ADATKEZELÉSI TÁJÉKOZTATÓ
Az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937. számú európai parlamenti és tanácsi irányelvben (a továbbiakban: Irányelv), valamint a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvényben (továbbiakban: Panasztörvény) foglaltaknak való megfelelés érdekében a Greenwork Kft. belső visszaélés-bejelentési rendszert működtet, illetve ehhez kapcsolódóan személyes adatokat kezel. Az alábbiakban az adatkezelés fontosabb részleteit mutatjuk be.
- ADATAKEZELÉS CÉLJA, ADATVÉDELMI TSZTSÉGVISELŐ ÉS ADATFELDOLGOZÓ
A belső visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek feltételezett cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenteni. Az adatkezelés célja, a Cég bejelentővédelmi rendszerén keresztül beérkező azon bejelentések kivizsgálása, amelyek elintézése a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló Panasztörvény hatálya alá tartozik.
Adatvédelmi tisztviselő neve: Aranyné Véber Mónika
Elérhetőségei
E-mail: panaszbejelentes@greenwork.hu
Levelezési cím: 8000 Székesfehérvár, Budai út 25. fsz. 1.
Telefon: +36 30 956 6141
- KEZELT ADATOK KÖRE
A Cég a Panasztörvény rendelkezési alapján a következő személyes adatokat kezeli:
- a bejelentőnek,
- annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, és
- annak a személynek, aki a bejelentésben foglaltakról érdemi információval rendelkezhet a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatai.
- ADATKEZELÉS JOGALAPJA
Az adatkezelés az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 6. cikk (1) bekezdés c) pontján alapul (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges) tekintettel a Panasz tv. 26. §-ának rendelkezéseire.
Bizonyos adattovábbítások esetében a GDPR 6. cikk (1)(a) bekezdése szerinti hozzájárulás (lsd. egyéb címzettek számára történő adattovábbítás).
A vizsgálati szakasz lezárását követően az adatkezelés jogalapja a GDPR 6. cikk (1)(f) bekezdése szerinti jogos érdek. A vizsgálati szakasz maximum 3 hónapos tartamának lezárultát követően az adatkezelő az adatokat az 5 éves polgári jogi elévülési időn belül elzártan tovább kezeli, és egy esetleges panasz (pl. NAIH), hatósági eljárás vagy bírósági jogorvoslat esetén használja csak fel azokat a bizonyítási eljárás lehetővé tétele, a tényállás pontos feltárása, a jogszerű döntés meghozatala – mint adatkezelői jogos érdek – céljából. Az érintett jogos érdeke egy esetlegesen meginduló eljárásban azonos.
IV. ADATFELDOLGOZÓK ÉS CÍMZETTEK
A belső visszaélés-bejelentési rendszer adataihoz kizárólag olyan személyek férnek hozzá, akiknek a hozzáférése a bejelentés kivizsgálásával összefüggésben szükséges. Minden ettől eltérő adattovábbításhoz a bejelentő kifejezett hozzájárulása szükséges. A bejelentést kivizsgáló személyek a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyre vonatkozó információkat – a bejelentésben érintett személy tájékoztatásán túl – a foglalkoztató más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatják meg.
A Cég a bejelentés kivizsgálásában esetlegesen közreműködő bejelentővédelmi ügyvéd, illetve külső szervezet – mint adatfeldolgozók - részére továbbíthatja az általa kezelt adatokat a bejelentés kapcsán.
A bejelentő személyes adatai – a rosszhiszemű bejelentés kivételével – csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatóak át, ha e szerv annak kezelésére törvény alapján jogosult, vagy az adatai továbbításához a bejelentő hozzájárult. A bejelentő személyes adatai hozzájárulása nélkül nem hozhatóak nyilvánosságra.
V. SZEMÉLYES ADATOK TÁROLÁSÁNAK IDEJE
A bejelentési eljárásban keletkezett adatok megőrzésére az alábbi szabályok vonatkoznak:
a) Azon bejelentések esetén, amelyek nem tartoznak a jelen dokumentumban szabályozott eljárás körébe, amennyiben nem kerül sor intézkedésre, a személyes adatokat haladéktalanul törölni kell. Az anonimizált adatok archiválásra kerülnek.
b) Ha a bejelentést nem követi egyéb (hatósági, bírósági) eljárás, az adatokat meg kell semmisíteni vagy archiválni (az adatok anonimizálását követően) az eljárás befejezését követő két hónapon belül. A fenti megőrzési időre vonatkozó rendelkezések minden adathordozóra vonatkoznak, így fájlokra, e-mailekre, papír alapú dokumentumokra vagy beolvasott adathordozókra, nyomon követésre használt nyilvántartásokra stb.
c) Ha egyéb eljárás indul, az adatokat az eljárás végéig meg kell őrizni. Ezt követően a törvényes elévülési határidő figyelembevételével az adatokat anonimizálni vagy törölni szükséges.
Az anonimizált adatokra a megőrzési időre vonatkozó szabályok nem vonatkoznak, így különösen, ha az adatokat anonimizálják statisztikai célokra vagy a bejelentő rendszer értékelése céljából.
VI. ÉRINTETT JOGAI
1. Tájékoztatáshoz fűződő jog
A Cég az érintett jogai gyakorlására irányuló kérelmét az annak beérkezésétől számított legfeljebb egy hónapon belül teljesíti. A kérelem beérkezésének napja a határidőbe nem számít bele.
A Cég szükség esetén, figyelembe véve a kérelem bonyolultságát és a kérelmek számát, ezt a határidőt további két hónappal meghosszabbíthatja. A határidő meghosszabbításáról a Cég a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
A tájékoztatás díjmentes, ezért díj nem számítható fel.
