Adatvédelmi irányelvek - United Consult

1. Bevezetés:

A 2018. május 25-én érvénybe lépő új európai adatvédelmi rendelet (GDPR) értelmében minden cég számára kötelező az adatvédelmi szabályzat elkészítése, aki európai uniós polgár személyes adatát tárolja vagy dolgozza fel (függetlenül ezek helyétől). A dokumentum célja, hogy meghatározza a cég folyamatai kapcsán előforduló személyes adatok típusait, előfordulási helyét és funkcióját egy adatvagyonleltár formájában illetve az adatokhoz való hozzáférést szabályozza mind az adat gazdája mind az adat feldolgozója részéről. Szabályozza továbbá a hozzáférési jogot, helyesbítéshez és törléshez való jogot az adatkezelés és az adathordozhatsághoz való jogot.

Az adatvédelmi incidensek esetén szabályozza az eljárásrendet, szavatolja a személyes adatok elfolyásának megakadályozását, megszüntetését, felderítését.

A szabályozás célja, hogy:

a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen,
az adatkezelés jogszerűen és tisztességesen, valamint az érintett számára átlátható módon történjen,
az adatkezelés olyan módon való kialakítása, hogy minimális mértékben kerüljön sor személyes adatok kezelésére,
a személyes adatok tárolása pontos legyen,
a kezelt adatok tárolását, hogy az érintettek azonosítását csak a személyes adatok kezelési céljainak eléréséhez szükséges ideig tegye lehetővé,
biztosítsa a személyes adatok biztonságát,
segít kialakítani és működtetni az adatrögzítési értesítési rendszert, amelyben rögzítésre kerül az összes ismert adatkezelési sérelem.

A szabályzat biztosítja, hogy a kezelt személyes adatok kizárólag az adatkezelő és az érintett között létrejött szerződés/elfogadott adatkezelési tájékoztató alapján lesz kezelve.

2. Definíciók:

Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.

Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. Jelen Szabályzat értelmezésében adatfeldolgozás különösen minden olyan, érdemi döntést nem igénylő technikai adatkezelési művelet, amit az adatkezelő megbízása alapján az adatfeldolgozó végez.
Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.
Adatgazda: Egy adott szervezeti egységnél kezelt személyes adatok tekintetében a szervezeti egységet irányító vezető, aki felelős a szervezeti egysége által kezelt valamennyi személyes adat jelen szabályzatnak megfelelő kezelésért (továbbiakban: adatgazda). Amennyiben IT rendszerben kezelt személyes adattal kapcsolatos döntés meghozatala szükséges, és az érinti az Információ Biztonsági Szabályzat szerinti adatgazda felelősségét, akkor a személyes adatgazda az Információ Biztonsági Szabályzat alapján kijelölt adatgazda egyetértésével hozza meg döntését.
Adathordozó: Az adat fizikai megjelenési formája, tárolási helye, ide értve az iratokat is.
Adatigénylő: Az a természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatai kezelésével, helyesbítésével, törlésével vagy zárolásával kapcsolatban kérelmet nyújt be a Szervezethez.
Adatkezelés: Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. Jelen Szabályzat értelmezésében adatkezelés különösen az egyes adatkezelési műveletekkel kapcsolatos döntések meghozatala, utasítások kiadása.
Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Személyes adat: Az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Adatkezelési incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

3. Adatvagyonleltár

A United-Consult K2 Kft. azonosította az összes személyes adatot és osztályozta, amit a szervezet összegyűjt, feldolgoz és tárol. Azonosította az adatkezelési formákat, az egyes adatkezelési formákon belül számba vette, hogy milyen személyes adatok rögzítődnek, milyen eszközökön és adatbázisokban tárolódnak, mennyi ideig, kik férnek hozzá ezekhez az adatokhoz, kiknek kerül esetlegesen továbbításra további feldolgozás céljából. Az azonosítást és az osztályozást követően feltérképezte az adatgyűjtési éshasználati folyamatokat. Meghatározta és azonosította, hogy kik azok a partnerek (harmadik felek) akik a személyes adatokat feldolgozzák a szervezete nevében. Az adatok láthatósága és ellenőrzése kulcsfontosságú kérdés.

