Adatvédelmi szabályzat
A
BRILL Pálinkaház Kft.
Adatkezelési Szabályzata
BRILL Pálinkaház Kft.
Adatkezelési Szabályzata
ADATKEZELÉSI IRÁNYELVEK
I. BEVEZETÉS
I. BEVEZETÉS
A Brill Pálinkaház Korlátolt Felelősségű Társaság (Cg. 17-09-003220, adószám: 11295073-2-17, székhely: 7172 Harc, Siófoki u. 21.), mint alkalmazott munkavállalóival szemben munkáltató, és mint ügyfeleivel, megrendelőivel szemben vállalkozó - a továbbiakban együttesen, mint adatkezelő - magára nézve kötelezőnek ismeri el a jelen szabályzatban rögzített irányelveket.
Jelen szabályzatban foglal helyet adatkezelő tevékenységével összefüggő valamennyi alkalmazott irányelv, továbbá jelen szabályzat segítséget kíván nyújtani az adatkezeléssel érintett személyeknek az őket az adataik kezelése alapján megillető jogok megismeréséhez, megértéséhez és iránymutatást adni e jogaik érvényesítéséhez.
Amennyiben Önnek, mint adatkezeléssel érintettnek a jelen szabályzatban foglaltak értelmezése, egyértelműsítése körében kérdése merülne fel, adatkezelőhöz a brill@brillpalinkahaz.hu címre írt elektronikus levél útján elektronikusan, illetőleg adatkezelő székhelyére címzett postai küldemény útján, közvetlenül is fordulhat.
Adatkezelő fenntartja a jogot jelen tájékoztató megváltoztatására, azzal, hogy a tartalmat érintő érdemi változásokról az érintetteteket ésszerű időn belül értesíti.
Adatkezelő elkötelezett a munkavállalói és ügyfelei személyes adatainak védelme érdekében, e körben kiemelten fontos kérdésként kezeli az érintettek személyhez fűződő jogainak, különösen információs önrendelkezési jogainak tiszteletben tartását.
Adatkezelő fenntartja a jogot jelen tájékoztató megváltoztatására, azzal, hogy a tartalmat érintő érdemi változásokról az érintetteteket ésszerű időn belül értesíti.
Adatkezelő elkötelezett a munkavállalói és ügyfelei személyes adatainak védelme érdekében, e körben kiemelten fontos kérdésként kezeli az érintettek személyhez fűződő jogainak, különösen információs önrendelkezési jogainak tiszteletben tartását.
Adatkezelő a tevékenysége során birtokába jutott valamennyi személyes adatot bizalmasan kezel és megtesz minden olyan biztonsági, technikai és szervezési óvintézkedést, mely az adatok biztonságát garantálja és jelen szabályzatban rögzített alapelvek érvényesülését biztosítja.
Adatkezelő adatkezelési alapelvei és jelen szabályzat rendelkezései összhangban vannak az adatvédelemmel kapcsolatos hatályos magyar- és uniós jogi normákkal, így különösen az alábbiakkal:
- Az Európai Parlament és Tanács (EU) 2016/679. számú Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban úgy is, mint: GDPR);
- 2013. évi V. törvény – a Polgári Törvénykönyvről (a továbbiakban úgy is, mint: Ptk.);
- 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban úgy is, mint: Infotv.).
Adatkezelő a jelen szabályzat kialakítása és alkalmazása során a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (továbbiakban úgy is, mint: NAIH) az előzetes tájékoztatás adatvédelmi követelményeiről szóló ajánlásban foglalt megállapítások, valamint a GDPR 5. cikkének figyelembevételével, különösen az 5. cikk (2) bekezdésében szereplő elszámoltathatóság elvének
szellemében jár el.
Adatkezelő jelen tájékoztatót és szabályzatot naprakészen tartja, e körben figyelemmel van a magyar- és uniós jogalkotás változó produktumaira, továbbá a jogi környezetnek megfelelés érdekében és az adatkezelés során figyelemmel kíséri a hazai és uniós jogalkalmazás alakulását, valamint a 95/46/EK irányelv 29. cikke szerint felállított, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport és a GDPR által létrehozott Európai Adatvédelmi Testület végrehajtással kapcsolatos, nyilvánosságra hozott iránymutatásait is.
