Bolti Dolgozók Portálja

Adatvédelmi tájékoztatónkat itt is megtalálja:

https://afeosz.netipar.hu/documents

GINOP-5.3.5-18-2018-00005

GINOP-5.3.5-18-2018-00003

A KISKERESKEDELMI ÉS NAGYKERESKEDELMI ÁGAZAT MUNKAERŐIGÉNYEINEK ÉS KÉSZSÉGIGÉNYEINEK ELŐREJELZÉSE PROJEKTEK

ADATKEZELÉSI TÁJÉKOZTATÓ

PREAMBULUM

1. A TÁJÉKOZTATÓ HATÁLYA

2. AZ ADATKEZELÉSSEL KAPCSOLATOS RENDELKEZÉSEK

2.1. Értelmező rendelkezések

2.2. Az adatkezelés alapelvei és a felelősség

3. AZ ADATKEZELÉS SZABÁLYAI

3.1. Alapvetés

3.2. Az adatkezelés általános szabályai

3.3. A honlapon történő adatkezelés szabályai (https://kereskedelem535.hu/ )

3.3.1. A KEZELT ADATOK KÖRE, IDŐTARTAMA, ADATKEZELÉS CÉLJA ÉS JOGALAPJA

3.4. Portálon történő adatkezelés szabályai (https://kereskedelem535.hu/portal/)

3.4.1. A KEZELT ADATOK KÖRE, IDŐTARTAMA, ADATKEZELÉS CÉLJA ÉS JOGALAPJA

A. Munkavállaló Felhasználó

B. Munkáltató Felhasználó

3.5. A SÜTIK (COOKIES), STATISZTIKAI ADATOK RÖGZÍTÉSE:

4. ADATBIZTONSÁGI KÉRDÉSEK

5. ADATFELDOLGOZÁS, ADATTOVÁBBÍTÁS

6. AZ ÉRINTETT ADATKEZELÉSSEL KAPCSOLATOS JOGAI, JOGORVOSLAT

6.1. A tájékoztatáshoz való jog

6.2. A helyesbítéshez való jog

6.3. A törléshez való jog

6.4. A korlátozáshoz való jog

6.5. Az adathordozhatósághoz való jog

6.6. A tiltakozáshoz való jog

6.7. Jogorvoslat

7. ADATVÉDELMI INCIDENS

7.1. Adatvédelmi incidensekkel kapcsolatos kötelezettségek

7.2. Adatvédelmi incidens során alkalmazandó eljárásrend

8. ZÁRÓ RENDELKEZÉSEK

PREAMBULUM

Az Általános Fogyasztási Szövetkezetek és Kereskedelmi Társaságok Országos Szövetsége (ÁFEOSZ-COOP Szövetség), mint Kedvezményezett célja, hogy a GINOP-5.3.5-18-2018 – A kiskereskedelmi és nagykereskedelmi ágazat munkaerőigényeinek és készségigényeinek előrejelzése projektek (továbbiakban és röviden: Projektek) tevékenységével összefüggésben felmerülő személyes adatok kezelésével járó folyamatai, eljárásai során biztosítsa a személyes adatok védelmének megfelelő szintjét a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, vagy Rendelet, illetve GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) és a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.) szerint.

Az adatkezelési műveleteket adatkezelő úgy tervezi meg és hajtja végre, hogy az érintettek

magánszférájának védelme megfelelő módon biztosított legyen. A technika mindenkori fejlettségére tekintettel – megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az adatbiztonság érvényre juttatásához szükségesek. Az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, az adatok károsodása és véletlen elvesztése, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az adatkezelés során esetlegesen előforduló incidensekről az adattulajdonos ügyfelet – a hatósággal egyidejűleg – minden esetben értesíti.

Az adatkezelő adatfeldolgozó igénybevétele esetén gondoskodik arról, hogy a kiválasztott adatfeldolgozó a személyes adatok védelme érdekében megtegye a szükséges intézkedéseket, valamint betartsa az adatkezelő szabályzatait és egyedi utasításait. A kiválasztás során az adatkezelő törekszik arra, hogy csakis olyan adatfeldolgozó kerüljön igénybevételre, amely megfelelő garanciákat nyújt – különösen szakértelem, megbízhatóság és erőforrások tekintetében – arra vonatkozóan, hogy az adatvédelmi követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is.