A United Consult Kft. adatvagyonleltára: ASZ_AV_ADATVAGYONLELTAR.XLSX

Az adatvagyonleltár tartalma:

Topic: Milyen üzleti területhez tartozik
Adatkör (üzleti folyamat / feldolgozás): Üzketi folyamat
Rendszer/Rendszer modulja/Dokumentum: Hol tárolódik
Formátum (Nyomtatott, PDF, Adatbázis, Email): Milyen formátumban érhető el az adat
Ki fér hozzá
Érintett személyek: Kinek a személyes adatai tárolódnak (Jelölt, Dolgozó, Beszállító, ..)
adat típus*: Személyes/céges adat
Kinyerhető információk: Pontosan milyen személyes adatok tárolódnak, mellyel egyedileg beazonosítható a személy
Maximális tárolás ideje
Milyen módon lesz egyedileg beazonosítható a természetes személy: Milyen kombinációval azonosítható egyedileg a személy.
Milyen védelem van rajta: Az adattárolás módján milyen védelem van.
Jogalap van-e a tárolásról: Mely jogalap alapján tároljuk az adatot.
Jóváhagyás van-e róla a természetes személy részéről
Hozzáférés célja: Milyen okból tároljuk az adatot.
Kockázatok ismertetése: Milyen módon férhet hozzá illetéktelen személy az adatokhoz
Archíválva van?
Logolva van?
Hogyan Csökkenthető a természetes személy azonosításának esélye?: Egyedi azonosítás csökkentéase
Rendszer felelőse: A tároló rendszer kihez tartozik
Adatkezelő (Adatgazda): Az adat kihez tartozik
Adatfeldolgozó: Lásd definíciók..
Megjegyzés

4. Személyes adatok felhasználása

A United-Consult K2 Kft. az alábbi tevékenységei mentén gyűjt személyes adatokat:

HR
Dolgozói HR tevékenység
Dolgozói bérszámfejtési tevékenység
Lehetséges új munkavállalók keresése
Dolgozók kiajánlása projektekre

A United-Consult K2 Kft. az alábbi természetes személyekkel kapcsolatban gyűjt személyes adatokat:

Dolgozó
Alvállalkozó
Jelölt
Céges kapcsolattartó

A összegyűjtött személyes adatok tárolási formái:

Papír alapú: Zárt szekrényben
Elektronikusan: Webszerveren vagy fájlszerveren vagy Email fiókban

A tárolt adatok megőrzési ideje:

Dolgozók esetén jogszabályban rögzített
Alvállalkozók esetén jogszabályban rögzített
Jelölt esetén az adatkezelés céljának megszűnésével lejár
Céges kapcsolattartó esetén az adatkezelés céljának megszűnésével lejár

5. Adatkezelés körülményei

United Consult K2 Kft., mint adatkezelő az adatokat biztonságosan és szabályosan kezeli. Az adatokhoz kizárólag az adatgazda és az adatfeldolgozók férhetnek hozzá, továbbá kötelezi magát, hogy gondoskodik a személyes adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt személyes adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását.

Az adatkezelés körülményeiről bővebben az adatvagyon leltár tartalmaz információkat.

6. Hozzáférési jog

United Consult K2 Kft., mint adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát ingyenesen az érintett rendelkezésére bocsátja, ha ezt a személyes adatok tulajdonosa személyesen vagy írásban kéri. Ha az érintett elektronikus úton nyújtotta be a kérelmet és a egyértelműen azonosítható a személyes adat tulajdonosaként (A United-Consult K2 Kft. által rendelkezésre álló adatok alapján), az információkat széles körben használt elektronikus formátumban bocsátja rendelkezésére. A személyes adat tárolásáról a természetes adat tulajdonosa minden esetben értesítést kap, így biztosítható, hogy a tárolással kapcsolatban információval rendelkezik.

7. Helyesbítéshez való jog

United Consult K2 Kft., mint adatkezelő befogad kérelmeket a személyes adatok megváltoztatásával kapcsolatban a személyes adatok tulajdonosaitól. A megváltoztatásra vonatkozó kérést azonnal rögzíti a megfelelő helyen (lásd adatkatalógus) sikeres beazonosítás után. A beazonosítás sikertelenségéről vagy a siekeres módosításról üzenetet küld a tulajdonosnak a tulajdonos által választott csatornán keresztül.

8. Törléshez való jog

A személyes adat tulajdonosa jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték

az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja
az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre
a személyes adatokat jogellenesen kezelte volna a United-Consult K2 Kft.

Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek a személyes adatokat bizonyos esetekben továbbítja vagy átadja, ugyancsak felszólítja ez irányú kötelezettségeinek teljesítésére.