Adatkezelő adatkezelési alapelvei és jelen szabályzat rendelkezései összhangban vannak az adatvédelemmel kapcsolatos hatályos magyar- és uniós jogi normákkal, így különösen az alábbiakkal:
- Az Európai Parlament és Tanács (EU) 2016/679. számú Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban úgy is, mint: GDPR);
- 2013. évi V. törvény – a Polgári Törvénykönyvről (a továbbiakban úgy is, mint: Ptk.);
- 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban úgy is, mint: Infotv.).
Adatkezelő a jelen szabályzat kialakítása és alkalmazása során a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (továbbiakban úgy is, mint: NAIH) az előzetes tájékoztatás adatvédelmi követelményeiről szóló ajánlásban foglalt megállapítások, valamint a GDPR 5. cikkének figyelembevételével, különösen az 5. cikk (2) bekezdésében szereplő elszámoltathatóság elvének
szellemében jár el.
Adatkezelő jelen tájékoztatót és szabályzatot naprakészen tartja, e körben figyelemmel van a magyar- és uniós jogalkotás változó produktumaira, továbbá a jogi környezetnek megfelelés érdekében és az adatkezelés során figyelemmel kíséri a hazai és uniós jogalkalmazás alakulását, valamint a 95/46/EK irányelv 29. cikke szerint felállított, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport és a GDPR által létrehozott Európai Adatvédelmi Testület végrehajtással kapcsolatos, nyilvánosságra hozott iránymutatásait is.
II. FOGALMAK
- érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
- személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális
azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
- adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
- adatvédelmi incidens: a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
- adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
- adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
- adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
- adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;
- adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- harmadik ország: minden olyan állam, amely nem EGT-állam;
- nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált, funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
III. AZ ADATKEZELÉS CÉLJA, ALAPELVEK
3.1. Alapvetés
A személyes adatok kezelése körében adatkezelő főszabályként az érintett adatait olyan, szerződéses viszony keretében kezeli, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, és/vagy az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Mindezeken túl kivételesen:
- az érintett személyes hozzájárulása alapján, mely alapján az érintett kifejezett hozzájárulását adta személyes adatainak egy, vagy több konkrétan meghatározott és vele előzetesen ismertetett célból történő kezeléséhez;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
Fentiektől eltérő célú adatkezelést adatkezelő nem végez.
Adatkezelő kizárja a felelősségét mindazon esetben, amely során az érintett nem a saját személyes adatait adja meg.
A személyes adatok kezelése körében adatkezelő főszabályként az érintett adatait olyan, szerződéses viszony keretében kezeli, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, és/vagy az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Mindezeken túl kivételesen:
- az érintett személyes hozzájárulása alapján, mely alapján az érintett kifejezett hozzájárulását adta személyes adatainak egy, vagy több konkrétan meghatározott és vele előzetesen ismertetett célból történő kezeléséhez;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
Fentiektől eltérő célú adatkezelést adatkezelő nem végez.
Adatkezelő kizárja a felelősségét mindazon esetben, amely során az érintett nem a saját személyes adatait adja meg.
3.2. Jogszerűség, tisztességes eljárás és átláthatóság
Adatkezelő a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi.
Adatkezelő a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi.
3.3. Célhoz kötöttség
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és adatkezelő azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon. Nem minősül azonban az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
3.4. Adattakarékosság
Adatkezelő az adatkezelést annak teljes időtartama alatt az adatkezelési célnak megfelelően és releváns módon, valamint kizárólag a szükséges mértékben végzi.
3.5. Pontosság
Adatkezelő minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelési célhoz mérten pontatlan és szükségtelen személyes adatokat haladéktalanul törölje, vagy helyesbítse.
3.6. Korlátozott átláthatóság
Adatkezelő a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai
célból kerül majd sor - a GDPR-ban az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
3.7. Integritás és bizalmi jelleg
Adatkezelő a személyes adatok kezelése körében a megfelelő technikai- és szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
3.8. Elszámoltathatóság
Az adatkezelési elveknek való megfelelésért Adatkezelő felel. E körben adatkezelő elszámoltatható, ezért az adatkezelés jogszerűségének és az adatkezelési elveknek való megfelelés igazolhatósága érdekében a szükséges technikai és szervezési intézkedéseket megteszi.
