Aatvédelem és adatkezelési szabályzat

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT
 
Jelen adatvédelmi szabályzat a PGM METALL INVEST Korlátolt Felelősségű Társaság (székhely: 9700 Szombathely, Légszeszgyár utca 7., Cg. 18-09-109534, a továbbiakban az „adatkezelő”) mint adatkezelő által végzett, személyes adatok kezelésének szabályait rögzíti. A szabályzat az adatkezelő által folyamatosan aktualizálásra kerül a hatályos hazai és Európai Uniós jogszabályoknak való folytonos megfelelés érdekében A szabályzat mindenkor hatályos verziója elérhető az adatkezelő székhelyén, továbbá az érintett kérésére bármikor rendelkezésére bocsátjuk.
A PGM METALL INVEST Kft. elkötelezett ügyfelei és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását. A PGM METALL INVEST Kft. a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja. 
A PGM METALL INVEST Kft. az alábbiakban ismerteti adatkezelési gyakorlatát.
 I. Az adatkezelő adatai, elérhetőségei, az adatkezelő képviselője
Az adatkezelő elnevezése: PGM METALL INVEST Korlátolt Felelősségű Társaság 
Székhely: 9700 Szombathely, Légszeszgyár utca 7.
Cégjegyzékszám: Cg. 18-09-109534
Nyilvántartó hatóság: Szombathelyi Törvényszék Cégbírósága
Email: info@pgmmetall.eu
Telefon: +36 94 / 505 - 728
Honlap: www.pgmmetall.eu
Adatkezelő képviselője, elérhetősége: Gál Zoltán Tibor ügyvezető, e-mail: gal@pgmmetall.eu
Az adatkezelőnél adatvédelmi tisztviselő nem került kinevezésre.
 
II. Adatkezelés alapjául szolgáló jogszabályok, a szabályzat célja
 Jelen szabályzat célja, hogy meghatározza az adatkezelő által kezelt személyes adatokkal kapcsolatos legfontosabb szabályokat, az adatkezelésekre vonatkozó információkat, az adatkezelő továbbá a jelen szabályzat rendelkezéseivel biztosítja az Info törvény 4. § (1)-(2) bekezdésében, valamint a GDPR rendeletben foglalt alapelvek érvényesülését.
 Vonatkozó jogszabályok:

• Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info törvény);
• Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/ek rendelet hatályon kívül helyezéséről (GDPR rendelet);
• 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);  
• 2000. évi C. törvény a számvitelről (Számv. tv.);
•   2017. évi LIII. törvény – a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.);  
• 2013. évi CCXXXVII. törvény – a hitelintézetekről és a pénzügyi vállalkozások-ról (Hpt.).

 
III. A szabályzat hatálya
 Időbeli hatály
Jelen szabályzat 2019. július hó 1. napjától visszavonásig hatályos.
 
Tárgyi hatály
Jelen szabályzat kiterjed az adatkezelő által folytatott, személyes adatokat érintő adatkezelésre, függetlenül attól, hogy az elektronikusan vagy papír alapon történik. Adatkezelésnek tekintendő a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
 Személyes adatnak minősül az azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ (pl. név, lakcím, telefonszám, születési adatok, anyja neve).
 Személyi hatály
Jelen szabályzat kiterjed az adatkezelőre, az adatkezelő munkavállalóira és partnereire, ügyfeleire, valamint minden további természetes személyre (érintettek), akinek adatait a szabályzat hatálya alá tartozó adatkezelés érinti.
 IV. Az adatkezelés során érvényesülő alapelvek és az adatkezelés jogalapja
 Alapelvek:

• jogszerűség, tisztességes eljárás és átláthatóság: az adatkezelést jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végezzük,
• célhoz kötöttség: az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik,

• adattakarékosság: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak, és a szükségesre korlátozódnak,
• pontosság: az adatok pontosak és szükség esetén naprakészek, az adatkezelő pedig minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse,
• korlátozott tárolhatóság: az adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé,
• integritás és bizalmi jelleg: az adatok kezelését az adatkezelő oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve,
• elszámolhatóság: az adatkezelő felelős a fentieknek való megfelelésért, továbbá a megfelelés igazolására.

 Jogalap:
Az adatkezelő által végzett adatkezelés az alábbi jogalapok egyikén nyugszik:

• az érintett hozzájárulása;
• amennyiben az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél (pl. munkaviszony, vagy egyéb szerződéses jogviszony);
• az adatkezelőre vonatkozó jogi kötelezettség teljesítése.

 
A PGM METALL INVEST Kft. a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat: 

• az arra feljogosítottak számára hozzáférhető (rendelkezésre állás); 
• hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
• változatlansága igazolható (adatintegritás); 
• a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.

