatkezelő zárolja az adatkezelést, ha:
- az érintett vitatja a személyes adatai pontosságát. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze ezen személyes adatai pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi a személyes adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
12.6. A személyes adatok helyesbítéséről, törléséről, az adatkezelés korlátozásáról tájékoztatott címzettekről történő tájékoztatáshoz való jog: Az Adatkezelő minden olyan címzettet tájékoztat a személyes adatok érintett kérésre történő helyesbítéséről, törléséről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
12.7. Adathordozhatósághoz való jog: Az érintett jogosult arra, hogy az Adatkezelő által a hozzájárulásával kezelt, személyes adatokról információt szerezzen, a kezelt adatokat átláthatóan szerkesztett, számítógéppel olvasható formátumban rendelkezésére bocsátsa.
12.8. Tiltakozáshoz való jog: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okból tiltakozzon személyes adatainak az Adatkezelő, vagy egy harmadik fél jogos érdekei alapján végzett feladata végrehajtásához szükséges kezelése ellen.
12.9. Visszavonás joga: Az érintett jogosult arra, hogy az adatkezeléshez való hozzájárulását bármikor visszavonja.
12.10. Jogorvoslathoz való jog: Abban az esetben, ha az érintett szerint személyes adatainak kezelése nem a jogszabályi előírásoknak megfelelően történik, panasz tételére jogosult a Nemzeti Adatvédelmi- és Információszabadság Hatóság előtt, illetve bírósági jogorvoslat megindítását kezdeményezheti.
13. Jogorvoslati lehetőségek
Az érintett az adatkezelés jogszerűsége kapcsán a Nemzeti Adatvédelmi és Információszabadság Hatóság eljárását kezdeményezheti, illetőleg választása szerint a saját belföldi lakóhelye (belföldi tartózkodási helye) vagy az Adatkezelő székhelye szerinti törvényszékhez fordulhat.
Adatvédelmi Hatóság elérhetősége:
- Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
- Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
- Levelezési cím: 1530 Budapest, Pf.: 5.
- Telefon: 0613911400
- Fax: 0613911410
- E-mail: ugyfelszolgalat@naih.hu
- Honlap: http://www.naih.hu
14. Adatkezelési Tájékoztató módosítása
Az adatkezelő fenntartja a jogot a jelen Adatkezelési Tájékoztató megváltoztatására, illetve módosítására, melyről minden esetben tájékoztatja az érintetteket.
15. Adatvédelemi megfelelés
Adatainak védelme érdekében tett intézkedésekről és Adatkezelő vonatkozó megfelelési szabályairól részletesen tájékozódhat az Adatvédelmi Szabályzatunkban illetve esetleges kérdéseivel bármikor fordulhat hozzánk az alábbi elérhetőségeinken, ahol készséggel segítünk kérdései megválaszolásában:
A Roastar Zrt. elérhetőségei adatvédelmi kérdésekben:
Levelezési cím: 8154 Polgárdi, Kávé utca 1.
E-mail: info(kukac)roastcoffee.hu
Adatvédelmi Szabályzat
1. A Szabályzat hatálya
Jelen Szabályzat a Roastar Zrt. (székhely: 8154 Polgárdi, Kávé utca 1., cégjegyzékszám: 07-10-001635, a továbbiakban „Társaság”) székhelyén, minden telephelyén és tevékenységi körében személyes adatokkal végzett műveletre kiterjed.
2. A Szabályzat célja
A Szabályzat célja annak biztosítása, hogy a Társaság belső adatkezelése megfeleljen az irányadó jogszabályok rendelkezéseinek, meghatározza a Társaság által kezelt személyes adatok körét, az adatkezelés módját, célját és jogalapját, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését.
3. Irányadó jogszabályok:
· Az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 Rendeletével (továbbiakban: „GDPR”)
· Magyarország Alaptörvénye
· Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”)
· A Polgári Törvénykönyvről szóló 2013. évi V. törvény (továbbiakban: „Ptk.”)
4. Fogalmak
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.
Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, életkora, születési ideje, lakcíme, emailcíme, bankkártyaadatai, valamint az adatokból levonható, az érintettre vonatkozó következtetés.
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajttatja.
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása.
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik.
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
5. Alapelvek
Jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
Célhoz kötöttség: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, a célokkal össze nem egyeztethető módon nem lehet adatot kezelni.
Adattakarékosság: a személyes adatokat az adatkezelés céljai szempontjából szükséges és arányos mértékben lehet gyűjteni és kezelni.