IV. A SZEMÉLYES ADATOK KÖRE, AZ EGYES ADATKEZELÉSEK CÉLJA ÉS IDŐTARTAMA
4.1. A www.brillpalinkahaz.hu honlap látogatóinak adatai
Adatkezelő saját honlapot üzemeltet, mely azonban adatgyűjtési célokat közvetve sem szolgál, az oldalak látogatói vonatkozásában semmilyen adatot nem gyűjt és nem kezel, a látogató számítógépén sütit (cookie) nem helyez el. Az oldal megnyitásához szükséges születési idő megadás során megadott
adatokat a rendszer nem tárolja, csak a látogató 18. életévének betöltöttségét ellenőrzi annak érdekében, hogy az oldalon elhelyezett tartalmakat csak az előállított jövedéki termék fogyasztására jogosultak láthassák.
4.2. Munkavállalói adatbázis
Az adatkezelés célja: a társaság munkavállalóinak azonosítása és egymástól való megkülönböztetése, a munkaszerződésben foglaltak teljesítése, a munkavállalók foglalkoztatása körében szükséges intézkedések megtétele, jogszabályi kötelezettségek teljesítése.
Az adatkezelés jogalapja: a GDPR 6. cikk (1) bekezdés b), d), f) pontjai szerinti, valamint c) pont szerinti jogszabályon alapuló adatkezelés, utóbbival összefüggésben a GDPR 6. cikk (3) bekezdés b) pontja alkalmazásában, valamint annak második fordulatában rögzített kötelezettség alapján a
munka törvénykönyvéről szóló 2012. évi I. törvény 10. §, 11. §, 45. §, 46. §, 51. §, 53. §, 58. §, 59. §, 61. §, 64. §, 65. §, 67. §, 68. § 69. § (3), 70. §, 71. §, 74. § (2), 75. - 79. §, 81. §, 82. §, 95. – 98. §, 103. – 134. §, 136. – 153. §, 166. – 176. §, 192. – 203. §, 285.- 289. §-ai.
A kezelt adatok köre: vezeték- és keresztnév, születési év, lakcím (irányítószám, település, utca, házszám), adóazonosító jel, személyi azonosító okmányok száma, e-mail cím, telefonszám, foglalkoztatotti státusz, munkahelyi beosztás, döntéshozatali státusz, az előzetes kiválasztás során legmagasabb iskolai- és szakirányú végzettség, munkareferenciák, alkalmazott munkavállalók esetében továbbá kitöltött- és ki nem töltött munkaidő (e körben érkezés és távozás időpontja) bérszámfejtéssel összefüggő adatok. Egészségügyi adatokat adatkezelő nem kezel, kivéve a munkavégzéshez szükséges kötelező egészségügyi kiskönyv adatait, továbbá azon, adatkezelő által előre nem látható esetet, ha orvosi okokkal igazolt távolmaradás esetén a távolmaradást igazoló
kezelőorvos a konkrét egészségügyi okot az igazoláson feltünteti. Ebben az esetben a munkavállaló kartonjában, papír alapon kerül eltárolásra az általa benyújtott igazolás.
Az adatkezelés időtartama: a munkaszerződés létrejöttétől számítottan a munkaviszony megszűnését követő legalább 5 év elteltéig, azzal, hogy a társadalombiztosítási- és bérszámfejtési adatokat adatkezelő a indenkori, magyar jogszabályok által megállapított iratmegőrzési kötelezettség keretei között tárolja. A jelen pont szerinti adatkezeléssel érintett személyes adatok módosítására és törlésére az adatkezelés teljes időtartama alatt, díjmentesen lehetőség van, kivéve a jogszabályi kötelezettség teljesítéséhez és a munkaviszony fenntartásához, így a munkaszerződés teljesítéséhez szükséges adatcsoportok elemeit.
A munkavállalói adatok megőrzéséhez adatkezelőnek jogos érdeke fűződik, a munkavállaló esetleges munkáltatóval szembeni jogérvényesítése esetén a tényállás teljes körű tisztázhatósága és a munkáltató terhére eső bizonyítási kötelezettség teljesítése érdekében.
A munkavállalói adatok megőrzéséhez adatkezelőnek jogos érdeke fűződik, a munkavállaló esetleges munkáltatóval szembeni jogérvényesítése esetén a tényállás teljes körű tisztázhatósága és a munkáltató terhére eső bizonyítási kötelezettség teljesítése érdekében.