A Cég – tekintettel az adatkezelés jogalapjára és arra, hogy a bejelentőre vonatkozó személyes adatokat magától a bejelentőtől gyűjti - az adatok megszerzésének időpontját megelőzően tájékoztatja a bejelentőt az adatkezelésről.
2. Hozzáféréshez való jog
Az érintett jogosult arra, hogy a Cég az adatvédelmi szabályzatában megadott elérhetőségeken keresztül tájékoztatást kérjen arra vonatkozóan, hogy a Panasz törvény kapcsán megadott személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy megismerje azt, hogy a Cég milyen személyes adatait, milyen jogalapon, milyen adatkezelési cél miatt és mennyi ideig kezeli. Jogosult arra, hogy megismerje, hogy a Cég kinek, mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait.
A bejelentő személyes adatai nem tehetők megismerhetővé a tájékoztatást kérő személy számára.
3. Helyesbítéshez való jog
Az érintett személy a Cég megadott elérhetőségeken keresztül kérheti, hogy a Cég módosítsa valamely személyes adatát. Amennyiben az érintett hitelt érdemlően igazolni tudja a helyesbített adat pontosságát, a Cég a kérést legfeljebb egy hónapon belül teljesíti, és erről az általa megadott elérhetőségen értesíti az érintett személyt.
4. Zároláshoz való jog
Az érintett személy a Cég elérhetőségeken keresztül kérheti, hogy a személyes adatai kezelését a Cég korlátozza (az adatkezelés korlátozott jellegének egyértelmű jelölésével és az egyéb adatoktól elkülönített kezelés biztosításával) amennyiben
- vitatja a személyes adatai pontosságát (ebben az esetben a Cég arra az időtartamra korlátozza az adatkezelést, amíg ellenőrzi a személyes adatok pontosságát);
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- a Cégnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
5. Törléshez való jog
Az érintett jogosult arra, hogy kérésére a Cég indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Cég pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat a Cég kezelte
- igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli
- a személyes adatok törlését jogszabály előírja.
VII. ADATBIZTONSÁGI INTÉZKEDÉSEK
A belső visszaélés-bejelentési rendszert a Cég úgy alakítja ki, hogy a személyazonosságát felfedő bejelentő, valamint a bejelentésben érintett személy személyes adatait az erre jogosultakon kívül más ne ismerhesse meg. A bejelentést kivizsgáló személy a vizsgálat lezárásáig vagy a vizsgálat eredményeképpen történő formális felelősségre vonás kezdeményezéséig a bejelentés tartalmára és a bejelentésben érintett személyre vonatkozó információkat – a bejelentésben érintett személy tájékoztatásán túl – a foglalkoztató más szervezeti egységével vagy munkatársával a vizsgálat lefolytatásához feltétlenül szükséges mértékben oszthatja meg.
A Cég kötelezi magát arra, hogy gondoskodik az általa kezelt személyes adatok biztonságáról. A tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megteszi azokat a technikai és szervezési intézkedéseket, és a azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását.
A Cég kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek az adatokat bármilyen jogalappal továbbítja vagy átadja, felhívja, hogy tegyenek eleget az adatbiztonság követelményének. A Cég gondoskodik arról, hogy a kezelt adatokhoz illetéktelen személy ne férhessen hozzá, ne hozhassa nyilvánosságra, ne továbbíthassa, valamint azokat ne módosíthassa, törölhesse.
Az összegyűjtött adatok biztonsága a bejelentési rendszer egészében biztosított (visszajelzés, kivizsgálás, információátadás, megőrzés, archiválás) az alábbiak szerint:
- Az információk tárolása olyan külön könyvtárakban történik, amelyekhez csak az arra jogosult személyek férhetnek hozzá;
- Jelszóval védett fájlok;
- Munkaállomások automatikus zárolása távollét esetén;
- Papíralapú fájlokat ellenőrzött hozzáférésű, zárt szekrényekben kell tárolni;
- Biztonságos, jelszóval védett nyomtatás;
- Az e-mailben történő információátadásnak bizalmasnak kell lennie mind az e-mail tárgyában, mind szövegében. Az adatokat csatolmányként, jelszóval védett fájlban kell küldeni;
- Az e-mail-ben küldött adatokhoz való hozzáférés nyomon követését a Cég biztosítja;
- A megőrzési idő végén a dokumentumokat meg kell semmisíteni.
A bejelentési eljárásokhoz kapcsolódó információkhoz csak a megfelelően felhatalmazott személyek férhetnek hozzá, miután a szükséges tájékoztatást megkapták és aláírtak egy külön titoktartási nyilatkozatot.
VIII. ADATTOVÁBBÍTÁS HARMADIK ORSZÁGBA VAGY NEMZETKÖZI SZERVEZET RÉSZÉRE
A Cég az általa kezelt személyes adatokat harmadik országba és nemzetközi szervezet részére nem továbbítja, kivéve amennyiben kötelező jogszabályi rendelkezés ezt előírja.
Jogérvényesítési lehetőség
Amennyiben az érintettnek a személyes adataival kapcsolatos, panaszát, kérelmeit nem sikerült megnyugtató módon rendezni, vagy az érintett megítélése szerint személyes adatok kezelése sérti a GDPR rendelkezéseit, az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jogosult panaszbejelentést tenni.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Székhely: 1055 Budapest, Falk Miksa utca 9-11.
Levelezési cím: 1363 Budapest, Pf. 9
Telefon: 06 1 391 1400
Telefax: 06 1 391 1410
Email: ugyfelszolgalat@naih.hu
Web: naih.hu
Személyes adatok kezelésével kapcsolatos jogsértések esetén az érintett jogosult bírósághoz fordulni.