Adatkezelő elérhetősé gei:

Általános Fogyasztási Szövetkezetek és Kereskedelmi Társaságok Országos Szövetsége

(ÁFEOSZ-COOP Szövetség)

Székhely: 1097 Budapest, Könyves Kálmán krt. 11/C

Telefon: (+36 1) 455 5444

E-mail: afeosz535projektek@gmail.com

1. A TÁJÉKOZTATÓ HATÁLYA

Jelen tájékoztató hatálya kiterjed az adatkezelő(k) valamennyi munkavállalójára, a munkavégzésre irányuló egyéb jogviszonyban álló magánszemélyekre, az adatkezelőkkel egyéb szerződéses jogviszonyban lévő természetes személyekre és a velük szerződéses jogviszonyban lévő jogi személyek munkavállalóira, valamint a Projektek szolgáltatásait igénybe vevő érintettekre.

2. AZ ADATKEZELÉSSEL KAPCSOLATOS RENDELKEZÉSEK

2.1. Értelmező rendelkezések

a) érintett vagy ügyfél: bármely meghatározott személyes adat alapján azonosított természetes személy, továbbá a közvetlenül vagy közvetve azonosítható természetes személy;

b) személyes adat: azonosított vagy azonosítható személyre vonatkozó bármely információ;

azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

c) különleges személyes adat: olyan személyes adat, amely faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utal, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adat;

d) nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy

funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

e) adatállomány: a nyilvántartási rendszerben kezelt adatok összessége;

f) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem

automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

g) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely

egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

h) adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

i) az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

j) adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

k) IP-cím: egyedi hálózati azonosító, amely az internethasználathoz szükséges TCP/IP -

hálózati protokollt használó eszközök egymás közötti azonosítására szolgál. Minden internetre csatlakozó informatikai eszköz rendelkezik egyedi IP címmel, amelyen keresztül azonosítható;

l) süti (cookie): olyan adatcsomag (fájl), amelyet az internetes tartalomszerver állít elő, és ad át a webböngésző programnak. A sütik információt tartalmazhatnak az adott internetes szerveren végzett keresésekről, megadott információkról, melyek a szerveren is tárolásra kerülnek. A sütik használatának elsődleges célja a felhasználói profilinformációk tárolása, mellyel elsősorban a felhasználó által kedvelt beállítások őrződnek meg, így a felhasználó a megszokott módon férhet hozzá az internetes oldalhoz. A sütiket a böngészőprogram egy elkülönített könyvtárban tárolja az érintett által használt eszközökön (számítógépen, táblagépen, okostelefonon stb.). A süti egyértelműen azonosítja és a webszerver számára felismerhetővé teszi a felhasználót, és az általa az interneten használt eszközt. A GDPR a személyes adatok közé sorolja a felhasználó által használt eszközre kerülő cookie- és egyéb azonosítókat is;

m) tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja;

n) Felügyeleti Hatóság: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

2.2. Az adatkezelés alapelvei és a felelősség

2.2.1. A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett/ügyfél számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”).

2.2.2. Az adatkezelő által gyűjtött személyes adatok csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetőek ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”).

2.2.3. A személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”).

2.2.4. Az adatkezelő által gyűjtött személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; az adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse („pontosság”).

2.2.5. A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR-ben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”).

2.2.6. Az adatkezelő megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

2.2.7. Az adatkezelő felel a jogszabályoknak való megfelelésért, továbbá az azoknak való megfelelés igazolásáért („elszámoltathatóság”).

2.2.8. Az adatkezelő az adatkezelésről nyilvántartást vezet.

2.2.9. Az adatkezelőnél adatkezelést végző alkalmazottak és az adatkezelő megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat megőrizni. Az adatkezelő munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

Ha a tájékoztató hatálya alatt álló személy tudomást szerez arról, hogy az adatkezelő által kezelt

személyes adat hibás, hiányos vagy nem naprakész, illetve pontatlan, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

3. AZ ADATKEZELÉS SZABÁLYAI

3.1. Alapvetés

Projektek keretében az adatkezelők csak a jelen tájékoztatóban meghatározott mértékben és módon

kezelnek személyes adatot.