9. Továbbadáshoz való jog

Az adatkezelő United-Consult csak abban a speciális esetben adhatja tovább a személyes adatokat más természetes vagy jogi személy számára, ha erről a személyes adat tulajdonosától egyértelmű beleegyező nyilatkozattal rendelkezik, melyben meghatározott:

a személyes adat típusa
a személyes adatot átvevő másik természetes vagy jogi személy adata
az adat tárolhatóságának ideje a másik személy számára
az adat felhasználásának célja a másik személy számára

Az adatátadást követően, ha az adat tulajdonosa változást, törlést jelent be az adataival kapcsolatban, akkor a United-Consult K2 Kft. feladata az átadott adatokkal kapcsolatban az változás, törlés bejelentésére.

10. Ügyfelek személyes adatainak kezelése

United-Consult K2 Kft. (UC) tevékenységéből fakadóan munkavállalói munkájuk során gyakran használják az UC ügyfelének/ügyfeleinek adatait. A UC feladata, hogy technikailag mindent kövessen el az ügyfelek adatainak biztonságos kezeléséhez. Abban az esetben, ha az adatkezelés magánál az ügyfélnél valósul meg, akkor az ügyfél adatkezelési szabályainak betartatása az UC feladata.

Adatkezelési incidens esetén – amennyiben az UC munkavállalója, alvállalkozója érintett az incidensben – az UC feladata az incidens kinyomozása, az adatvesztés csökkentése és a további esetek elkerülése végett megelőző tevékenységek kialakítása.

Az UC a munkavállalóival titoktartási szerződést, az alvállalkozóival adatkezelési szerződést köt.

11. Adatkezelési incidens

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatvédelmi incidensről szóló bejelentésben az adatkezelő:

ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát
közli az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét
ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket
ismerteti az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha az adatvédelmi incidens az UC ügyfelét érinti, akkor a megadott határidőn belül értesíti és számára adja át az említett adatokat.

Ha az adatvédelmi incidens egyedi magánszemélyt érint, akkor a megadott határidőn belül a magánszemélyt értesíti és egyeztet vele a további lépésekről.

Minden esetben az adatvédelmi incidens bekerül az adatvédelmi incidens jegyzőkönyvébe (ASZ_INCIDENS_JEGYZOKONYV.xlsx), melyet az adatvédelmi tisztviselő tart karban.

Az adatvédelmi tisztviselő feladata az adatvédelmi incidensek nyomon követése, menedzselése és lezárása.

12. Adatkezelési rendszer felülvizsgálata

Az adatvédelmi tisztviselő feladata az adatvédelmi rendszer felülvizsgálata negyedévente, de legkésőbb évente, melynek tartalmaznia kell az adatvédelmi szabályzat felülvizsgálatát és az adatvédelmi szabályzathoz kapcsolódó adatvagyonleltár felülvizsgálatát. A módosításokról röviden a Adatkezelési Rendszer felülvizsgálata pontban ír.

13. Adatkezelési rendszer ismertetése

Az adatkezelési rendszerrel kapcsolatban minden munkavállalónak és alvállalkozónak ismeretekkel kell rendelkeznie. Az új dolgozók belépése esetén az adatvédelmi tisztviselő és a HR feladata, hogy tájékoztatást nyújtson az adatkezelési rendszerről. Az új belépő titkotartási és adatvédelmi nyilatkozatot ír alá (ASZ_TITOKTARTASI_NYILATKOZAT.doc), illetve a saját személyes adatainak kezeléséről nyilatkozik (ASZ_SZEMELYES_ADATOK_KEZELESE_NYILATKOZAT.doc).
Az alvállalkozók az UC és az alvállalkozó közötti szerződés megkötésekor kapnak tájékoztatást az adatkezelési rendszerről. Ekkor jön létre az alvállalkozó és az UC között a adatvédelmi megállapodás, melyet mindkét fél ellenjegyez. (ASZ_ADATVEDELMI_MEGALLAPODAS.doc).
Céges kapcsolattartók személyes adatainak kezeléséről az adatvédelmi nyilatkozatban történik megállapodás az UC és a kapcsolattartók között (ASZ_ADATVEDELMI_NYILATKOZAT_BELSOS.doc). Az UC elektronikus formában küldi ki a megállapodást, melyet a kapcsolattartó elektronikus formában erősít meg.
HR a lehetséges jelöltek adatainak kezelését (prospekt) hasonló módon oldja meg.
Az UC az ügyféladatokkal kapcsolatban adatkezelési megállapodást köt az ügyféllel

2018.05.08.