Pontosság: a személyes adatoknak pontosnak és naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
Korlátozott tárolhatóság: a személyes adatokat az adatkezelési cél eléréséig vagy jogszabály által meghatározott ideig lehet tárolni. Az adatok tárolását indokolhatja a Társaság jogos érdeke bizonyos esetekben.
Integritás és bizalmas jelleg: személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
6. Jogalapok
Az érintett hozzájárulásán alapuló adatkezelés
Személyes adat hozzájárulás alapján akkor kezelhető, ha az érintett a hozzájárulást önkéntesen és határozottan kinyilvánította és a hozzájárulás megfelelő tájékoztatáson alapul.
Különleges személyes adat kezeléséhez az érintett előzetes írásbeli hozzájárulása szükséges.
Ha a hozzájáruláson alapuló adatkezelés célja a Társasággal, mint adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
Jogszabályon alapuló adatkezelés
Az érintett hozzájárulása nélkül akkor kezelhető személyes adat, ha azt törvény vagy más jogszabály kifejezetten elrendeli.
Jogszabályon alapuló adatkezelés esetén meg kell jelölni az adatkezelést előíró konkrét jogszabályhelyet.
Jogi kötelezettség teljesítése érdekében való vagy jogos érdeken alapuló adatkezelés
Az érintett előzetes hozzájárulása nélkül jogi kötelezettség teljesítése érdekében vagy jogos érdekből történhet adatkezelés, amennyiben a személyes adat kezelése
· jogi kötelezettség teljesítése céljából szükséges (tehát a jogszabály nem az adatkezelést írja elő, mint a jogszabályon alapuló adatkezelésnél, hanem egy jogi kötelezettséget nem lehet másként teljesíteni pl. munkabér kifizetése);
· jogos érdekből, amennyiben az érdekérvényesítés a személyes adatok védelméhez fűződő jog korlátozásával arányban áll (pl. szerződés teljesítéséhez szükséges);
Hozzájáruláson alapuló adatkezelésnél a fenti jogalapokon a Társaság, mint adatkezelő a hozzájárulás visszavonását követően is kezelhet személyes adatot.
Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek (pl. üzemi baleset).
A jogos érdek megállapításához segítségül a Társaság érdekmérlegelési tesztet alkalmaz.
7. Időtartamok
· Az érintett hozzájárulása alapján kezelt személyes adatokat a Társaság a hozzájáruló nyilatkozat visszavonásig vagy az adatkezelési cél megvalósulásáig jogosult kezelni.
· A jogszabályon alapuló adatkezelés esetében maga a jogszabály határozza meg az adatkezelés időtartamát.
· Jogi kötelezettség teljesítése vagy jogos érdeken alapuló adatkezelés esetén a személyes adatokat a Társaság az adatkezelési cél megvalósulásáig (adott esetben a jogi kötelezettség teljesítése vagy a jogos érdek érvényesítéséig) jogosult kezelni.
8. Adatkezelés módja
A személyes adatok kezelését a Társaság papír alapon vagy elektronikus módon végzi. A Társaság a személyes adatokat tartalmazó papíralapú dokumentumokat zárható szekrényekben, míg az elektronikus dokumentumokat információtechnológiai eszközökön, számítógépeken, szervereken jelszavakkal védetten tárolja oly módon, hogy ahhoz más illetéktelen személy ne férhessen hozzá. A számítógépes adatbázis üzemeltetése saját szervereken, IT infrastruktúra szolgáltatótól bérelt szervereken vagy felhőszolgáltatás keretében történik (részletesen az Adatbiztonság résznél).
9. Adatvédelmi felelős
A Társaság az adatvédelmi feladatok hatékony ellátására adatvédelmi felelőst választ és központi e-mail címet üzemeltet:
adatvédelmi felelős neve: Nagy-György Zoltán
adatvédelmi elérhetősége: info(kukac)roastcoffee.hu
A Társaság által kinevezett adatvédelmi felelős eljár a jelen Szabályzat hatálya alá tartozó ügyekben. Az érintettek a jelen Szabályzat hatálya alá tartozó valamennyi kérdésben fordulhatnak az adatvédelmi felelőshöz.
Az adatvédelmi felelős:
· közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában (konzultációs jogkör);
· részt vesz az adatvédelmi ellenőrzésekben, vizsgálatokban;
· ellenőrzi a jelen Szabályzatban foglaltak betartását;
· vezeti a jelen Szabályzat szerinti nyilvántartásokat;
· gondoskodik az adatok tárolási határidejének betartásáról;
· kivizsgálja a személyes adatok kezelésével (feldolgozásával, továbbításával) kapcsolatban hozzá érkezett bejelentéseket és panaszokat.