3.2. Az adatkezelés általános szabályai

a) A személyes adatokat az érintett önkéntesen bocsátja rendelkezésre a Projektek szolgáltatásainak használata során. Az érintett felelőssége a személyes adatainak valós, helyes és pontos megadása.

b) Amennyiben az érintett nem a saját személyes adatait, hanem más személy személyes adatait

adja meg, úgy az adatkezelő ellenőrzi, hogy az érintett az ehhez szükséges képviseleti jogosultsággal (megbízás, meghatalmazás, hozzájárulás, felhatalmazás) rendelkezik.

c) Az érintett az adatkezeléshez adott hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása esetén az adatkezelő a személyes adatok törlését indokolatlan késedelem nélkül hajtja végre, azonban bizonyos adatokat az adatkezelő jogi kötelezettségének teljesítése vagy jogi igényei előterjesztése, érvényesítése vagy védelme céljából a hozzájárulás visszavonása után is kezelhet.

d) Jogszabályba ütköző személyes adat használata esetén vagy az érintett/ügyfél által

elkövetett bűncselekmény, illetve rendszer elleni támadás esetén az adatkezelő jogosult az érintett/ügyfél személyes adatait haladéktalanul törölni, ugyanakkor – bűncselekmény elkövetésének gyanúja vagy polgári jogi jogszabálysértés felmerülése esetén – jogosult a személyes adatokat a lefolytatandó eljárás időtartamára megőrizni.

e) Ha az érintett beleegyezik a személyes adatai kezelésébe, az adatokat az adatkezelő kizárólag azon célokra használhatja fel, amelyekre az érintett a beleegyezését adta.

f) Amennyiben az adatkezelés több célból történt, az adatkezelő nem használhatja a személyes adatokat azon célból, amelyre vonatkozóan a hozzájárulást visszavonták, vagy egyik célból sem, a hozzájárulás visszavonásának jellegétől függően.

g) Különleges személyes adat esetén az adatkezelés jogalapja az érintett kifejezett

hozzájárulása /GDPR 9. cikk (2) bekezdés a) pont/, illetve ennek hiányában az érintett jogi igényeinek előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges/GDPR 9. cikk (2) bekezdés f) pont/.

h) Bíróságnak vagy más hatóságnak a személyes adat törlését elrendelő jogerős határozata

alapján a személyes adat törlést az adatkezelő végrehajtja.

i) Bíróság, ügyészség és más hatóságok (pl. Nemzeti Adatvédelmi és Információszabadság

Hatóság, NAV, rendőrség) megkeresése alapján az adatkezelő köteles az

adatszolgáltatási/iratkiadási kötelezettségét teljesíteni a megkeresés céljának megvalósításához elengedhetetlenül szükséges mértékben.

3.3. A honlapon történő adatkezelés szabályai (https://kereskedelem535.hu/ )

3.3.1. A KEZELT ADATOK KÖRE, IDŐTARTAMA, ADATKEZELÉS CÉLJA ÉS JOGALAPJA

A honlapon lévő információk megtekintéséhez személyes adatok megadása általában nem szükséges.

A https://kereskedelem535.hu/ weboldalon található tartalmak a Projekt tulajdonát képezik. A weboldalon megjelentetett információk változtatási, javítási és törlési jogát a Projekt fenntartja. A honlap aloldalain (Munkáltatói és Munkavállalói kérdőívek, Képzések, Rendezvények, Dokumentumtár) található anyagok teljes vagy részleges felhasználása, másolása, publikálása, átdolgozása, terjesztése kizárólag a Projekt együttműködő partnereinek előzetes írásos engedélyével lehetséges.

3.4. Portálon történő adatkezelés szabályai (https://kereskedelem535.hu/portal/)

3.4.1. A KEZELT ADATOK KÖRE, IDŐTARTAMA, ADATKEZELÉS CÉLJA ÉS JOGALAPJA

A. Munkavállaló Felhasználó

A. Munkavállaló Felhasználó kérdőívet tölt ki, készségei alapján munkakör ajánlást kap, önéletrajzot tölthet fel, a releváns álláshirdetéseket egyezőségi sorrendben ismeri meg, az álláshirdetések között keresés lehetősége adott, munkáltatói igénnyel már munkaköregyezőség esetén értesítést kap.

Munkavállaló Felhasználóként regisztrált érintett elfogadja, hogy a megadott személyes adataihoz a cél (munkáltatóval kapcsolódás, kapcsolatfelvétel) érdekében harmadik fél hozzáférjen.

1. REGISZTRÁCIÓ

Kezelt adatok köre:

a) vezetéknév, b) keresztnév, c) email cím, d) jelszó,

e) munkaviszonyban betöltött szerep (munkavállaló), f) ágazat: kiskereskedelem vagy nagykereskedelem.

Az adatkezelés időtartama:

a) Projekt időtartama és annak fenntartási ideje (projekt megvalósítás befejezésétől számított

3 év), vagy

b) törlésig.