4.3. Adatkezelő szolgáltatását igénybe vevők személyi adatai
Adatkezelő kizárólag jövedéki termék előállítása körében végez gazdasági tevékenységet. Az adatkezelés célja: a szolgáltatást igénybe vevő személyek azonosítása és egymástól való megkülönböztetése, egyéni ajánlat közlése, kapcsolattartás, szerződéssel szerzett jogok érvényesítése és szerződésben vállalt, továbbá jogszabályi kötelezettségek teljesítése. Jelen pontban részletezett
adatkezelés a GDPR 4. cikk 4. pontja szerinti profilalkotási célt közvetve sem szolgál.
Az adatkezelés jogalapja: a felek közötti szerződés létrejöttéig az érintett hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont), létrejött szerződés esetén az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; illetőleg az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. (GDPR 6. cikk (1) bekezdés b), f) pontjai). Mindezeken túlmenően az adatkezelés jogalapja a jövedéki adóról szóló 2016. évi LXVIII. tv. 16. §-a, 29. § (4) bekezdése, valamint ezzel összefüggésben az előírt nyilvántartás vezetése.
A kezelt adatok köre: vezeték- és keresztnév, adóazonosító jel, lakcím, e-mail cím, telefonszám.
Az adatkezelés időtartama: Amennyiben a felek között szerződés nem jön létre, úgy az ajánlat el nem fogadásáról szóló nyilatkozat adatkezelő általi átvételétől, illetőleg visszavonásáról szóló nyilatkozat adatkezelő általi megküldésétől, vagy átvételétől számított legkésőbb 15 napig, illetőleg az érintett hozzájárulás visszavonásáig, melyre érintett terjedelmi- és időbeli korlátozás nélkül, bármikor
jogosult, azzal, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Amennyiben adatkezelő és az érintett között szerződés jön létre, úgy a szerződés megszűnésétől, számított 5 évig.
A jelen pontban rögzített adatkezeléssel érintett személyes adatok módosítására, törlésére a jelen szabályzatban rögzített kapcsolat-felvételi csatornákon megküldött kérelem útján bármikor, díjmentesen lehetőség van, azzal, hogy létrejött szerződéssel összefüggő adatkezelés esetén az adatok törlésére az adatkezelési időtartam lejártáig nincs mód, a jelen pontban rögzített adatkezeléssel érintett adatok megadása a szerződés létrejötte és teljesülése érdekében kötelező. A jogszabály által előírt nyilvántartás adatai tekintetében az adatok módosítását jogszabály kizárja, tekintettel arra, hogy az állami adó- és vámhatóság adóellenőrzési- és megállapítási jogkörben az adatbázisokat napi
rendszerességgel ellenőrzi. Az érintettel létrejött szerződés esetén az adatkezeléshez adatkezelőnek jogos érdeke fűződik, a megrendelt szolgáltatás átvétele, szerződés szerinti ellenérték megfizetése, valamint érintett esetleges igényérvényesítése során a tényállás teljes körű tisztázhatósága érdekében.
4.4. Teljesítéssel, számlázással összefüggő adatkezelés
Az adatkezelés célja: a szolgáltatást igénybe vevő személyek, és az általuk igényelt szolgáltatások egymástól való megkülönböztetése, valamint teljesítések nyilvántartása, ellenőrzése, igazolása és számlakibocsátás.
Az adatkezelés jogalapja: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (GDPR 6. cikk (1) bekezdés b.) pont), illetőleg az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont), utóbbi esetben az adatkezelés jogalapja a GDPR 6. cikk (3) bekezdés b) pontja alkalmazásában, valamint annak második fordulatában rögzített kötelezettség alapján a számvitelről szóló 2000. évi C. tv. 169. §-a.
A kezelt adatok köre: vezeték- és keresztnév, adószám, adóazonosító jel, lakcím, az igénybe vett szolgáltatás adatai, valamint a teljesítéssel összefüggő adatok.
Az adatkezelés időtartama: Az adatok megőrzése szerződési kötelezettség teljesítése körében kezelt adatok esetében az adott szerződés megszűnéséig, valamint jogszabályi kötelezettség teljesítése körében végzett adatkezelés esetében a számviteli bizonylat kiállításától számított 8 évig történik.