10. Kamerarendszer üzemeltetése
A kamerarendszer üzemeltetésének célja az emberi élet, testi épség, üzleti titok, vagyonvédelem biztosítása, valamint a munkavállalók munkavégzés során történő ellenőrzése munkavédelmi okból, mert a jogsértések észlelése, az elkövető tettenérése, illetve e jogsértő cselekmények megelőzése, azok bizonyítása más módszerrel nem érhető el. Ezen eszközök alkalmazása elengedhetetlenül szükséges mértékű, az információs önrendelkezési jog aránytalan korlátozásával nem jár. A meghatározott célok elérése érdekében a kamerarendszer üzemeltetésének jogalapja a GDPR. 6. cikk (1) bekezdés f) pontja alapján az Adatkezelő jogos érdeke, így a kamerarendszer üzemeltetéséhez a munkavállalók hozzájárulása nem szükséges.
A Társaság munkavállalói a kamerarendszer üzembe helyezéséről, annak jogalapjáról, céljáról, működéséről, a kamerák pontos helyzetéről, látószögük meghatározásáról írásban tájékoztatva lettek. A Társaság a kamerarendszer üzembe helyezésével egyidejűleg a megfigyeléssel érintett helyiségek bejáratára kifüggesztett egy tájékoztatást a kamerarendszer üzemeléséről, valamint piktogramokat helyezett el, melyek nyilvánvalóan jelzik, hogy az adott a helyiség „Kamerával megfigyelt terület.”.
A Társaság tiszteletben tartja munkavállalói emberi méltóságát, a kamerarendszer üzemeltetésével nem sérti meg azokat, illetve a munkavállalók magánéletét nem ellenőrzi. A kamerák látószöge úgy került beállításra, hogy azok az adattakarékosság elvével összhangban alkalmasak a meghatározott célok ellátására.
A Társaság a kamerarendszer által rögzített felvételeket 3 napig tárolja, majd törli rendszeréből. A Társaság a kamerarendszer felvételeit 3 napon túl csak és kizárólag törvényi felhatalmazás alapján tárolhatja.
A Társaság érdekmérlegelési teszt lefolytatását követően (1. sz. melléklet) az alábbi helyeken biztonsági kamerákat helyezett el:
- Roastar Zrt. 8154 Polgárdi, Kávé utca 1.
o használat célja: biztonság, betörésvédelem
o látószög meghatározása: 180 fok
A Társaságnál üzemben lévő kamerarendszert Nagy-György Zoltán által megbízott mindenkori kijelölt felelős vezető működteti. A megfelelő működés vizsgálata az élőkép alkalmankénti ellenőrzésével történik.
Az éppen közvetített felvételeket a Társaság vezetősége, döntéshozatali, üzemeltetési jogkörrel rendelkező munkavállalói tekinthetik meg.
A tárolt felvételek törvényben meghatározott esetekben tekinthetők meg, különösen munkahelyi baleset, szabálysértés, vagy bűncselekmény gyanúja miatt. A felvétel visszanézése során – amennyiben az a munkavállaló munkájának ellenőrzésével összefüggésben történik - az átláthatóság elvével összhangban a Társaság biztosítja az érintett számára a jelenlét lehetőségét.
11. Nyilvántartások
A Társaság alapvetően az alábbi típusú nyilvántartásokat vezeti az általa kezelt személyes adatokkal kapcsolatban.
Adatkezelési nyilvántartás
A Társaság adatkezelési nyilvántartása tartalmaz minden olyan személyes adat kategóriát, amellyel kapcsolatos adatkezelést a Társaság végez.
Az adatkezelési nyilvántartás kötelező elemei az alábbiak:
· sorszám
· adatkezelő neve, elérhetősége, adatvédelmi felelős neve, elérhetősége(i);
· adatkezelés kezdete;
· adatkezelés célja;
· adatkezelés jogalapja;
· érintettek kategóriái;
· személyes adatok kategóriái;
· címzettek (amennyiben van);
· adattovábbítás történik-e;
· adattörlésre előirányzott határidő.