Az adatkezelés célja:

Regisztráció és statisztika. Regisztrációkor a Munkavállaló Felhasználó felhasználói profil

létrehozásához alapadatokat szükséges megadni. Ez mindenképpen szükséges, mivel ezen adatok nélkül nem lehetséges felhasználói profil létrehozása. Bizonyos funkciók csak a regisztrációt követően érhetőek el.

Az adatkezelés jogalapja:

Az adatkezelés jogalapja az érintett (Munkavállaló Felhasználó) önkéntes hozzájárulása /GDPR

6. cikk (1) bekezdés a) pont/.

A Munkavállaló Felhasználó személyes adatait az adatkezelő az érintett előzetes konkrét és megfelelő tájékoztatáson alapuló, önkéntes hozzájárulása alapján kezeli kizárólag a szükséges mértékben és minden esetben célhoz kötötten.

A regisztrációs adatok a felhasználói fiókban módosíthatóak, a regisztráció törlésével Munkavállaló Felhasználó törölheti a személyes adatait, de a statisztikai adatok anonimizáltan az adatkezelőnél megmaradnak.

Regisztrációkor a Munkavállaló Felhasználónak nyilatkoznia kell arról, hogy elolvasta és elfogadta a Projektek adatkezelési tájékoztatóját és az ott meghatározott személyes adatokat megadja a szolgáltatás igénybevétele során. Ezt a nyilatkozatot csak egyszer megtennie, az első bejelentkezéskor. A tájékoztató tudomásul vételét, valamint a megadott adatainak kezeléséhez való hozzájárulását az érintett a regisztráció során egy erre vonatkozó négyzet bejelölésével, az ott tett hozzájáruló nyilatkozatával jelzi.

Az adatok kitöltésével, a regisztrációt követően e-mail címmel történik a hitelesítés. Ha egy adott felhasználó elfelejti a jelszavát, akkor adott a lehetőség automatikus jelszó emlékeztetőre, új jelszó megadására.

2. ÖNÉLETRAJZ

Kezelt adatok köre:

a) vezetéknév, b) keresztnév, c) nem,

d) fénykép,

e) állampolgárság,

f) lakhely (város),

g) telefonszám (láthatóvá váláshoz külön kattintás),

h) végzettség,

i) tapasztalatok,

j) egyebek (jogosítvány, nyelvek, stb.).

Az adatkezelés időtartama:

a) Projekt időtartama és annak fenntartási ideje (projekt megvalósítás befejezésétől számított

3 év), vagy b) törlésig.

Az adatkezelés célja:

A Munkavállaló Felhasználó számára a regisztrációt követően elérhetővé válik egy önéletrajzsablon, melyet kitöltve elérhetővé válik számukra az keresési szűrői alapján megjelent álláshirdetésekre történő jelentkezés. A kitöltött adatok alapján az önéletrajzot pdf formátumban le tudja tölteni a Munkavállaló Felhasználó.

Az adatkezelés jogalapja:

Az adatkezelés jogalapja a Munkavállaló Felhasználó önkéntes hozzájárulása /GDPR 6. cikk (1)

bekezdés a) pont/.

A Munkavállaló Felhasználó személyes adatait az adatkezelő az érintett előzetes konkrét és

megfelelő tájékoztatáson alapuló, önkéntes hozzájárulása alapján kezeli kizárólag a szükséges mértékben és minden esetben célhoz kötötten.

3. KÉSZSÉGMÁTRIX

Az online felületen keresztül a Felhasználók felmérhetik, hogy az egyes pozíciókból milyen irányba lehet továbblépni, illetve, hogy ehhez milyen tapasztalatokra, szaktudásra és készségekre van szükség (karrierút tervezése) a munkáltatók elvárásai alapján megfogalmazott minimális készségelvárás-gyűjtemény alapján.

4. KERESÉSI SZŰRŐK

Kezelt adatok köre:

a) munkakörök,

b) ágazat (kiskereskedelem vagy nagykereskedelem)

c) munkaidő,

d) utazási hajlandóság,

e) bérigény.

Az adatkezelés időtartama:

a) Projekt időtartama és annak fenntartási ideje (projekt megvalósítás befejezésétől számított 3 év), vagy

b) törlésig.

Az adatkezelés célja:

A Munkavállaló Felhasználók keresési szűrőket állíthatnak be, melyek segítik az igényeiknek megfelelő állásajánlatok előre sorolását. A beállított keresési szűrők alapján kerülnek feltüntetésre azok az állások, amely iránt a regisztrált Munkavállaló Felhasználó érdeklődik. Már munkaköregyezőség esetén emailben értesítést kap az álláshirdetésről a Munkavállaló Felhasználó, melyet felhasználói fiókjában olvashat el.

