ADATKEZELÉSI SZABÁLYZAT
JUREX Iparjogvédelem
I. Adatkezelő
Adatkezelő: JUREX Iparjogvédelem rövidített nevén JUREX
(a továbbiakban: "JUREX")
Képviselő: KIRÁLY
György szabadalmi ügyvivő
Székhely: 1171
Budapest, Nemesbük utca 49.
E-mail cím: jurex@jurex.hu
Telefonszám: +3613222237,
+36309316716
Fax: +3614131088
Web: www.jurex.hu
II. Az Adatkezelési Szabályzat célja és hatálya
A jelen
Adatkezelési Szabályzat (a továbbiakban: Szabályzat) célja, hogy a JUREX által
kezelt személyes adatok tekintetében meghatározza a jogszerű, megfelelő és
biztonságos adatkezeléshez szükséges adatvédelmi és adatbiztonsági szabályokat.
A Szabályzat hatálya
kiterjed a JUREX valamennyi szervezeti egységére, illetve a JUREX összes
munkavállalójára, tagjára és képviselőjére, illetve azokra a személyekre, akik
írásban vállalják a Szabályzatban foglalt rendelkezések betartását.
A Szabályzat 2018.
június 30. napján lép hatályba.
A JUREX fenntartja
a jogot, hogy a Szabályzatot egyoldalúan, előzetes általános értesítés nélkül
módosítsa, a módosítást követő hatállyal.
III. Az adatkezelés jogszabályi háttere
A személyes adatok
JUREX által történő kezelésére vonatkozó
legfontosabb jogszabályok:
·
az
Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes
személyeknek a személyes adatok kezelése tekintetében történő védelméről és az
ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül
helyezéséről (a továbbiakban: "GDPR");
·
az
információs önrendelkezési jogról és az információszabadságról szóló 2011. évi
CXII. törvény;
·
a
szabadalmi ügyvivőkről szóló 1995. évi XXXII. törvény (a továbbiakban: Sztv.);
·
a
Munka Törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.);
·
az
adózás rendjéről szóló 2017. évi CL. törvény;
·
a
személyi jövedelemadóról szóló 1995. évi CXVII. törvény;
·
a
számvitelről szóló 2000. évi C. törvény;
·
a
Polgári Törvénykönyvről szóló 2013. évi V. törvény;
·
a
társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e
szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény;
·
a
munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról
és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet.
IV. Fogalommeghatározások
A Szabályzatban,
illetve a személyes adatok kezelése során a JUREX a fogalmakat a GDPR 4.
cikkében meghatározottak szerint használja.
A JUREX általi
adatkezelés során különösen a következő fogalmaknak van jelentősége:
"Személyes adat":
azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó
bármely információ; azonosítható az a természetes személy, aki közvetlen vagy
közvetett módon, különösen valamely azonosító, például név, szám,
helymeghatározó adat, online azonosító vagy a természetes személy testi,
fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális
azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
"Adatkezelés": a
személyes adatokon vagy adatállományokon automatizált vagy nem automatizált
módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés,
rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás,
lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb
módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás,
korlátozás, törlés, illetve megsemmisítés.
"Nyilvántartási
rendszer": a személyes adatok bármely módon – centralizált, decentralizált vagy
funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely
meghatározott ismérvek alapján hozzáférhető.
"Adatkezelő": az a
természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy
másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós
vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő
kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is
meghatározhatja.
"Adatfeldolgozó":
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
"Címzett": az a
természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy
harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében
az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes
adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek
általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az
alkalmazandó adatvédelmi szabályoknak.
"Harmadik fél": az
a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb
szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval
vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen
irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
"Az érintett
hozzájárulása": az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett
nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján
jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
"Adatvédelmi
incidens": a biztonság olyan sérülése, amely a továbbított, tárolt vagy más
módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését,
elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan
hozzáférést eredményezi.
"Vállalkozás":
gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a
jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató
személyegyesítő társaságokat és egyesületeket is.
"Felügyeleti
hatóság": a GDPR 51. cikkének megfelelően létrehozott független közhatalmi
szerv.
V. A JUREX adatkezelésének alapelvei
A JUREX a GDPR 5.
cikkének rendelkezéseivel összhangban a következő adatkezelési alapelvek
szerint kezeli a személyes adatokat.
Jogszerűség,
tisztességes eljárás és átláthatóság elve: a JUREX az adatok kezelését
jogszerűen és tisztességesen, valamint az érintett számára átlátható módon
végzi.
Célhoz kötöttség
elve: a JUREX a személyes adatok gyűjtését csak meghatározott, egyértelmű és
jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem
egyeztethető módon.
Adattakarékosság
elve: a JUREX az adatkezelést annak célja vagy céljai szempontjából megfelelően
és relevánsan, és a szükségesre korlátozva végzi.
Pontosság elve: a
JUREX adatkezelése pontos és naprakész. A JUREX minden ésszerű intézkedést
megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan
személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek.