A PGM METALL INVEST Kft. az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés ellen. A PGM METALL INVEST Kft. olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. A PGM METALL INVEST Kft. az adatkezelés során megőrzi

• a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
• a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
• a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök

V. Az érintett jogai
Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a kötelező adatkezelések kivételével – törlését, visszavonását, élhet adathordozási-, és tiltakozási jogával az adat felvételénél jelzett módon, illetve az adatkezelő fenti elérhetőségein. Automatizált adatkezelésre a személyes adatokat érintően nem kerül sor.

1. Tájékoztatáshoz való jog

A PGM METALL INVEST Kft. megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva, díjmentesen nyújtsa. 

2.  Az érintett hozzáféréshez való joga

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: az adatkezelés céljai; az érintett személyes adatok kategóriái; azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket; a személyes adatok tárolásának tervezett időtartama; a helyesbítés, törlés vagy adatkezelés korlátozásának és a tiltakozás joga; a felügyeleti hatósághoz címzett panasz benyújtásának joga; az adatforrásokra vonatkozó információ; az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. Az adatkezelő a kérelem benyújtásától számított legfeljebb egy hónapon belül adja meg a tájékoztatást. 

3.  Helyesbítés joga

Az érintett kérheti a PGM METALL INVEST Kft. által kezelt, rá vonatkozó pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését. 

4. Törléshez való jog

Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére a PGM METALL INVEST Kft. indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat:  

• személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;  
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;  
• az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre; 
• a személyes adatokat jogellenesen kezelték; 
• a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;  
• a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor. 

Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges: a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából; a népegészség-ügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján; vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. 

5. Az adatkezelés korlátozásához való jog

Az érintett kérésére a PGM METALL INVEST Kft. korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:  

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését; 
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; 
• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
• az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. 

Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. 

6.  Adathordozáshoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa. 

7.  Tiltakozás joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

8. Visszavonás joga

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. 

9. Bírósághoz fordulás joga 

Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.  A bírósághoz fordulás menetét az Info törvény 22. §-a határozza meg. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével kárt okoz, köteles azt megtéríteni.

10.  Adatvédelmi hatósági eljárás 

Az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (továbbiakban „NAIH”) vizsgálatot kezdeményezhet arra hivatkozással, hogy a személyes adatainak kezelésével jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A NAIH eljárásának részletes szabályait az Info törvény VI. fejezete határozza meg.
 Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
 Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C. 
Levelezési cím: 1530 Budapest, Pf.: 5. 
Telefon: 0613911400 
Fax: 0613911410 
E-mail: ugyfelszolgalat@naih.hu  Honlap: http://www.naih.hu 
 VI. Adatvédelmi incidens
 Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidens észlelése esetén az adatkezelő munkatársai kötelesek az ügyvezetőt mint felelőst erről értesíteni, aki köteles megtenni a lentiekben foglalt intézkedéseket. Az ügyvezető gondoskodik a lenti pontban meghatározott feladatok végrehajtásáról, valamint nyilvántartásba veszi az incidenst, ezek mellett haladéktalanul intézkedik, hogy adatkezelő érintett munkatársai megtegyenek minden lehetséges lépést, amivel az érintett személyes adatok biztonságának és jogszerű kezelésének visszaállítása garantálható.
 Eljárás adatvédelmi incidens esetén
1. Bejelentés
Az adatkezelő feladata, hogy az adatvédelmi incidens tudomására jutását követően azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül bejelentse az illetékes felügyeleti szerv, a NAIH felé. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. Abban az esetben, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, a bejelentéstől el lehet tekinteni.
A bejelentésben legalább ismertetni kell az alábbiakat:

• az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
• a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit,
• az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
• az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

2. Értesítés
Abban az esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő az érintetteket is indokolatlan késedelem nélkül tájékoztatja, annak érdekében, hogy megtehessék a szükséges óvintézkedéseket. Az érintettnek nyújtott tájékoztatás közérthető formában kell, hogy tartalmazza a NAIH felé teljesítendő bejelentésre vonatkozóan a fentiekben részletezett információkat.
 Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást. Az érintetteket az 1. sz. mellékletben található minta felhasználásával kell tájékoztatni.
 Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

• az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,
• az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn,
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

  
E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást.  Tájékoztatjuk ügyfeleinket, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Magyar Nemzeti Bank, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az adatkezelőt.  A PGM METALL INVEST Kft. a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
 
Mellékletek:
1. Tájékoztatás hozzájáruláson alapuló adatkezelésről
2. Tájékoztatás az adatkezelő partnerei, ügyfelei személyes adatainak kezeléséről