Az adatkezelés jogalapja:

Az adatkezelés jogalapja a Munkavállaló Felhasználó önkéntes hozzájárulása /GDPR 6. cikk (1)

bekezdés a) pont/.

5. KOMPETENCIA KÉRDŐÍVEK

A Munkavállaló Felhasználó tölti ki, mely során egy preferencia lista alapján rangsorolja a számára fontos készségeket. A kitöltését követően ezt össze tudja vetni, vizuális formában a különböző munkakörökben kialakult munkáltatói preferenciákkal.

B. M unkáltató F elhas ználó

A Munkáltató Felhasználó álláshirdetéseket rögzíthet fel, állásfeladási követelményeket rögzíthet minták alapján, preferált készségeket jelenít meg. A Munkavállalói Felhasználó értesítést kap, ha a feltöltött álláshirdetésére jelentkezés történt.

Munkáltatóként regisztrált Munkáltató Felhasználó elfogadja, hogy a kapcsolattartó személyes adatait a Projekt kezeli és azok a munkavállalók részére hozzáférhetővé válnak.

1. REGISZTRÁCIÓ

Kezelt adatok köre:

g) vezetéknév, h) keresztnév, i) email cím,

j) jelszó,

k) munkaviszonyban betöltött szerep (munkáltató), l) ágazat: kiskereskedelem vagy nagykereskedelem.

Az adatkezelés időtartama:

c) Projekt időtartama és annak fenntartási ideje (projekt megvalósítás befejezésétől számított 3 év), vagy

d) törlésig.

Az adatkezelés célja:

Regisztráció és statisztika. Regisztrációkor a Munkáltató Felhasználó felhasználói profil létrehozásához alapadatokat szükséges megadni. Ez mindenképpen szükséges, mivel ezen adatok nélkül nem lehetséges felhasználói profil létrehozása. Bizonyos funkciók csak a regisztrációt követően érhetőek el.

Az adatkezelés jogalapja:

Az adatkezelés jogalapja az adatkezelő jogos érdeke /GDPR 6. cikk (1) bekezdés f) pont/.

A regisztrációs adatok a felhasználói fiókban módosíthatóak, a regisztráció törlésével Munkáltató Felhasználó törölheti a személyes adatait, de a statisztikai adatok anonimizáltan az adatkezelőnél megmaradnak.

Regisztrációkor Munkáltató Felhasználónak nyilatkoznia kell arról, hogy elolvasta és elfogadta a Projektek adatkezelési tájékoztatóját és az ott meghatározott személyes adatokat megadja a szolgáltatás igénybevétele során. Ezt a nyilatkozatot csak egyszer megtennie, az első bejelentkezéskor. A tájékoztató tudomásul vételét, valamint a megadott adatainak kezeléséhez való hozzájárulását az érintett a regisztráció során egy erre vonatkozó négyzet bejelölésével, az ott tett hozzájáruló nyilatkozatával jelzi.

3.5. A SÜTIK (COOKIES), STATISZTIKAI ADATOK RÖGZÍTÉSE:

Az egyes szolgáltatások egyedi azonosító fájlt, úgynevezett cookie-t helyezhetnek el a felhasználók számítógépén. A cookie-k kizárólag a felhasználók technikai azonosításának megkönnyítését és személyre szabott szolgáltatások működtetését szolgálják, azok más célra nem kerülnek igénybevételre. A cookie-fogadás felhasználói tiltása – amelynek pontos módjáról a böngésző útmutatója ad eligazítást – a szolgáltatások igénybevételének nem akadálya.

- Ideiglenes cookie-k: a Felhasználó látogatása után automatikusan törlődnek.

- Állandó cookie-k: Az oldal elhagyása nem eredményezi ezeknek törlését, addig maradnak a

látogató eszközén, amíg a látogató a böngészőjében más beállítást nem alkalmaz.

- Analytics cookie-k: Az oldal felhasználói interakcióira vonatkozó statisztikai adatokat az

adatkezelő a Google Analytics szolgáltatása segítségével méri. A mérési adatok védelméről és biztonságáról tájékoztatás a https://policies.google.com/?hl=hu címen érhető el.

Az adatkezelő a működtetésekor a GDPR rendelkezéseinek figyelembevételével gondoskodik az adatfeldolgozások során az érintettek magánéletének tiszteletben tartásához való jogának, továbbá alapvető jogainak és szabadságjogainak védelméről.