Korlátozott
tárolhatóság elve: a JUREX a személyes adatokat olyan formában tárolja, amely
az érintettek azonosítását csak a személyes adatok kezelése céljainak
eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó
jogszabályokban meghatározott tárolási kötelezettségre.
Integritás és
bizalmas jelleg elve: a JUREX megfelelő technikai vagy szervezési intézkedések
alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a
személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen
elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet.
Elszámoltathatóság
elve: a JUREX felelős a fentiekben részletezett alapelveknek való megfelelésért,
a megfelelést az Irodának kell igazolnia.
VI. A JUREX általi adatkezelésre vonatkozó szabályok
VI.1. Az adatkezelés lehetséges jogalapjai
Az adatkezelés
jogalapja a JUREX tevékenysége során – a GDPR 6. cikke alapján – lehet az
érintett hozzájárulása [GDPR 6. cikk (1) bekezdés a) pont], szerződés
teljesítése [GDPR 6. cikk (1) bekezdés b) pont], szerződés teljesítését
megelőzően az érintett kérésére bizonyos szükséges lépések megtétele [GDPR 6.
cikk (1) bekezdés b) pont], jogi kötelezettség teljesítése [GDPR 6. cikk (1)
bekezdés c) pont], az érintett vagy más személyek létfontosságú érdekeinek
védelme [GDPR 6. cikk (1) bekezdés d) pont], közérdekű adatkezelés [GDPR 6.
cikk (1) bekezdés e) pont], a JUREX vagy más személyek jogos érdekeinek
érvényesítése [GDPR 6. cikk (1) bekezdés f) pont]. Amennyiben valamelyik
feltétel teljesül, az adatkezelés jogszerű.
A hozzájáruláson
alapuló adatkezelés tekintetében a hozzájárulás a GDPR 7. cikkének (3)
bekezdése alapján bármikor visszavonható. Az adatok kezeléséhez történő
hozzájárulás visszavonása nem érinti a visszavonás előtt a hozzájárulás alapján
végrehajtott adatkezelés jogszerűségét. Az érintett írásban, dokumentált módon
megküldve vonhatja vissza a hozzájárulását, megjelölve azon adatokat, amelyek
vonatkozásában a hozzájárulást visszavonja. A hozzájárulás visszavonása csak
abban az esetben eredményezi a kért adattörlést, ha az adat kezelése kizárólag
az érintett hozzájárulásán alapult, és az adatkezelésnek más jogalapja nem
volt.
A hozzájárulások
tekintetében speciális esetkört képeznek az állásokra pályázók vagy egyéb
jelentkezők. Esetükben, amennyiben a JUREX bármi okból nem teszi weboldalán
elérhetővé vagy e-mailen közvetlenül nem küldi meg a pályázók, illetve
jelentkezők részére az Adatkezelési Tájékoztatóját, úgy az adatkezelésre
vonatkozó rendelkezéseket köteles a munkaszerződés megkötése céljából kiírt pályázatokba
foglalni. A JUREX a pályázatok elbírálása előtt köteles írásban kérni az
állásokra pályázókat az adatkezelési hozzájárulás megadására, és nyilatkoztatni
őket arról, hogy elfogadják az Adatkezelési Tájékoztatóban foglaltakat.
A JUREX általi
adatkezelések tipikus eseteit és azok jogalapjait a JUREX Adatkezelési
Tájékoztatója, illetve a munkavállalók részére készített Adatkezelési
Tájékoztató tartalmazza.
Az adatkezelés
jogalapja az adatkezelés folyamán változhat.
Azokban az
esetekben, amikor a JUREX jogos érdeke alapozza meg az adatkezelést, a GDPR
rendelkezései értelmében az alábbiak alapján érdekmérlegelési tesztet szükséges
elvégezni:
•
adatkezelés
tárgya;
•
a
jogos érdek jogalap megállapítása;
•
a
kezelendő személyes adatok;
•
adatkezelés
célja;
•
a
JUREX jogos érdekének megnevezése;
•
az
érintettek milyen jogai sérülhetnek;
•
érdekmérlegelés;
•
milyen
intézkedéseket, garanciákat alkalmaz a JUREX az így gyűjtött személyes adatok
megfelelő védelme érdekében.
Az
érdekmérlegelési teszt elvégzését követően annak eredményéről a JUREX
tájékoztatja az érintettet, az adatkezelés megkezdése előtt annak érdekében,
hogy biztosítható legyen az érintett tájékozódáshoz való joga. Az érintettnek
emellett a JUREX köteles biztosítani a jelen Szabályzatban írt egyéb adatvédelmi
jogok gyakorlását is.
Az
érdekmérlegelési teszt mintája a jelen Szabályzat mellékletét képezi.
VI.2. A JUREX adatkezelésének esetkörei
A JUREX személyes
adatokat akkor kezel, ha ügyfelei, partnerei vagy weboldalunk látogatói
valamilyen módon kapcsolatba lépnek vele, illetve igénybe veszik szolgáltatásait.
A JUREX kezeli továbbá munkavállalói, tagjai és képviselő adatait is.