A jelen pontban rögzített adatkezeléssel érintett személyes adatok módosítására és törlésére a jelen szabályzatban rögzített kapcsolat-felvételi csatornákon megküldött kérelem útján bármikor, díjmentesen lehetőség van, kivéve azon adatok körét, amelyek kezelését adatkezelő jogszabályi kötelezettség teljesítése okán végzi, illetőleg azon adatokat, melyek a 4.3. pont szerinti adatkezelés
körébe esnek; utóbbi esetben a 4.3. pontban rögzítettek irányadók. Amennyiben azonban a szerződésekkel összefüggő adatkezelés körében az érintett a jelen pont szerinti adatai részben, vagy egészben történő törlését kéri a szerződés fennállta alatt, úgy előfordulhat, hogy adatkezelőnek az érintett felé vállalt kötelezettségeinek teljesítése lehetetlenül, így a szerződés teljesítése részben-, vagy egészben lehetetlenné válhat.
4.5. Levelezés
Amennyiben az érintett részéről kérdés, probléma, észrevétel merül fel, az a brill@brillpalinkahaz.hu elektronikus levélcímen, a 4.1. pontban rögzített honlap ’elérhetőségek’ menüpontján megadott egyéb elérhetőségeken, illetőleg a társaság székhelyére címzett postai küldemény útján közölhető.
Adatkezelő az ezen kategóriába tartozó leveleket a küldő által a levél szövegével és valamennyi, esetlegesen az érintett által önként megadott, egyéb személyes adatával együtt, a levélre történt válaszadást, illetőleg a kérelemre induló ügy elintézését követően késedelem nélkül, de legkésőbb 30 napon belül törli, azzal, hogy ezen adatok a levélben foglaltak értelmezésén, elintézésén és a válaszadás teljesítésén kívül egyéb célra nem kerülnek felhasználásra. Amennyiben a megkeresés ajánlatkérésre, ajánlatközlésre irányul, úgy a 4.3. és 4.4. pontokban rögzítettek irányadók.
Amennyiben az érintett az adatkezelőhöz, vagy adatkezelő képviselőjéhez intéz olyan megkeresést, levelet, mely nem áll összefüggésben semmilyen, jelen szabályzat által érintett tevékenységgel, az a GDPR (18) bekezdése alapján személyes levelezésnek minősül – melyre a rendelet – és jelen szabályzat
- hatálya nem terjed ki.
4.6. Biztonsági kamerák
Az adatkezelés célja: a társaság tevékenységi területének vagyonvédelme. Adatkezelő a telephelyein (főzdeudvar, bolt, üzemi bejáratok) összesen 9 db kamerát üzemeltet, az épületen belüli és kívüli elhelyezéssel.
Az adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés d.) és f.) pontjai, továbbá e körben a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII törvény 31. §-a.
A kezelt adatok köre: az érintettről, illetőleg az érintett vagyontárgyairól készült, rögzített képanyag.
Az adatkezelés időtartama: az adatok felhasználása hiányában a felvételek elkészültétől számított 3 munkanap.
Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más személyes adatának rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot adatkezelő ne semmisítse meg, illetve ne törölje. Bíróság, ügyészség, nyomozó hatóság, előkészítő eljárást folytató szerv vagy más hatóság megkeresésére vagy adatkérésére a rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben megkeresésre vagy adatkérésre
attól számított harminc napon belül, hogy a megsemmisítés mellőzését kérték, nem kerül sor, a rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell.
A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot csak az a személy- és vagyonvédelmi tevékenységet végző személy jogosult megismerni, akinek ez a szerződésből fakadó kötelezettségei érvényesítéséhez szükséges, és a jogsértő cselekmény megelőzése vagy megszakítása érdekében mellőzhetetlen. A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint személyes adatot kezelő, vagy egyéb okból annak megismerésére jogosult személy- és vagyonvédelmi tevékenységet végző személy nevét, az adatok megismerésének okát és idejét jegyzőkönyvben kell rögzíteni.
A rögzített felvételt – annak további felhasználása hiányában Nagy Attila jogosult megismerni, azzal, hogy a kamerák élőképe interneten keresztül megfigyelhető, azonban a hozzáféréshez szükséges cím kizárólag a megismerésre jogosult személy birtokában van, az harmadik személynek semmilyen körülmények között nem kerül kiadásra.