Adatkezelő köteles az üzemeltetése során szükséges minden intézkedést megtenni az adatvédelmi incidensek elkerülése érdekében. Fizikai vagy műszaki incidens bekövetkezése esetén köteles gondoskodni arról, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani.

4. ADATBIZTONSÁGI KÉRDÉSEK

Az adatkezelő a következő szervezési és biztonsági intézkedéseket teszi:

Az adatkezelő az érintett személyes adatait megfelelő technikai és egyéb intézkedésekkel védi,

valamint biztosítja az adatok biztonságát, rendelkezésre állását, továbbá óvja azokat a jogosulatlan hozzáféréstől, megváltoztatástól, sérülésektől, illetve nyilvánosságra hozataltól és bármilyen egyéb jogosulatlan felhasználástól. A technikai intézkedések keretében az adatkezelő jelszóvédelmet és vírusirtó szoftvereket és tűzfallal védett informatikai rendszert használ.

Az adatkezelő kötelezi magát, hogy gondoskodik az adatok tárolásának biztonságáról, megteszi továbbá azokat a technikai intézkedéseket, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg mindent megtesz annak érdekében, hogy megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek az adatokat esetlegesen továbbítja vagy átadja, ugyancsak felhívja ez irányú kötelezettségeinek teljesítésére.

5. ADATFELDOLGOZÁS, ADATTOVÁBBÍTÁS

Adatkezelő kötelezi magát arra, hogy tevékenységének jelen tájékoztatóban meghatározott ellátása során tudomásukra jutó személyes adatokat és minden olyan további információt, amely az adatkezelési, illetve adatfeldolgozási tevékenysége során tudomására jut, bizalmasan kezeli és azokat kizárólag a jelen tájékoztatóban meghatározott feladatok ellátása érdekében használja fel, azokat a jelen Adatkezelési Tájékoztatóban meghatározottakon túl nem adják át.

Adatkezelő az alábbi adatfeldolgozókat veszi igénybe:

- VPS (tárhely) szolgáltató: DigitalOcean LLC

- Üzemeltető és fejlesztő: NETipar Magyarország Kft. (1162 Budapest, Dobó utca 53.)

- Domain: Dotroll Kft. (1148 Budapest, Fogarasi út 3-5.)

Az adatfeldolgozók az adatkezelést az adatkezelő utasításai szerint végzik, az adatkezelést érintő érdemi döntést nem hozhatnak, a tudomásukra jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatják fel, saját céljára adatfeldolgozást nem végezhetnek, továbbá a személyes adatokat az adatkezelő rendelkezései szerint kötelesek tárolni és megőrizni.

A személyes adatok továbbításra kerülhetnek a Munkáltató és Munkavállaló regisztrálók részére.

- az adattovábbítás jogalapja: önkéntes hozzájárulás

- cél: kapcsolatfelvétel, álláshirdetésre jelentkezés, álláshirdetésre jelentkezők megtekintése.

A bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az Általános Fogyasztási Szövetkezetek és Kereskedelmi Társaságok Országos Szövetsége (ÁFEOSZ-COOP Szövetség). Az ÁFEOSZ-COOP Szövetség a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges. A Felhasználó által megadott adatok egyéb célból történő továbbítására nem kerül sor.

6. AZ ÉRINTETT ADATKEZELÉSSEL KAPCSOLATOS JOGAI, JOGORVOSLAT

6.1. A tájékoztatáshoz való jog

Az érintett a Preambulumban feltüntetett elérhetőségen keresztül, írásban vagy más bizonyítható módon kérheti, hogy az adatkezelő a tájékoztassa:

• az adatkezelő által ismert személyes adatairól,

• az előző bekezdésben megjelölt személyes adatok forrásáról,

• az adatkezelés jogalapjáról,

• az adatkezelési céljáról,

• az adatkezelés időtartamáról, az időtartam meghatározására irányadó körülményekről,

• az adatfeldolgozók nevéről, elérhetőségéről és az adatkezeléssel összefüggő tevékenységéről,

• továbbá, hogy az adatkezelő kinek, mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait.

A tájékoztatást csak törvényben foglalt esetekben tagadhatja meg az adatkezelő ebben az esetben a jogszabályhely megjelölésével, valamint a bírósági jogorvoslat, illetve a Hatósághoz fordulás lehetőségéről tájékoztatással.

6.2. A helyesbítéshez való jog

Az érintett a Preambulumban feltűntetett elérhetőségen keresztül, írásban kérheti, hogy az adatkezelő helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy, ha az adatkezelés céljával összeegyeztethető, kiegészítse valamely személyes adatát (pl. megváltozott e-mail címe stb.).