Az adatkezelések gyakori
vagy előre meghatározható eseteit a JUREX által közzétett Adatkezelési Tájékoztató
VI. pontja, illetve a munkavállalók részére készített Adatkezelési Tájékoztató
VII. pontja fejti ki részletesen.
Az Irodában az
adatkezelési célok eléréséhez szükséges mértékben a személyes adatokhoz
hozzáférhetnek az eljáró szabadalmi ügyvivők, helyettes szabadalmi ügyvivők,
eljáró szabadalmi ügyvivő asszisztensei, helyettes szabadalmi ügyvivő
asszisztensei, illetve a JUREX további munkavállalói, közreműködői. A JUREX
tagjai és munkatársai kizárólag a JUREX céljaira használhatják a JUREX által
tárolt személyes adatokat, és teljes titoktartásra kötelesek a munkavégzés
során, illetve a JUREX működése során megismert személyes adatok vonatkozásában
is.
A JUREX a részére
az érintett által megadott személyes adatokat – kifejezett jogszabályi kötelezettség
esetét kivéve – nem ellenőrzi, azok valóságáért kizárólag az érintett felel.
A JUREX nem gyűjt
a GDPR 9. cikkében írt különleges adatokat, kifejezett jogszabályi
kötelezettség esetét kivéve.
A JUREX által
közzétett Adatkezelési Tájékoztató, illetve a munkavállalók részére készített
Adatkezelési Tájékoztató tartalmát a JUREX munkavállalói, tagjai és képviselői
kötelesek megismerni, az abban foglaltakat az adatkezelés során irányadónak
tekinteni és messzemenőkig betartani.
VI.3. Kötelező tájékoztatás
Amennyiben a JUREX
az adatokat közvetlenül az érintettől szerezte meg, úgy köteles tájékoztatást
nyújtani az alábbiakról:
·
a
JUREX képviselőjének neve és elérhetőségei;
·
az
adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
·
a
személyes adatok tervezett kezelésének célja, valamint az adatkezelés
jogalapja;
·
a
jogos érdeken alapuló adatkezelés esetén a JUREX vagy harmadik fél jogos
érdekei;
·
adott
esetben a személyes adatok címzettjei;
·
adott
esetben annak ténye, hogy a JUREX harmadik országba vagy nemzetközi szervezet
részére kívánja továbbítani a személyes adatokat.
A személyes adatok
első megszerzésének időpontjában a JUREX a fentieken túl az érintetteket
tájékoztatja az alábbiakról is:
·
a
személyes adatok tárolásának időtartama;
·
az
érintett azon jogáról, hogy kérelmezheti a rá vonatkozó személyes adatokhoz
való hozzáférést, azok helyesbítését, az egyes jogalapokhoz tartozó adatkezelés
esetében az adatok törlését vagy kezelésének korlátozását, és egyes
jogalapokhoz tartozó adatkezelés esetében tiltakozhat az ilyen személyes adatok
kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
·
a
hozzájáruláson alapuló adatkezelés bármely időpontban történő visszavonásához
való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott
adatkezelés jogszerűségét;
·
a
felügyeleti hatósághoz címzett panasz benyújtásának joga;
·
arról,
hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses
kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy
az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen
lehetséges következményekkel járhat az adatszolgáltatás elmaradása.
Ha a JUREX a
személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést
kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet az
eltérő célról és minden lényeges kapcsolódó információról.
A JUREX a kötelező
tájékoztatásnak a következő módokon tehet eleget. A JUREX a fenti
információkról Adatkezelési Tájékoztatót tesz közzé a weboldalán olyan módon,
hogy az könnyen megtalálható és könnyen elérhető legyen bárki számára. A
weboldalon való közzététel mellett vagy helyett a JUREX választhatja az
Adatkezelési Tájékoztató szerződés mellékleteként történő hozzáférhetővé
tételét; ebben az esetben elegendő az adott érintetti körre vonatkozó
adatkezelési tájékoztatást az érintett rendelkezésére bocsátani. A JUREX
szerződéseiben, jognyilatkozataiban utalhat arra, hogy a weboldalon elérhető a
mindenkori Adatkezelési Tájékoztató, de ha bármi okból nem lenne elérhető,
kérésre azt a JUREX megküldi elektronikusan az érintettnek. Általános
Szerződési Feltétel részét nem képezheti az Adatkezelési Tájékoztató. A
munkavállalók részére a JUREX köteles Adatkezelési Tájékoztatót rendelkezésre
bocsátani a munkaszerződés megkötésekor, illetve a későbbiekben az Adatkezelési
Tájékoztató tartalmának változásakor.
Amennyiben a JUREX
nem az érintettől szerezte meg a személyes adatokat, a kötelező tájékoztatásra
vonatkozó rendelkezések nem alkalmazandók, a JUREX azonban az Sztv. és az egyéb
vonatkozó jogszabályok szerinti titoktartási rendelkezéseket köteles betartani.