4.7. Egyéb adatkezelések
Jelen szabályzat által nem érintett, esetleges egyéb adatkezelésekről a jelen szabályzatban rögzített alapelvek szerint, az egyéb adatkezeléssel érintett adat felvételét megelőzően tájékoztatja adatkezelő az érintettet. A tájékoztatás kiterjed valamennyi, jelen szabályzatban részletezett körülményre, így különösen, de nem kizárólagosan az adat jellegére, az adatkezelés céljára, az adatkezelés iidőtartamára, valamint az adatkezeléssel kapcsolatosan az érintett jogaira.
A bíróság, az ügyész, a nyomozó hatóság, szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek (pl. munkaügyi felügyeleti hatóság) tájékoztatás adása, adatok közlése, átadása, illetőleg
iratok rendelkezésre bocsátása végett az adatkezelőt megkeresheti.
Adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához, illetőleg jogszabályi kötelezettség teljesítéséhez elengedhetetlenül szükséges.
V. AZ ADATTÁROLÁS, ADATHORDOZHATÓSÁG ÉS ADATKEZELÉSI BIZTONSÁG
Adatkezelő az érintettek adatait elektronikusan, adatkezelő saját üzemeltetése alatt álló informatikai hálózaton (szerver-kliens típusú hálózaton), valamint a szükséges körben papír alapon, önálló kartotékrendszer alapján tárolja és kezeli.
Adatkezelő az adatkezelési körökben érintett adatokat széles körben használható formátumokba exportálható módon kezeli, az adatok hordozhatósága e körben biztosított az érintett részére. Érintett az adathordozhatóság körében kérheti adatkezelőt, hogy – amennyiben az érintett kérése technikailag megvalósítható – az adatokat adatkezelő közvetlenül továbbítsa más adatkezelő felé.
Adatkezelő épületében több, egyedi célra létrehozott informatikai munkaállomás található, mely munkaállomások egy szerver-kliens hálózat részeként működnek és a társaság munkavállalóinak használatában állnak. Valamennyi munkaállomás védett az illetéktelen hozzáféréstől (tűzfal, vírusvédelem). A belső hozzáférés tekintetében a szerverre továbbított adatokhoz valamennyi munkavállalónak írási-olvasási jogosultsága van.
Adatkezelő a hálózati jelszót semmilyen elektronikus, illetőleg papír alapú eszközön nem tárolja, sem kifejezetten, sem kriptográfiai úton, továbbá azt harmadik személyek részére – ideértve a tevékenységi körön kívül esetlegesen más, egyidejűleg alkalmazott, munkaállomással nem rendelkező munkavállalót is - semmilyen körülmények között nem adja ki.
Adatkezelő a személyes adatok kezelése körében - egyrészt az adatvédelmi elvek megvalósítása, másrészt a GDPR 32. cikkében foglalt adatbiztonsági követelmények teljesítése és az érintettek jogainak védelméhez szükséges garanciák biztosítása érdekében – alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
- az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
- hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
- változatlansága igazolható (adatintegritás);
- a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
Adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
E körben Adatkezelő biztonsági mentést készítő rendszert üzemeltet, mely biztonsági mentés a teljes elektronikus adatállomány tekintetében adott időállapotot rögzítő, napi rendszerességű és – a belső levelezés kivételével - teljes körű mentés formájában áll rendelkezésre.
Adatkezelő az adatok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
Adatkezelő a technika mindenkori fejlettségére tekintettel olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
Adatkezelő az adatkezelés során megőrzi:
a) a titkosságot: védi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
b) a sértetlenséget: védi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
c) a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
Tájékoztatjuk az érintetteket, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek lehetnek a külső hálózati fenyegetésekkel szemben. Az ilyen fenyegetésektől megvédendő, az adatkezelő megtesz minden, tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és
bizonyítékkal szolgálhasson minden biztonsági esemény, illetőleg adatvédelmi incidens esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.
Adatkezelőnek a felelősségébe tartozóan végzett adatkezelési tevékenységek nyilvántartása körében a GDPR 30. cikke alapján kötelezettsége nem áll fenn, tekintettel arra, hogy foglalkoztatottainak száma nem éri el a 250 főt, azzal, hogy adatkezelő valamennyi adatkezelése alkalmi jellegű.