6.3. A törléshez való jog

Az érintett a Preambulumban feltűntetett elérhetőségen keresztül, írásban kérheti, hogy az adatkezelő valamely személyes adatát törölje, amennyiben a GDPR 17. cikk (1) bekezdés szerinti, alább felsorolt feltételek valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy

más módon kezelték;

b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének

a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d) a személyes adatokat jogellenesen kezelték; e) a személyes adatokat az adatkezelőre

alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

e) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs

társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

A portálon való regisztráció esetén a profil törlésének funkciójával a regisztráló törölheti a

személyes adatait, de a statisztikai adatok anonimizáltan az adatkezelőnél megmaradnak.

A kérelem nem teljesíthető abban az esetben, ha az adatkezelő jogszabály által előírt kötelező

személyes adatkezelést végez.

6.4. A korlátozáshoz való jog

Az érintett a Preambulumban feltűntetett elérhetőségen keresztül, írásban kérheti, hogy a személyes adatait az adatkezelő zárolja, amennyiben a GDPR 18. cikk (1) bekezdés szerinti, alább felsorolt feltételek valamelyike fennáll:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az

időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes

adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a

korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

A „korlátozás” azt jelenti, hogy a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely uniós tagállam közérdekéből lehet kezelni. Az adatkezelő köteles az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni.

6.5. Az adathordozhatósághoz való jog

Az érintett a Preambulumban feltűntetett elérhetőségen keresztül, írásban kérheti a hozzájáruláson alapuló személyes adatainak géppel olvasható formátumban történő elküldését, amelyeket egy másik adatkezelőnek elküldhet.

6.6. A tiltakozáshoz való jog

Az érintett a Preambulumban feltűntetett elérhetőségen keresztül, saját helyzetével kapcsolatos okból, írásban tiltakozhat személyes adatainak kezelése ellen, amennyiben a GDPR 6. cikk (1) bekezdés e) vagy f) pontján (közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása, illetve jogos érdek) alapuló adatkezelés ellen.

6.7. Jogorvoslat

5.7.1. Az érintett a Preambulumban feltűntetett elérhetőségen keresztül, írásban tájékoztatást, kérdést intézhet az adatkezelőhöz. Az érintett kérelme nyomán az adatkezelő a legrövidebb idő alatt, de legfeljebb 25 napon belül haladéktalanul megteszi a szükséges intézkedéseket és az érintetettet írásban vagy – elektronikus úton érkezett kérelem esetén - elektronikus úton értesíti. Amennyiben intézkedés nem történik, úgy a kérelem beérkezésétől számított 25 napon belül az adatkezelő tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy panaszt nyújthat be a Felügyeleti Hatóságnál és élhet bírósági jogorvoslati jogával.

5.7.2. Az érintett az adatkezelő adatkezelési eljárásával kapcsolatos panasszal a felügyelő hatósághoz

– Magyarország területén a NAIH-hoz fordulhat:

név: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C.

postacím: 1530 Budapest, Pf.: 5.

telefon: +36-1-391-1400 fax: +36-1-391-1410 honlap: www.naih.hu

Az érintett – választása szerint – bírósági úton is érvényesítheti igényét. A per elbírálása a

törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

7. ADATVÉDELMI INCIDENS

7.1. Adatvédelmi incidensekkel kapcsolatos kötelezettségek

Az adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem

vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

A jelen tájékoztató hatály alá tartozó személyek, bármely, az adatkezelő által vagy közreműködésével működtetett informatikai rendszer esetében haladéktalanul, de legkésőbb 12 órán belül kötelesek jelenteni az adatvédelemért felelős személy számára, ha adatvédelmi incidens gyanúja merül fel, vagy, ha biztos tudomása van arról, hogy adatvédelmi incidens történt.

A bejelentést elsősorban munkaidőben, telefonon keresztül kell megtenni, amelyet az adatvédelemért felelős személy kérésére elektronikus levél formájában is meg kell erősíteni.

7.2. Adatvédelmi incidens során alkalmazandó eljárásrend

Az adatvédelemért felelős személy és az egyéb érintett személyek a számukra jelzett, vagy saját hatáskörükben megállapított adatvédelmi incidens felderítése és súlyosságának megállapítása érdekében a jelen fejezetben foglaltak szerint kötelesek eljárni.