VI.4. Adatvagyon
leltár
A JUREX az általa kezelt adatokról
adatvagyon leltárt készít annak érdekében, hogy meg tudja határozni az
adatkezeléshez megfelelő technikai és szervezési intézkedéseket. Az adatvagyon
leltárban az alábbiakat kell feltüntetni:
·
az
érintettek;
·
az
adatkezelés megnevezése és célja;
·
a
kezelt adatok köre;
·
jogszabályi
kötelezettség alapján kezelt különleges adatok köre;
·
az
adatkezelés jogalapja;
·
az
adatkezelés időtartama;
·
ki
férhet hozzá a személyes adatokhoz az Irodán belül;
·
ki
számára kerülhet az adat továbbításra;
·
adatfeldolgozó
alkalmazása esetén ki, milyen célra és milyen személyes adatokhoz férhet hozzá
és mennyi ideig tárolhatja a személyes adatokat;
·
adatfeldolgozási
tevékenység esetén mely tevékenységéhez kötötten minősül a JUREX
adatfeldolgozónak, mely adatkezelő nevében végzi az adatfeldolgozási
tevékenységet, milyen személyes adatokhoz fér hozzá és mennyi ideig tárolhatja
a személyes adatokat.
VI.5. Adatkezelési tevékenységek nyilvántartása
A JUREX
adatkezelési tevékenységek nyilvántartását vezet annak érdekében, hogy
megfeleljen a GDPR által meghatározott elszámoltathatóság elvének.
Az adatkezelési
tevékenységek nyilvántartása a következőket tartalmazza:
·
a
JUREX (mint adatkezelő) neve és elérhetősége, valamint – ha van ilyen – a közös
adatkezelőnek, a JUREX képviselőjének és az adatvédelmi tisztviselőnek a neve
és elérhetősége;
·
az
adatkezelés céljai;
·
az
érintettek kategóriáinak, valamint a személyes adatok kategóriáinak
ismertetése;
·
olyan
címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják;
·
adott
esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére
történő továbbítására vonatkozó információk;
·
ha
lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
·
ha
lehetséges, a technikai és szervezési intézkedések általános leírása.
Amennyiben a JUREX
adatfeldolgozóként is végez tevékenységet, úgy adatfeldolgozóként is köteles
nyilvántartást vezetni az adatkezelési tevékenységek valamennyi kategóriájáról.
A nyilvántartás a következő információkat tartalmazza:
·
az
adatfeldolgozó és képviselőjének neve és elérhetőségei;
·
az
adatkezelő nevében végzett adatkezelési tevékenységek kategóriái;
·
adott
esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére
történő továbbítása.
Az adatkezelési
tevékenységek nyilvántartását a JUREX írásban vezeti, papír alapon vagy
elektronikus formátumban.
VI.6. A JUREX által vezetendő további nyilvántartások
A JUREX
nyilvántartást vezet az alábbiakról is:
·
adattovábbítás
nyilvántartása (szokásos ügyviteltől eltérő esetekre);
·
érintetti
jogok érvényesítése iránti kérelmek és az arra a JUREX által adott válaszok
nyilvántartása;
·
hatósági
megkeresések és a JUREX által adott válaszok nyilvántartása;
·
adatkezelés
megszüntetése iránti kérelmek nyilvántartása;
·
ügyfelek
nyilvántartása;
·
munkaviszonnyal
összefüggő személyes adatok kezelésének nyilvántartása;
·
munkaerő-felvétel
nyilvántartása (pályázatok papíralapon és/vagy elektronikusan);
·
adatvédelmi
incidensek nyilvántartása.
VI.7. Személyes adatok továbbítása, adatfeldolgozás
A JUREX a
személyes adatokat nem teszi hozzáférhetővé harmadik személyek számára az
érintett engedélye nélkül.
Ugyanakkor az
alábbi esetekben a JUREX megoszthatja a személyes adatokat a szükséges
mértékben más szervezetekkel:
·
ha
jogszabály vagy közhatalmi szerv kötelezi erre;
·
megbízás
teljesítése érdekében megküldhet személyes adatokat például hivataloknak,
bíróságoknak, külföldi partner irodáknak, eljárásokban részt vevő ellenérdekű
feleknek vagy más személyeknek;
·
ha
abból a célból kell megosztani személyes adatokat, hogy a jogait megalapozza,
gyakorolja vagy megvédje;
·
jogszabályi
kötelezettségek teljesítése érdekében a JUREX küldhet személyes adatokat, így
például könyvelő részére, állami vagy önkormányzati adóhatóságnak történő
számlabejelentés vagy bevallások megküldése esetén;
·
ha
a JUREX átszervezi, eladja vagy átadja a vállalkozását vagy annak egy részét;
·
ha
a szolgáltatásai teljesítéséhez más szolgáltatókat vesz igénybe, így például
technológiai szolgáltatások igénybe vétele, weboldal, informatikai szolgáltatások
igénybe vétele, szerverüzemeltetés, adatok tárolására irányuló szolgáltatások,
fizetési műveletek kezelése céljából.
Weboldal
karbantartó: Solymos Tamás (8000
Székesfehérvár Zobori u. 31.)
Ha az adatkezelést
a JUREX nevében más végzi (például bérszámfejtés, szerver szolgáltatás,
weboldal üzemeltetés), a JUREX kizárólag olyan adatfeldolgozókat vehet igénybe,
akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR
követelményeinek való megfelelését és az érintettek jogainak védelmét
biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Az adatfeldolgozó
a JUREX előzetes írásbeli engedélye nélkül további adatfeldolgozót nem vehet
igénybe.
