ADATKEZELÉSI TÁJÉKOZTATÓ



Az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937. számú európai parlamenti és tanácsi irányelvben (a továbbiakban: Irányelv), valamint a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvényben (továbbiakban: Panasztörvény) foglaltaknak való megfelelés érdekében a Greenwork Kft. belső visszaélés-bejelentési rendszert működtet, illetve ehhez kapcsolódóan személyes adatokat kezel. Az alábbiakban az adatkezelés fontosabb részleteit mutatjuk be.

 

  1. ADATAKEZELÉS CÉLJA, ADATVÉDELMI TSZTSÉGVISELŐ ÉS ADATFELDOLGOZÓ

 

A belső visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek feltételezett cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenteni. Az adatkezelés célja, a Cég bejelentővédelmi rendszerén keresztül beérkező azon bejelentések kivizsgálása, amelyek elintézése a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló Panasztörvény hatálya alá tartozik.

 

Adatvédelmi tisztviselő neve: Aranyné Véber Mónika

Elérhetőségei

E-mail: panaszbejelentes@greenwork.hu

Levelezési cím: 8000 Székesfehérvár, Budai út 25. fsz. 1.

Telefon: +36 30 956 6141

 

  1. KEZELT ADATOK KÖRE

 

A Cég a Panasztörvény rendelkezési alapján a következő személyes adatokat kezeli:

  1. a bejelentőnek,
  2. annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, és
  3. annak a személynek, aki a bejelentésben foglaltakról érdemi információval rendelkezhet a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatai.

 

  1. ADATKEZELÉS JOGALAPJA

Az adatkezelés az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 6. cikk (1) bekezdés c) pontján alapul (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges) tekintettel a Panasz tv. 26. §-ának rendelkezéseire.

Bizonyos adattovábbítások esetében a GDPR 6. cikk (1)(a) bekezdése szerinti hozzájárulás (lsd. egyéb címzettek számára történő adattovábbítás).

A vizsgálati szakasz lezárását követően az adatkezelés jogalapja a GDPR 6. cikk (1)(f) bekezdése szerinti jogos érdek. A vizsgálati szakasz maximum 3 hónapos tartamának lezárultát követően az adatkezelő az adatokat az 5 éves polgári jogi elévülési időn belül elzártan tovább kezeli, és egy esetleges panasz (pl. NAIH), hatósági eljárás vagy bírósági jogorvoslat esetén használja csak fel azokat a bizonyítási eljárás lehetővé tétele, a tényállás pontos feltárása, a jogszerű döntés meghozatala – mint adatkezelői jogos érdek – céljából. Az érintett jogos érdeke egy esetlegesen meginduló eljárásban azonos.

 

IV. ADATFELDOLGOZÓK ÉS CÍMZETTEK

 

A belső visszaélés-bejelentési rendszer adataihoz kizárólag olyan személyek férnek hozzá, akiknek a hozzáférése a bejelentés kivizsgálásával összefüggésben szükséges. Minden ettől eltérő adattovábbításhoz a bejelentő kifejezett hozzájárulása szükséges. A bejelentést kivizsgáló személyek a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyre vonatkozó információkat – a bejelentésben érintett személy tájékoztatásán túl – a foglalkoztató más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatják meg.

 

A Cég a bejelentés kivizsgálásában esetlegesen közreműködő bejelentővédelmi ügyvéd, illetve külső szervezet – mint adatfeldolgozók - részére továbbíthatja az általa kezelt adatokat a bejelentés kapcsán.

 

A bejelentő személyes adatai – a rosszhiszemű bejelentés kivételével – csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatóak át, ha e szerv annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához a bejelentő hozzájárult. A bejelentő személyes adatai hozzájárulása nélkül nem hozhatóak nyilvánosságra.

 

V.  SZEMÉLYES ADATOK TÁROLÁSÁNAK IDEJE

A bejelentési eljárásban keletkezett adatok megőrzésére az alábbi szabályok vonatkoznak:

a) Azon bejelentések esetén, amelyek nem tartoznak a jelen dokumentumban szabályozott eljárás körébe, amennyiben nem kerül sor intézkedésre, a személyes adatokat haladéktalanul törölni kell. Az anonimizált adatok archiválásra kerülnek.

b) Ha a bejelentést nem követi egyéb (hatósági, bírósági) eljárás, az adatokat meg kell semmisíteni vagy archiválni (az adatok anonimizálását követően) az eljárás befejezését követő két hónapon belül. A fenti megőrzési időre vonatkozó rendelkezések minden adathordozóra vonatkoznak, így fájlokra, e-mailekre, papír alapú dokumentumokra vagy beolvasott adathordozókra, nyomon követésre használt nyilvántartásokra stb.

c) Ha egyéb eljárás indul, az adatokat az eljárás végéig meg kell őrizni. Ezt követően a törvényes elévülési határidő figyelembevételével az adatokat anonimizálni vagy törölni szükséges.

 

Az anonimizált adatokra a megőrzési időre vonatkozó szabályok nem vonatkoznak, így különösen, ha az adatokat anonimizálják statisztikai célokra vagy a bejelentő rendszer értékelése céljából.

 

VI. ÉRINTETT JOGAI

 

1. Tájékoztatáshoz fűződő jog

 

A Cég az érintett jogai gyakorlására irányuló kérelmét az annak beérkezésétől számított legfeljebb egy hónapon belül teljesíti. A kérelem beérkezésének napja a határidőbe nem számít bele.

A Cég szükség esetén, figyelembe véve a kérelem bonyolultságát és a kérelmek számát, ezt a határidőt további két hónappal meghosszabbíthatja. A határidő meghosszabbításáról a Cég a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.