Egyebekben jelen szabályzat valamennyi, GDPR 30. cikk (1) bekezdése szerinti információt tartalmaz.
Adatvédelmi incidens esetén adatkezelő a GDPR 33. és 34. cikkei szerint köteles eljárni. Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
VI. ADATKEZELŐ ADATAI ÉS ELÉRHETŐSÉGE
6.1.
Név: BRILL Pálinkaház Kft.
Székhely: 7172 Harc, Siófoki u. 21.
Képviselő: Nagy Attila ügyvezető
Cégjegyzékszám: 17-09-003220
Nyilvántartó bíróság: Szekszárdi Törvényszék Cégbírósága
Adószám: 11295073-2-17
Telefon: +3674-437-123
E-mail: brill@brillpalinkahaz.hu
Név: BRILL Pálinkaház Kft.
Székhely: 7172 Harc, Siófoki u. 21.
Képviselő: Nagy Attila ügyvezető
Cégjegyzékszám: 17-09-003220
Nyilvántartó bíróság: Szekszárdi Törvényszék Cégbírósága
Adószám: 11295073-2-17
Telefon: +3674-437-123
E-mail: brill@brillpalinkahaz.hu
VII. ADATFELDOLGOZÓK
7.1. Adatkezelő a könyvelési, bérszámfejtési feladatok tekintetében adatfeldolgozót vesz igénybe:
Név: S-Conto Kft.
Székhely: 7100 Szekszárd, Vasvári utca 38.
Képviselő: Schattmann Csaba
Cégjegyzékszám: 17-09-010591
Nyilvántartó bíróság: Szekszárdi Törvényszék Cégbírósága
Adószám: 25197473-2-17
Telefon: +3674-419-789
E-mail: scont@t-online.hu
Adatkezelő fenntartja a jogot további adatfeldolgozó igénybevételére, melynek személyéről
legkésőbb az adatfeldolgozás megkezdésekor ad az érintettek számára egyedi módon tájékoztatást.
Név: S-Conto Kft.
Székhely: 7100 Szekszárd, Vasvári utca 38.
Képviselő: Schattmann Csaba
Cégjegyzékszám: 17-09-010591
Nyilvántartó bíróság: Szekszárdi Törvényszék Cégbírósága
Adószám: 25197473-2-17
Telefon: +3674-419-789
E-mail: scont@t-online.hu
Adatkezelő fenntartja a jogot további adatfeldolgozó igénybevételére, melynek személyéről
legkésőbb az adatfeldolgozás megkezdésekor ad az érintettek számára egyedi módon tájékoztatást.
VIII. JOGORVOSLAT
Az érintett ingyenes tájékoztatást kérhet személyes adatai kezelésének részleteiről, valamint jogszabályban meghatározott esetekben kérheti azok helyesbítését, törlését, zárolását, vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen. A tájékoztatás kérését és a jelen pontban szereplő kérelmeket a brill@brillpalinkahaz.hu címre tudja címezni, vagy a társaság székhelyére feladott postai küldemény útján tudja eljuttatni.
8.1. Hozzáférési jog (GDPR 15. cikk)
Az érintett visszajelzést kaphat adatkezelőtől személyes adatainak kezeléséről és ezekhez a személyes adatokhoz, illetve kezelésük részleteihez (GDPR 15. cikk (1) bekezdés) hozzáférhet.
8.1. Hozzáférési jog (GDPR 15. cikk)
Az érintett visszajelzést kaphat adatkezelőtől személyes adatainak kezeléséről és ezekhez a személyes adatokhoz, illetve kezelésük részleteihez (GDPR 15. cikk (1) bekezdés) hozzáférhet.
8.2. Helyesbítéshez való jog (GDPR 16. cikk)
Az érintett kérésére adatkezelő indokolatlan késedelem nélkül helyesbíti a rá vonatkozó pontatlan személyes adatokat, illetve jogosult kérni a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
8.3. Törléshez való jog (GDPR 17. cikk (1) bekezdés)
Az érintett kérésére adatkezelő indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha azok kezelésére az adatkezelőnek nincsen szüksége, vagy az érintett visszavonja hozzájárulását, vagy tiltakozik az adatkezelés ellen, vagy az adatkezelés jogellenes.