Az adatfeldolgozó
által végzett adatkezelés vonatkozásában kötendő szerződésnek elő kell írnia az
adatfeldolgozó számára, hogy
·
a
személyes adatokat kizárólag a JUREX írásbeli utasításai alapján kezeli,
·
biztosítja
azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási
kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási
kötelezettség alatt állnak;
·
alkalmazza
a legalább a JUREX által előírt szintű adatbiztonsági intézkedéseket;
·
tiszteletben
tartja a további adatfeldolgozó igénybevételére vonatkozóan fentebb említett
feltételeket;
·
az
adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési
intézkedésekkel a lehetséges mértékben segíti az Irodát abban, hogy teljesíteni
tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek
megválaszolása tekintetében;
·
segíti
az Irodát az adatvédelmi incidens szerinti kötelezettségek teljesítésében,
figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére
álló információkat;
·
vállalja,
hogy a nála bekövetkező adatvédelmi incidens esetén haladéktalanul tájékoztatja
erről az Irodát;
·
az
adatkezelési szolgáltatás nyújtásának befejezését követően a JUREX döntése
alapján minden személyes adatot töröl vagy visszajuttat az Irodának, és törli a
meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes
adatok tárolását írja elő.
Az adatfeldolgozó
és a nála személyes adatokhoz hozzáféréssel rendelkező személy ezeket az
adatokat kizárólag a JUREX utasításának megfelelően kezelheti, az adatkezelést
érintő érdemi döntést nem hozhat, a tudomásukra jutott személyes adatokat
kizárólag a JUREX rendelkezései szerint dolgozhatja fel, saját célra adatfeldolgozást
nem végezhet, továbbá a személyes adatokat a JUREX rendelkezései szerint
kötelesek tárolni, megőrizni és törölni. Az adatfeldolgozás során az adatokat
az adatfeldolgozó munkavállalói, közreműködői ismerhetik meg.
Az informatikai
szolgáltatások igénybe vétele során, az azokra vonatkozó szerződések szerint a
szolgáltatást végzők fájlokat nem nyithatnak meg, nem továbbíthatnak, semmilyen
módon nem használhatnak fel.
VI.8. A személyes adatok tárolásának időtartama
Az Sztv. 20. § (2)
bekezdése alapján a JUREX a megszűnt ügyek iratait a megbízás megszűnésétől
számított öt (5) évig köteles megőrizni. Ezekben az esetekben a JUREX az
aktákban szereplő személyes adatokat is a megbízás megszűnésétől számított
legalább öt (5) évig tárolja a jogszabályi kötelezettség okán, majd a soron
következő iratselejtezéskor – vagy kérésre már ezt megelőzően – törli.
A
munkaszerződésekben, illetve a munkaügyi iratokban szereplő személyes adatokat a
JUREX a munkaviszony megszűnésétől, illetve megszüntetésétől számított legalább
három (3) évig tárolja a munkajogi elévülés okán, majd a soron következő
iratselejtezéskor – vagy kérésre már ezt megelőzően – törli.
Egyéb esetekben a
JUREX a személyes adatokat a szerződések teljesítéséig, de legkésőbb a soron
következő iratselejtezésig kezeli, kérés esetén azonban már az iratselejtezést
megelőzően törli.
Pályázatok vagy
egyéb jelentkezések esetében a személyes adatokat a JUREX az elbírálásig, de
legkésőbb a következő iratselejtezésig kezeli, kérés esetén azonban már az
iratselejtezést megelőzően törli. Ez alól kivétel, ha az elbírálás
eredményeként szerződés jön létre a pályázóval, jelentkezővel.
A JUREX 20
évenként iratselejtezést hajt végre. Az elektronikusan tárolt adatokat 20 év
után törli.
A JUREX részére a
weboldal kapcsolatfelvételi menüpontja alatt küldött levelek átmenetileg
kerülnek tárolásra, azok haladéktalanul továbbításra kerülnek a JUREX e-mail
címeire és törlésre kerülnek a weboldal tárhelyéről.
Az Irodában
készült kamerafelvételeket a JUREX a személy- és vagyonvédelmi, valamint a
magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény 31. §
(2) bekezdése alapján felhasználás hiányában a rögzítéstől számított három
munkanapig – illetve a jogszabályban mindenkor előírt maximális időtartamig –
tárolja, ezt követően törlésre kerülnek.
A JUREX a
személyes adatokat a Facebook, LinkedIn vagy Google+ oldalainkon történő
regisztráció, illetve feliratkozás időtartama alatt kezeli. Ezek az oldalak
bármikor elhagyhatók az érintettek saját döntése alapján.
A JUREX a
személyes adatokat a fent meghatározott időtartamokat követően csak a szükséges
ideig tárolja, attól függően, hogy mi az adatgyűjtés, illetve adatkezelés
célja, van-e egyéb jogszabályi kötelezettség az adat tárolására, illetve az
érintett vagy más személyek létfontosságú érdekeinek védelme, a JUREX vagy más
személyek jogos érdekeinek érvényesítése okán mennyi ideig szükséges a tárolás.