A tájékoztatás díjmentes, ezért díj nem számítható fel.

A Cég – tekintettel az adatkezelés jogalapjára és arra, hogy a bejelentőre vonatkozó személyes adatokat magától a bejelentőtől gyűjti - az adatok megszerzésének időpontját megelőzően tájékoztatja a bejelentőt az adatkezelésről.

 

2. Hozzáféréshez való jog

 

Az érintett jogosult arra, hogy a Cég az adatvédelmi szabályzatában megadott elérhetőségeken keresztül tájékoztatást kérjen arra vonatkozóan, hogy a Panasz törvény kapcsán megadott személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy megismerje azt, hogy a Cég milyen személyes adatait, milyen jogalapon, milyen adatkezelési cél miatt és mennyi ideig kezeli. Jogosult arra, hogy megismerje, hogy a Cég kinek, mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait.

A bejelentő személyes adatai nem tehetők megismerhetővé a tájékoztatást kérő személy számára.

 

3. Helyesbítéshez való jog

 

Az érintett személy a Cég megadott elérhetőségeken keresztül kérheti, hogy a Cég módosítsa valamely személyes adatát. Amennyiben az érintett hitelt érdemlően igazolni tudja a helyesbített adat pontosságát, a Cég a kérést legfeljebb egy hónapon belül teljesíti, és erről az általa megadott elérhetőségen értesíti az érintett személyt.

 

4. Zároláshoz való jog

 

Az érintett személy a Cég elérhetőségeken keresztül kérheti, hogy a személyes adatai kezelését a Cég korlátozza (az adatkezelés korlátozott jellegének egyértelmű jelölésével és az egyéb adatoktól elkülönített kezelés biztosításával) amennyiben

- vitatja a személyes adatai pontosságát (ebben az esetben a Cég arra az időtartamra korlátozza az adatkezelést, amíg ellenőrzi a személyes adatok pontosságát);

- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

- a Cégnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.

 

5. Törléshez való jog

 

Az érintett jogosult arra, hogy kérésére a Cég indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Cég pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

- a személyes adatokra már nincs szükség abból a célból, amelyből azokat a Cég kezelte

- igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli

- a személyes adatok törlését jogszabály előírja.

 

VII. ADATBIZTONSÁGI INTÉZKEDÉSEK

 

A belső visszaélés-bejelentési rendszert a Cég úgy alakítja ki, hogy a személyazonosságát felfedő bejelentő, valamint a bejelentésben érintett személy személyes adatait az erre jogosultakon kívül más ne ismerhesse meg. A bejelentést kivizsgáló személy a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyre vonatkozó információkat – a bejelentésben érintett személy tájékoztatásán túl – a foglalkoztató más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatja meg.

 

A Cég kötelezi magát arra, hogy gondoskodik az általa kezelt személyes adatok biztonságáról. A tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megteszi azokat a technikai és szervezési intézkedéseket, és a azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását.

 

A Cég kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek az adatokat bármilyen jogalappal továbbítja vagy átadja, felhívja, hogy tegyenek eleget az adatbiztonság követelményének. A Cég gondoskodik arról, hogy a kezelt adatokhoz illetéktelen személy ne férhessen hozzá, ne hozhassa nyilvánosságra, ne továbbíthassa, valamint azokat ne módosíthassa, törölhesse.

 

Az összegyűjtött adatok biztonsága a bejelentési rendszer egészében biztosított (visszajelzés, kivizsgálás, információátadás, megőrzés, archiválás) az alábbiak szerint:

  • Az információk tárolása olyan külön könyvtárakban történik, amelyekhez csak az arra jogosult személyek férhetnek hozzá;
  • Jelszóval védett fájlok;
  • Munkaállomások automatikus zárolása távollét esetén;
  • Papíralapú fájlokat ellenőrzött hozzáférésű, zárt szekrényekben kell tárolni;
  • Biztonságos, jelszóval védett nyomtatás;
  • Az e-mailben történő információátadásnak bizalmasnak kell lennie mind az e-mail tárgyában, mind szövegében. Az adatokat csatolmányként, jelszóval védett fájlban kell küldeni;
  • Az e-mail-ben küldött adatokhoz való hozzáférés nyomon követését a Cég biztosítja;
  • A megőrzési idő végén a dokumentumokat meg kell semmisíteni.

 

A bejelentési eljárásokhoz kapcsolódó információkhoz csak a megfelelően felhatalmazott személyek férhetnek hozzá, miután a szükséges tájékoztatást megkapták és aláírtak egy külön titoktartási nyilatkozatot.

 

VIII. ADATTOVÁBBÍTÁS HARMADIK ORSZÁGBA VAGY NEMZETKÖZI SZERVEZET RÉSZÉRE

A Cég az általa kezelt személyes adatokat harmadik országba és nemzetközi szervezet részére nem továbbítja, kivéve amennyiben kötelező jogszabályi rendelkezés ezt előírja.

 

Jogérvényesítési lehetőség

Amennyiben az érintettnek a személyes adataival kapcsolatos, panaszát, kérelmeit nem sikerült megnyugtató módon rendezni, vagy az érintett megítélése szerint személyes adatok kezelése sérti a GDPR rendelkezéseit, az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jogosult panaszbejelentést tenni.

 

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Székhely: 1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9

Telefon: 06 1 391 1400

Telefax: 06 1 391 1410

Email: ugyfelszolgalat@naih.hu

Web: naih.hu

 

Személyes adatok kezelésével kapcsolatos jogsértések esetén az érintett jogosult bírósághoz fordulni.