8.3. Elfeledéshez való jog (GDPR 17. cikk (2) bekezdés)
Az érintett törlésre irányuló kérelméről – ha igényli – adatkezelő értesít minden olyan adatkezelőt, aki(k) az érintett adatait az érintett kifejezett, előzetes hozzájárulása alapján, valamely szolgáltatás nyújtása körében megismerhették.
8.4. Adatkezelés korlátozásához való jog (GDPR 18. cikk)
Adatkezelő – az érintett kérésére – korlátozza az adatkezelést, ha a személyes adatok pontossága vitatott, vagy jogellenes az adatkezelés, vagy az érintett tiltakozik az adatkezelés ellen, illetve ha az adatkezelőnek nincsen szüksége a továbbiakban a megadott személyes adatokra.
8.5. Adathordozhatósághoz való jog (GDPR 20. cikk)
Az érintett a rá vonatkozó, általa megadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatja, illetve ezeket továbbíthatja.
8.6. Értesítési és intézkedési kötelezettség (GDPR 19. cikk)
Adatkezelő a kérelmet annak benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap – tiltakozás esetén 15 nap – alatt megvizsgálja, és annak megalapozottsága kérdésében döntést hoz, amelyről a kérelmezőt írásban tájékoztatja. Ha adatkezelő az érintett kérelmét nem teljesíti, döntésében közli a kérelem elutasításának ténybeli és - a vonatkozó jogszabályhelyek megjelölésével - annak jogi indokait az érintettel.
Helyesbítésről, törlésről, adatkezelés-korlátozásról adatkezelő minden esetben értesíti azokat a címzetteket, akikkel, illetve amelyekkel az érintett személyes adatait esetlegesen közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintett kérésére adatkezelő tájékoztatást nyújt ezekről a címzettekről.
Az e fejezethez kapcsolódó kérelmek nyomán hozott intézkedésekről legfeljebb a kérelem beérkezésétől számított egy hónapon belül – ha az érintett másként nem kéri – elektronikus formában adatkezelő tájékoztatást nyújt. Ez a határidő szükség esetén – a kérelem összetettsége, illetve a kérelmek számára tekintettel – további két hónappal meghosszabbítható. A határidő meghosszabbításáról annak okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon
belül adatkezelő tájékoztatja az érintettet.
Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolja személyazonosságát.
Amennyiben adatkezelő nem intézkedik a kérelem nyomán, legfeljebb annak beérkezésétől számított egy hónapon belül tájékoztatja az érintettet ennek okairól, valamint arról, hogy az érintett panaszt nyújthat be a NAIH-nál, és élhet bírósági jogorvoslati jogával (8.7. pont).
Kivételes esetben, ha az adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, adatkezelő további, személyazonosság megerősítéséhez szükséges információ nyújtását kérheti. Ez az intézkedés a GDPR 5. cikk (1) bekezdés f) pontjában meghatározott alapelv, az adatkezelés bizalmasságának elősegítése, azaz a személyes adatokhoz való jogosulatlan hozzáférés megakadályozása céljából szükséges.
Az e fejezethez kapcsolódó kérelmekre adott tájékoztatást, illetve az azok alapján megtett intézkedéseket adatkezelő díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, – figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre – adatkezelő ésszerű díjat számít fel, vagy megtagadja a kérelem alapján történő intézkedést.
8.7. Jogérvényesítés
Adatkezelő számára fontos a személyes adatok védelme, egyúttal tiszteletben tartja az érintettek információs önrendelkezési jogát, ezért igyekszik minden kérelemre korrekt módon és határidőn belül reagálni. Kérjük a tisztelt érintetteket, hogy az esetleges hatósági és bírósági igényérvényesítés igénybevétele előtt – panasz megtétele céljából – adatkezelővel a felmerült konfliktusok békés úton
történő rendezése érdekében a kapcsolatot felvenni szíveskedjenek.
Amennyiben a megkeresés nem vezet eredményre, az érintett a Polgári Törvénykönyvről szóló 2013. évi V. törvény alapján bíróság előtt érvényesítheti jogait (a per az érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható) valamint az Infotv.-ben foglaltak szerint a
Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1125 Budapest, Szilágyi Erzsébet fasor 22/c.; https://www.naih.hu/panaszuegyintezes-rendje.html) fordulhat és panaszt tehet.
Pécs, 2018. május 25.
BRILL Pálinkaház Kft.
képv.: Nagy Attila ügyvezető