VII. Adatbiztonsági rendelkezések
VII.1. Adattárolás
A JUREX a
személyes adatokat a következő módokon tárolja a Szabályzat hatályba lépésének
időpontjában:
·
irodai
asztali gépeken/laptopokon;
·
webserveren
(weboldal tartalma);
·
weboldal
üzemeltető szerverén (weboldalon keresztül küldött levelek átmeneti tárolása,
azok továbbításáig);
·
papíralapon;
·
céges
e-mail fiókba érkező levelek a mobil telefonra telepített levelező programon
keresztül tárolásra kerülnek a SIM kártyán vagy a készülék memóriájában, a
beállításoknak megfelelő ideig;
·
mobil
telefonban rögzített adatok felhő alapú mentése esetén a felhőben (például
Google felhő szerverei, Apple iCloud szerverei).
A JUREX fenntartja
a jogot, hogy a későbbiekben egyéb, jogszerű és biztonságos módon is tárolja a
személyes adatokat.
VII.2. Az adatkezelések biztonsági szintjének
meghatározása
A JUREX a tudomány
és technológia állása és a megvalósítás költségei, továbbá az adatkezelés
jellege, hatóköre, körülményei és céljai, valamint a természetes személyek
jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú
kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket
hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű
adatbiztonságot garantálja.
A JUREX a
megfelelő szintű adatbiztonsági intézkedések meghatározása érdekében a JUREX
kezelésében lévő minden adatállományt a védelmi igény szempontjából értékel, és
biztonsági fokozatba sorol.
A biztonság
megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az
adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított,
tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes
megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan
nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből
erednek.
Az egyes
adatkezelések biztonsági fokozatának megállapításához figyelembe kell venni:
·
a
kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával,
törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a
várható kárt;
·
azt,
hogy helyreállítható-e a sérült adatállomány, valamint az esetleges
helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges
adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az
elveszített adatok pótlásának lehetőségét;
·
azt,
hogy a kezelt személyes adatok jellegére tekintettel indokolt-e
megkülönböztetett biztonsági előírásokat alkalmazni;
·
az
adatbiztonságot veszélyeztető más kockázati elemeket.
VII.3. Adatbiztonsági intézkedések
A JUREX a
következő adatbiztonsági intézkedéseket hozza, illetve teszi meg.
A JUREX kulcsait
csak olyan személy részére bocsátja rendelkezésre, akinek jogosultsága van az
Irodába belépni és ott tevékenységet végezni. A JUREX riasztó berendezéssel
felszerelt.
A JUREX az általa
elektronikusan, illetve papír alapon kezelt adatokhoz való jogosulatlan
hozzáférés elkerülése érdekében biztosítja, hogy a kezelt adatokhoz fizikailag
ne férhessen hozzá arra jogosulatlan személy.
A JUREX
helyiségeibe, illetve a szerver szobába illetéktelen nem léphet be, azok
szükség esetén bezárásra kerülnek. A JUREX a monitorokon fóliákat alkalmaz,
illetve előírja, hogy munkatársai a monitorokat olyan módon helyezzék el, hogy
az azokon megjelenített adatokra kizárólag a jogosultak láthassanak rá. A
számítógépekhez kizárólag a JUREX által auditált adathordozókat lehet
csatlakoztatni.
A JUREX
biztosítja, hogy az általa kezelt adatokhoz kizárólag az arra megfelelő
jogosultsággal rendelkezők férjenek hozzá. A jogosultsági szintek a munkaköri leírásokban
vagy külön utasításokban kerülnek meghatározásra.
A belső
számítógépes hálózatba való belépés felhasználónévhez és jelszóhoz kötött.
A JUREX
biztosítja, hogy a személyes adatokhoz való esetleges hozzáférés
dokumentációkban nyomon követhető legyen (tevékenységnapló, jelenléti ív,
épületbe, irodába történt belépés naplózása).
A JUREX a hozzá
tévesen beérkező személyes adatokat tartalmazó iratok kapcsán biztosítja, hogy
azokat a lehető legszűkebb személyi kör ismerje meg, és gondoskodik az irat mihamarabbi
megsemmisítéséről a feladó értesítése mellett.
VIII. Eljárás az adatvédelmi
jogokkal kapcsolatban
A JUREX az érintett jelen pont szerinti bármely
írásbeli, illetve elektronikus kérelmének a JUREX Adatkezelési Tájékoztatóiban
közzétett elérhetőségei valamelyikén történt benyújtásától számított
legrövidebb idő alatt, indokolatlan késedelem nélkül, legfeljebb azonban
harminc (30) napon belül az érintett által kért módon, írásban postai úton vagy
elektronikusan – az érintett erre vonatkozó kifejezett kérése hiányában
elsősorban elektronikusan – megadja a kért tájékoztatást, illetve megteszi a
kért intézkedést.