Személyes adatok kezelésével kapcsolatos intézkedések jegyzéke
A Társaság a személyes adatok kezelése során beérkezett kérelmeket és a kérelmek kapcsán tett intézkedéseket vezeti ebben a jegyzékben, az alábbi tartalmi elemekkel:
· sorszám;
· kérelem időpontja;
· érintett neve, azonosítója;
· kérelem tartalma;
· intézkedés megnevezése / elutasítás indoka;
· teljesítés határideje;
· egyéb megjegyzés.
Adattovábbítási nyilvántartás
A Társaság adattovábbítási nyilvántartása tartalmaz minden olyan személyes adatot / adat kategóriát, amelyet a Társaság bármilyen - a Társaságon kívüli - harmadik félhez továbbít.
Az adat továbbítási nyilvántartás kötelező elemei az alábbiak:
· adatkezelő neve, elérhetősége, adatvédelmi felelős neve, elérhetősége(i);
· sorszám;
· adat továbbítás időpontja;
· érintettek (amelyek személyes adatai továbbításra kerültek) vagy amennyiben konkrétan nem megállapítható, érintettek kategóriái;
· érintett személyes adatok / adat kategóriák
· címzett neve, elérhetősége, címzett adatvédelmi felelősének neve és elérhetősége (amennyiben van);
· adat továbbítás célja;
· adat továbbítás jogalapja;
· harmadik országba történő adattovábbítás történik-e;
· adattörlésre előirányzott határidő.
Adatvédelmi incidens nyilvántartás
A Társaság adatvédelmi incidens nyilvántartást vezet, amelyben azokat az eseteket rögzíti, amely során a személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés történik.
Az adatvédelmi incidens nyilvántartás kötelező elemei az alábbiak:
· sorszám;
· érintett személyes adatok köre / az érintettek személyes adatai;
· érintettek köre;
· érintettek száma;
· incidens időpontja;
· incidens észlelésének időpontja;
· incidens körülményei;
· incidens hatásai;
· incidens elhárítására megtett intézkedések;
· bejelentés időpontja.
12. Adatvédelmi incidens kezelése
Az adatvédelmi incidenst a Társaság mint adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az Adatvédelmi incidens bejelentésének tartalmaznia kell a következőket:
· ismertetni kell az adatvédelmi incidens jellegét, amennyiben lehetséges az érintettek kategóriáinak ismertetésével, kitérve a hozzávetőleges számukra, valamint az adatvédelmi incidenssel érintett adatok kategóriáit és hozzávetőleges számukat;
· az adatvédelmi felelős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó (pl. jogtanácsos vagy adatvédelmi felelős) nevét és elérhetőségeit;
· az adatvédelmi incidensből eredő, valószínűsíthető következmények ismertetését;
· a Társaság által az adatvédelmi incidens orvoslására tett, vagy annak orvoslására tervezett intézkedések ismertetését, kitérve az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések ismertetésére.
Amennyiben nem lehetséges a fenti információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
A Társaság adatvédelmi felelőse nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
Az érintettek tájékoztatása az Adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban a Társaság világosan és közérthetően ismerteti az adatvédelmi incidens jellegét és közli legalább a tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit, ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, valamint ismerteti az adatvédelmi incidens orvoslására tett, vagy annak orvoslására tervezett intézkedéseket, kitérve az abból eredő esetleges hátrányos következmények enyhítését célzó intézkedések ismertetésére.
Az érintettet nem kell tájékoztatni az alábbi esetekben:
· a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – például titkosítás – amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmetlenné teszik az adatokat;
· a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett természetes személy jogaira és szabadságára jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
· a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a NAIH, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja, hogy az érintett tájékoztatása mellőzhető.
13. Érintett jogai és gyakorlásának módja
Személyes adatainak kezelésével kapcsolatban az Érintett az alábbiakat kérelmezheti a Társaságtól:
· tájékoztatást kérhet személyes adatai kezeléséről;
· kérheti személyes adatainak helyesbítését; valamint
· kérheti a személyes adatainak törlését vagy zárolását (a kötelező adatkezelés kivételével).
Az említettek mellett az érintett tiltakozhat személyes adatainak kezelése ellen, jogellenes adatkezelés esetén a NAIH-hoz és / vagy bírósághoz fordulhat (a hatósági és a bírósági út párhuzamosan is igénybe vehető).
A Társaság feladatai az érintett jogainak gyakorlása során
Kérelemre történő tájékoztatás adatok kezeléséről
Az érintett kérelmére a Társaság tájékoztatást ad az érintettre vonatkozó személyes adatokról, amelyeket a Társaság vagy általa megbízott adatkezelő / adatfeldolgozó kezel. Az érintett tájékoztatást kérhet a személyes adatainak forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.