Süti	Időtartam	Leírás
cookielawinfo-checkbox-analytics	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A süti az "Analytics" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására szolgál.
cookielawinfo-checkbox-functional	11 hónap	A cookie-t a GDPR Cookie Consent plugin állítja be a "Funkcionális" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás rögzítésére.
cookielawinfo-checkbox-necessary	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A cookie a "Szükséges" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására szolgál.
cookielawinfo-checkbox-others	11 hónap	Ezt a cookie-t a GDPR Cookie Consent plugin állítja be. A cookie-t a "Egyéb" kategóriába tartozó cookie-kra vonatkozó felhasználói hozzájárulás tárolására használják.
cookielawinfo-checkbox-performance	11 hónap	Ezt a sütit a GDPR Cookie Consent plugin állítja be. A cookie a "Teljesítmény" kategóriába tartozó cookie-k felhasználói hozzájárulásának tárolására szolgál.
PHPSESSID	munkamenet	A süti tárolja és azonosítja a felhasználó egyedi munkamenet-azonosítóját a felhasználói munkamenetek kezelése érdekében a weboldalon. Ez egy munkamenet cookie, és törlődik, amikor az összes böngészőablak bezárásra kerül.
viewed_cookie_policy	11 hónap	A cookie-t a GDPR Cookie Consent plugin állítja be, és arra szolgál, hogy tárolja, hogy a felhasználó hozzájárult-e a cookie-k használatához. Nem tárol semmilyen személyes adatot.

Süti	Időtartam	Leírás
_fbp	3 hónap	Ezt a sütit a Facebook állítja be, hogy a weboldal meglátogatása után hirdetéseket jelenítsen meg a Facebookon vagy a Facebook hirdetésekkel támogatott digitális platformon.
_ga	1 év 1 hónao 4 nap	A Google Analytics által telepített _ga cookie kiszámítja a látogatói, munkamenet- és kampányadatokat, valamint nyomon követi a webhely használatát a webhely analitikai jelentése számára. A cookie névtelenül tárolja az információkat, és egy véletlenszerűen generált számot rendel az egyedi látogatók felismeréséhez.
_ga_*	1 év 1 hónap 4 nap	A Google Analytics ezt a sütit az oldalmegtekintések tárolására és számolására állítja be.
_gat_gtag_UA_*	1 perc	A Google Analytics ezt a sütit egy egyedi felhasználói azonosító tárolására állítja be.
_gid	1 nap	A Google Analytics által telepített _gid cookie információt tárol arról, hogy a látogatók hogyan használják a webhelyet, miközben egy elemzési jelentést is készít a webhely teljesítményéről. Az összegyűjtött adatok között szerepel a látogatók száma, a látogatók forrása és az általuk anonim módon meglátogatott oldalak.
_hjFirstSeen	30 perc	A Hotjar ezt a cookie-t az új felhasználó első munkamenetének azonosítására állítja be. Egy true/false értéket tárol, amely azt jelzi, hogy a Hotjar először látta-e ezt a felhasználót.
_hjSession_*	30 perc	Az aktuális munkamenet adatait tartalmazó süti. Ez biztosítja, hogy a munkamenetablakon belüli későbbi kérések ugyanahhoz a Hotjar munkamenethez tartozzanak.
_hjSessionUser_*	1 év	A Hotjar ezt a cookie-t az új felhasználó első munkamenetének azonosítására állítja be. Egy true/false értéket tárol, amely azt jelzi, hogy a Hotjar először látta-e ezt a felhasználót.
CONSENT	2 év	A YouTube ezt a cookie-t a beágyazott youtube-videókon keresztül állítja be, és anonim statisztikai adatokat regisztrál.
pardot	soha	A pardot cookie akkor kerül beállításra, amikor a látogató Pardot-felhasználóként van bejelentkezve. A süti aktív munkamenetet jelez, és nem nyomkövetésre szolgál.

Süti	Időtartam	Leírás
fr	3 hónap	A Facebook ezt a cookie-t azért állítja be, hogy a felhasználók viselkedésének nyomon követése révén releváns hirdetéseket jelenítsen meg a felhasználóknak az interneten, olyan webhelyeken, amelyek Facebook pixel vagy Facebook közösségi plugin funkcióval rendelkeznek.
VISITOR_INFO1_LIVE	5 hónap 27 nap	A YouTube által a sávszélesség mérésére beállított süti, amely meghatározza, hogy a felhasználó az új vagy a régi lejátszófelületet kapja-e meg.
YSC	munkamenet	Az YSC cookie-t a Youtube állítja be, és a Youtube oldalakon beágyazott videók megtekintésének nyomon követésére szolgál.