Ha a JUREX az érintett kérésének nem vagy bármilyen
okból nem a harminc (30) napos határidőn belül tud eleget tenni, erről az
érintettet mindenképpen harminc (30) napon belül tájékoztatja.
A JUREX tömör, átlátható, érthető és könnyen
hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt
tájékoztatást az érintettek számára.
A tájékoztatást és az intézkedést díjmentesen kell
biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy –
különösen ismétlődő jellege miatt – túlzó, a JUREX, figyelemmel a kért
információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával
járó adminisztratív költségekre, ésszerű összegű díjat számíthat fel, vagy
megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen
megalapozatlan vagy túlzó jellegének bizonyítása az Irodát terheli.
Amennyiben az érintett az Irodától az adatkezelés
tárgyát képező személyes adatok másolatának a rendelkezésére bocsátását kéri,
az érintett által kért további másolatokért a JUREX az adminisztratív
költségeken alapuló, ésszerű mértékű díjat számíthat fel.
A JUREX köteles tájékoztatni az érintettet, hogy a
személyes adatai a JUREX által történő kezelésével kapcsolatban jogosult
panaszt benyújtani a felügyeleti (adatvédelmi) hatósághoz:
Nemzeti Adatvédelmi és Információszabadság Hatóság
(NAIH)
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Telefon: +3613911400
E-mail: ugyfelszolgalat@naih.hu
Weboldal: http://www.naih.hu/
VIII.1. Tájékoztatáskérés,
hozzáférési jog
Az érintettnek a JUREX kérésre tájékoztatást nyújt
különösen:
· a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról;
·
a kezelt
személyes adatok kategóriáiról, a kezelt személyes adatokról, azon címzettekről
vagy címzettek kategóriáiról, akikkel vagy amelyekkel Irodánk a személyes
adatokat közölte vagy közölni fogja;
·
a személyes
adatok tárolásának tervezett időtartamáról vagy ezen időtartam meghatározásának
szempontjairól;
·
az érintett
azon jogáról, hogy kérelmezheti a rá vonatkozó személyes adatok helyesbítését,
törlését vagy kezelésének korlátozását, továbbá tiltakozhat az ilyen személyes
adatok kezelése ellen;
·
a
felügyeleti hatósághoz történő panasz benyújtásának jogáról;
·
ha az adatok
nem az érintettől származnak, azok forrására vonatkozó információkról.
A tájékoztatáshoz való jog minden adatkezelési jogalap
vonatkozásában megilleti az érintettet.
VIII.2. Adathelyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére a JUREX
helyesbítse a rá vonatkozó pontatlan személyes adatokat, továbbá – figyelembe
véve az adatkezelés célját is – jogosult arra, hogy kérje a hiányos személyes
adatok kiegészítését.
VIII.3. Tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével
kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1)
bekezdés e) vagy f) pontján alapuló kezelése ellen. Ebben az esetben a JUREX a
személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az
adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget
élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy
amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez
kapcsolódnak.
VIII.4. Törléshez való jog ("az
elfeledtetéshez való jog")
Az érintett jogosult arra, hogy kérésére a JUREX
indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a
JUREX pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat
indokolatlan késedelem nélkül törölje, ha a GDPR 17. cikkében foglalt indokok
valamelyike fennáll.
Amennyiben a JUREX törli az adatot, úgy köteles
mindent megtenni annak érdekében, hogy a személyes adat az összes adatbázisból
törlésre kerüljön. A JUREX a törlésről jegyzőkönyvet vesz fel annak érdekében,
hogy a törlés megtörténtét igazolni tudja. A jegyzőkönyvet a JUREX képviselője
vagy erre jogosult munkavállalója írja alá. A törlési jegyzőkönyv tartalmazza
az érintett nevét, a törölt személyes adat típusát, a törlés időpontját. A
JUREX a törlésről mindent személyt tájékoztat, akinek a személyes adat
továbbításra került.
VIII.5. Adatkezelés korlátozása
iránti jog
Az érintett jogosult arra, hogy kérésére a JUREX
korlátozza az adatkezelést, ha a GDPR 18. cikkében írt valamelyik feltétel
teljesül.
Ha az adatkezelés korlátozás alá esik, az ilyen
személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával,
vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más
természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai Unió,
illetve valamely tagállam fontos közérdekéből lehet kezelni.
A JUREX a korlátozásról mindent személyt tájékoztat,
akinek a személyes adat továbbításra került.
VIII.6. Adathordozhatósághoz való
jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa
a JUREX rendelkezésére bocsátott személyes adatokat tagolt, széles körben
használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy
ezeket az adatokat egy másik adatkezelőnek továbbítsa, a GDPR 20. cikkében írt
feltételek szerint.
Az adatok hordozhatóságához való jog gyakorlása során
az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a
személyes adatok adatkezelők közötti közvetlen továbbítását. A jog gyakorlása
nem érintheti hátrányosan mások jogait és szabadságait.
IX. Adatvédelmi incidensek
Az adatvédelmi
incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon
kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan
hozzáférést eredményezi.
Az adatvédelmi incidenst a JUREX
indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb hetvenkét (72)
órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a felügyeleti
hatóságnak. Amennyiben a bejelentés nem történik meg hetvenkét (72) órán belül,
a késedelem okát igazolni kell.