A Társaság köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 21 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet a Társasághoz még nem nyújtott be. Egyéb esetekben, amennyiben a tájékoztatás kérés rendszeressé válik az adott érintett részéről és ez a Társaságnak számottevő költséget jelent – az anyagköltséget (pl.: CD, papír, stb.) – meg nem haladó mértékű – költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
A tájékoztatás iránti kérelem bármilyen formában előterjeszthető, azonban szóban érkező kérelmet a tartalom visszaidézésére alkalmas módon rögzíteni célszerű (célszerű e-mailen is bekérni vagy feljegyzés formában rögzíteni).
Az érintett tájékoztatását a Társaság csak az Infotv. 9. § (1) bekezdésében, valamint a 16. § (3) bekezdésében meghatározott esetekben tagadhatja meg:
9. § (1) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az adatkezelő személyes adatot akként vesz át, hogy az adattovábbító adatkezelő az adattovábbítással egyidejűleg jelzi a személyes adat
a) kezelésének lehetséges célját,
b) kezelésének lehetséges időtartamát,
c) továbbításának lehetséges címzettjeit,
d) érintettje e törvényben biztosított jogainak korlátozását, vagy
e) kezelésének egyéb feltételeit (a továbbiakban: együtt: adatkezelési feltételek), a személyes adatokat átvevő adatkezelő (a továbbiakban: adatátvevő) a személyes adatot az adatkezelési korlátozásnak megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési feltételeknek megfelelően biztosítja.
16. § (3) A (2) bekezdésben foglaltak szerinti tájékoztatás teljesítését az elérni kívánt céllal arányosan az adatkezelő késleltetheti, a tájékoztatás tartalmát korlátozhatja vagy a tájékoztatást mellőzheti, ha ezen intézkedése elengedhetetlenül szükséges
a) az általa vagy részvételével végzett vizsgálatok vagy eljárások – így különösen a büntetőeljárás – hatékony és eredményes lefolytatásának,
b) a bűncselekmények hatékony és eredményes megelőzésének és felderítésének,
c) a bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásának,
d) a közbiztonság hatékony és eredményes védelmének,
e) az állam külső és belső biztonsága hatékony és eredményes védelmének, így különösen a honvédelem és a nemzetbiztonság vagy
f) harmadik személyek alapvető jogai védelmének biztosításához.
A tájékoztatás megtagadása esetén a Társaság írásban közli az érintettel, hogy a felvilágosítás megtagadására az Infotv. mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a Társaság tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a NAIH-hoz fordulás lehetőségéről.
Az elutasított kérelmekről a Társaság a NAIH-ot évente a tárgyévet követő év január 31-éig értesíti.
Kérelemre történő helyesbítés és adattörlés
Ha a személyes adat a valóságnak nem felel meg, és helyesbítését az érintett kéri, a Társaság helyesbíti a kérdéses személyes adatot.
A személyes adatot törölni kell, ha
· kezelése jogellenes;
· az érintett kéri;
· az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki;
· az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
· azt a bíróság vagy a NAIH elrendelte.
A személyes adatok törlését írásban kell rögzíteni.
Az érintett szervezeti egység megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
A helyesbítésről és a törlésről a Társaság az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot továbbította.
Ha a Társaság az érintett helyesbítés vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 21 napon belül írásban közli az elutasítás ténybeli és jogi indokait. A kérelem elutasítása esetén az érintettet a bírósági jogorvoslat, továbbá a NAIH-hoz fordulás lehetőségéről írásban, igazolható módon tájékoztatja.
Az adatvédelmi felelős a helyesbítés vagy törlés technikai kivitelezéséről szükség esetén konzultál az IT infrastruktúra szolgáltatóval és elvégzi a szükséges műveleteket, amelyeket a személyes adatok kezelésével kapcsolatos intézkedések jegyzékében rögzít.
Tiltakozás az adatkezelés ellen
Az érintett tiltakozhat személyes adatának kezelése ellen,
· ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
· ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
· törvényben meghatározott egyéb esetben.
A Társaság adatvédelmi felelőse a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 14 napon belül Társaság adatvédelmi felelősének bevonásával megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.
Amennyiben a tiltakozást megalapozottnak értékeli, az adatkezelést - beleértve az adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Ha az érintett a döntéssel nem ért egyet, illetve, ha a Társaság az említett határidőt elmulasztja, az érintett - a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül - bírósághoz fordulhat.