Adatkezelő minden szükséges intézkedést megtesz az adatvédelmi incidensek elkerülése érdekében. Amennyiben mégis adatvédelmi incidens következik be:

1) Az adatvédelemért felelős személy felveszi a kapcsolatot az adatvédelmi incidenssel érintett informatikai rendszer rendszergazdájával, az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával, és ha azonosítható ilyen, az incidenst előidéző személlyel.

2) Az adatvédelemért felelős személynek a felderítés során az alábbi kategóriák valamelyikébe kell az adatvédelmi incidenst sorolni:

• Alacsony szintű adatvédelmi incidens: a személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset.

• Közepes szintű adatvédelmi incidens: a személyes adatok csekély körének megváltoztatása, jogosulatlan továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset.

• Magas szintű adatvédelmi incidens:

o a személyes adatok széles körének jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset estén, illetve

o az adatok körétől függetlenül minden olyan eset, amikor valószínűsíthető, hogy az incidensnek az érintettre hátrányos hatása van, vagy biztosra vehető, hogy az incidensnek az érintettre hátrányos hatása van.

3) Alacsony szintű adatvédelmi incidens esetén az adatvédelemért felelős személy:

• az érintett rendszer rendszergazdájával és az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,

• rögzíti az adatvédelmi incidenst az incidensek nyilvántartásába.

4) Közepes szintű adatvédelmi incidens esetén:

• az adatvédelemért felelős személy haladéktalanul, de legkésőbb a tudomásszerzéstől számított 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda, az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdája és adatkezelő vezetője,

• a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,

• az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában,

• az adatvédelemért felelős személy értesíti a felügyeleti hatóságot 72 órán belül az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően kockázattal jár az érintett vagy más érintettek jogaira és szabadságaira nézve.

5) Magas szintű adatvédelmi incidens esetén

• a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére, továbbá amennyiben szükséges, meghatározza az érintettek értesítésének módját, az értesítés tartalmát, és gondoskodik az érintettek haladéktalan értesítéséről.

• az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában,

• az adatvédelemért felelős személy értesíti a felügyeleti hatóságot a tudomásszerzéstől számított 72 órán belül az adatvédelmi incidensről.

Az adatkezelő az adatvédelemért felelős személy útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából az adatvédelmi incidensekről nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Amennyiben az érintett ezt kéri, az adatvédelemért felelős személy tájékoztatást ad az érintett személyes adatára is kiterjedő adatvédelmi incidensekkel kapcsolatban.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül köteles írásban, vagy ha rendelkezésre áll email cím, akkor emailben tájékoztatni az érintettet az adatvédelmi incidensről.

A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az alábbi információkat:

• adatvédelemért felelős személy vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

• ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

• ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges

hátrányos következmények enyhítését célzó intézkedéseket.

Adatkezelő nem köteles tájékoztatni az érintettet az adatvédelmi incidensről, ha

• Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat).

• Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.

• A tájékoztatás aránytalan erőfeszítést tenne szükségessé az adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása.

Ha adatkezelő nem értesítette az érintettet az adatvédelmi incidensről, az incidens bejelentését követően a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja, hogy az érintett tájékoztatása az előző pontban foglalt valamely ok miatt nem szükséges.

Adatvédelmi incidens nem csak adatkezelőnél merülhet fel, hanem a vele szerződéses kapcsolatban álló adatfeldolgozónál is. Ha az adatfeldolgozó rendszerében észlel adatvédelmi incidenst, indokolatlan késedelem nélkül köteles bejelenteni azt adatkezelőnek, illetve amennyiben nem lehetséges az információkat egyidejűleg közölni, azokat köteles további indokolatlan késedelem nélkül akár részletekben is közölni.

Az adatvédelmi incidens bejelentésének elmaradásából fakadó felelősség a bejelentést elmulasztó adatfeldolgozó terheli.

Amennyiben az adatkezelő észlel adatvédelmi incidenst valamely adatfeldolgozójánál, vagy adatvédelmi incidens gyanúja merül fel, akkor adatkezelő az adatfeldolgozó egyidejű értesítésével lefolytatja az adatvédelmi incidens azonosításával és kezelésével kapcsolatos, jelen pont szerinti eljárását.

8. ZÁRÓ RENDELKEZÉSEK

Adatkezelő fenntartja a jogot, hogy jelen adatvédelmi nyilatkozatot a törvényi előírásoknak megfelelően megváltoztassa.

A jelen tájékoztatóban nem meghatározott kérdésekben a GDPR, illetve az általa megengedett esetekben, kisegítő jelleggel az Infotv. szabályai az irányadóak.

Adatvédelmi nyilatkozat