Az adatvédelmi incidenst nem kell a felügyeleti hatóságnak
bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal
a természetes személyek jogaira és szabadságaira nézve.
Amennyiben az adatvédelmi incidens felügyeleti hatóság
számára történő bejelentése szükséges, úgy a bejelentésben:
·
ismertetni
kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek
kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok
kategóriáit és hozzávetőleges számát;
·
közölni kell
a kapcsolattartó (vagy ha van, adatvédelmi tisztviselő) nevét és
elérhetőségeit;
·
ismertetni
kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
·
ismertetni
kell a JUREX által az adatvédelmi incidens orvoslására tett vagy tervezett
intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő
esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas
kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a JUREX
indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi
incidensről. Az érintettel világosan és közérthetően ismertetni kell az
adatvédelmi incidens jellegét, és közölni kell:
·
a
kapcsolattartó (vagy ha van, adatvédelmi tisztviselő) nevét és elérhetőségeit;
·
ismertetni
kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
·
ismertetni
kell a JUREX által az adatvédelmi incidens orvoslására tett vagy tervezett
intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő
esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet nem kell tájékoztatni, ha a következő
feltételek bármelyike teljesül:
·
a JUREX
megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és
ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok
tekintetében az adatvédelmi incidenst megelőzően alkalmazták, különösen azokat
az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a
személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára
értelmezhetetlenné teszik az adatokat;
·
a JUREX az
adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek
biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas
kockázat a továbbiakban valószínűsíthetően nem valósul meg;
·
a
tájékoztatás aránytalan erőfeszítést tenne szükségessé; ilyen esetekben az
érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy
olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan
hatékony tájékoztatását.
Amennyiben a JUREX adatfeldolgozási tevékenységet is
végez, úgy a nála bekövetkezett adatvédelmi incidensről haladéktalanul
tájékoztatja az adatkezelőt, akinek a számára az adatfeldolgozási tevékenységet
végzi.
Amennyiben a JUREX adatfeldolgozót alkalmaz, úgy az
adatfeldolgozó szerződésben ki kell kötni, hogy az adatfeldolgozó köteles a
nála bekövetkezett adatvédelmi incidenst haladéktalanul bejelenteni az Irodának.
2018. június 30
1. számú melléklet
Érdekmérlegelési teszt – szerződéses kapcsolattartói
adatokra vonatkozóan –
MINTA
Adatkezelés
tárgya: A JUREX szerződéseiben foglalt
kapcsolattartó személyek (továbbiakban: érintettek) egyes személyes adatainak
kezelése
Jogos érdek
jogalap: A JUREX a GDPR 6. cikkében
foglaltak megvizsgálását követően arra a következtetésre jutott, hogy a
szerződésben aláíró félként nem szereplő, de kapcsolattartóként megnevezett
érintettek adatai kezelésének jogszerűsége a GDPR 6. cikk (1) f) pontja szerint
az adatkezelő jogos érdekére alapítható.
Kezelendő
személyes adatok: a szerződés szerinti kapcsolattartó személy (érintett) neve,
munkahelyi telefonszáma és munkahelyi e-mail címe. A személyes adatokat a
szerződést a JUREX szerződő partnereként aláíró személy bocsátja rendelkezésre.
Adatkezelés célja:
a szerződésben foglalt kötelezettségek teljesítéséhez szükséges
kapcsolattartás.
Jogos érdek: a
JUREX által a szerződésben foglaltak hatékony teljesítésének elősegítése.
Az érintettek
jogai, amelyek sérülhetnek: névviseléshez fűződő jog, természetes személy
azonosíthatósága egyéb adatok alapján.
Érdekmérlegelés: a
JUREX érdeke a tevékenységének minél hatékonyabb ellátása, annak elérésére,
hogy a szerződésben vállalt kötelezettségei szakmai teljesítésére tudjon
megfelelő időt fordítani. A szerződés teljesítéséhez kapcsolódó adminisztratív
feladatok, igények (például dokumentumok beszerzése) úgy tudnak a lehető
leghatékonyabban megvalósulni, hogy a JUREX szerződő partnerénél alkalmazott,
az ezen feladatokért felelős, azok ellátására kompetens személlyel folyik a
kapcsolattartás.
Garanciák: a JUREX
kizárólag a szerződésben foglaltak teljesítése érdekében kezeli az érintett
adatait. A szerződésben foglalt titoktartási rendelkezések is kötik az Irodát.
Az Irodánál szigorú belső adatkezelési eljárásrend van hatályban, az adatokhoz
kizárólag arra jogosultak férnek hozzá; az adatok nem kerülnek továbbításra.
Összegzés: a JUREX
a fentiek alapján úgy ítéli meg, hogy megállapítható a jogos érdeke a szerződő
partnerével kötött szerződésben szereplő kapcsolattartók adatainak kezelésére,
a jogos érdeket nem írják felül az egyén jogai és szabadságjogai.
Kelt.:
…………………………..
……………………………………………
aláírás