14. Tájékoztatás
A személyes adatok kezelésének megkezdése előtt, írásban tájékoztatni kell az érintettet arról, hogy az adatkezelés a Társaság nevében és részére történik, továbbá
· az adatkezelés céljáról és jogalapjáról,
· az adatkezelésre és az adatfeldolgozásra jogosult személyéről,
· az adatkezelés időtartamáról,
· arról, ha az érintett személyes adatait a Társaság, mint adatkezelő az Infotv 6. § (5) bekezdése alapján kezeli,
· arról, hogy kik ismerhetik meg az adatokat;
· az érintettnek adatok megismerhetőségéhez és kijavításához, törléséhez fűződő jogairól, valamint a jogorvoslati jogairól,
· a kezelt személyes adatok felhasználói köréről és az adatok forrásáról;
· az adatfeldolgozó címéről és az adatkezeléssel összefüggő tevékenységéről;
· az adatbiztonsági intézkedésekről;
· az esetleges adattovábbításról adatfeldolgozó vagy további adatkezelő részére.
Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információknak a Társaság hivatalos honlapján történő nyilvánosságra hozatalával is:
· az adatgyűjtés ténye,
· az érintettek köre,
· az adatgyűjtés célja,
· az adatkezelés időtartama,
· az adatok megismerésére jogosult lehetséges adatkezelők személye,
· az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése.
15. Adattovábbítás
A Társaságon belül az érintett személyes adatai – a feladat elvégzéséhez szükséges mértékben és ideig – csak olyan szervezeti egység részére továbbíthatók, amely feladatkörének részét képezi az érintett személyes adatainak kezelése.
A Társaságon kívülre személyes adatokat harmadik személy részére az érintett hozzájárulásával, törvény alapján, jogi kötelezettség teljesítése érdekében vagy jogos érdekből továbbítható.
Az adatvédelmi felelős az adattovábbításokról adattovábbítási nyilvántartást vezet.
16. Adatbiztonság
A Társaság, az adatbiztonság követelményeinek elősegítése végett és annak érdekében, hogy megakadályozza a személyes adatokhoz történő jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát a következő előírásokat fogadja el, melynek betartására a Társaság minden munkavállalója köteles.
A Társaság az informatikai védelemmel kapcsolatos feladatai körében gondoskodik a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem). A Társaság tulajdonában álló informatikai eszközöket csak a Társaság felhatalmazott munkavállalói használhatják, amelynek rendeltetésszerű használatáért a felhasználó munkavállaló felelős.
Az adathordozókat jól zárható szekrényben kell elhelyezni úgy, hogy tárolás közben ne sérüljenek, károsodjanak. A Társaság által használt hordozható külső adattárolókat (USB pendrive-ok, memóriakártyák, hordozható hdd-k és ssd-k) egyedi azonosítóval kell ellátni, kivételt képeznek ez alól az optikai adathordozók (CD, DVD), amely tárolók csak számszerűen kerülnek nyilvántartásba.
Az egyedi azonosítóval ellátott hordozható adathordozók pontos helyéről naprakész nyilvántartást kell vezetni. A használni kívánt adattárolót a tárolásra kijelölt helyről kell kivenni és használatot követően oda kell visszahelyezni. A munkaasztalokon csak azok az adathordozók lehetnek, amelyek a munkavégzéshez szükségesek. Fontos adatokat tartalmazó adathordozókról másolatot kell készíteni, melyet egymástól elkülönítetten, jól zárható szekrényben kell elhelyezni.
Az adatfeldolgozás után biztosítani kell az adatok mentését. A munkák során létrehozott általános dokumentumok mentése az azt létrehozó munkavállalónak a feladata. A munkavállaló számítógépén lévő adatokról biztonsági mentéseket a munkavállalónak kell készítenie. A tárolt adatokról a mentést rendszeresen el kell végezni. A mentésért az IT infrastruktúra szolgáltató vezető, illetve a rendszergazdák a felelősek.
Az IT Infrastruktúra szolgáltatónak biztosítania kell, hogy a rendszerszoftver naprakész állapotban legyen és a segédprogramok, vírusvédelmi szoftverek, programkönyvtárak mindig hozzáférhetők legyenek a munkavállalók számára.
A munkavállalóknak tilos a gépek megbontása, a hardver konfigurációk megváltoztatása, a számítógépes hálózat megbontása, átstrukturálása, gépek, eszközök engedély nélküli csatlakoztatása.