SZENTKIRÁLYI magyarország KFT.

1.1            Az Adatvédelmi Szabályzat célja

A jelen Adatvédelmi Szabályzat (a „Szabályzat”) célja, hogy rögzítse a Szentkirályi-Kékkúti Ásványvíz Termelő és Forgalmazó Kft. (az „Adatkezelő” vagy „Szentkirályi-Kékkúti”) által alkalmazott adatvédelmi és adatkezelési elveket, és az Adatkezelő adatvédelmi és adatkezelési politikáját, amelyet a Szentkirályi-Kékkúti Ásványvíz Termelő és Forgalmazó Kft., mint Adatkezelő magára nézve kötelezőnek ismer el.

A jelen Szabályzat rendelkezéseinek kialakításakor az Adatkezelő különös tekintettel vette figyelembe az Európai Parlament és a Tanács 2016/679 Rendelete („GDPR”), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), valamint az egyéb releváns jogszabályok rendelkezéseit.

Az Adatkezelő a GDPR 30. cikke alapján az adatkezelési tevékenységek nyilvántartásának vezetésére köteles, amely kötelezettségének a jelen Szabályzat vezetésével, illetőleg szükség esetén módosításával tesz eleget.

1.2            Értelmező rendelkezések

A jelen Szabályzat alkalmazásában az alábbi kifejezések a következőket jelentik.

1.2.1      Adat vagy Személyes Adat: bármilyen adat vagy információ, amely alapján egy természetes személy Érintett – közvetett vagy közvetlen módon – azonosíthatóvá válik.

1.2.2      Adatfeldolgozó: az a szolgáltató, aki az Adatkezelő nevében Személyes Adatokat kezel. A jelen Szabályzatban hivatkozott szolgáltatások esetében Adatfeldolgozók lehetnek az BEN meghatározottak.

1.2.3      Adatkezelés: az alkalmazott eljárástól függetlenül a Személyes Adatokon végzett bármely művelet vagy a műveletek összessége, így különösen a Személyes Adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása, megváltoztatása, felhasználása, lekérdezése, betekintése, felhasználása, közlése, továbbítása, terjesztése vagy egyéb módon hozzáférhetővé tétele, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése.

1.2.4      Adatkezelési Tájékoztató vagy Tájékoztató egy olyan írott szöveg, melynek célja, hogy megfelelően tájékoztassa az Érintetteket Személyes Adataik kezeléséről, beleértve a jogalapot, célt, az adatkezelés idejét, valamint az Érintettek jogait.

1.2.5      Adatkezelő: aki az Adatkezelés céljait és eszközeit – önállóan vagy másokkal együtt – meghatározza. A jelen Szabályzatban hivatkozott Szolgáltatások esetében Adatkezelőnek minősül az alábbi személy:

1.2.6      Adatvédelmi Incidens vagy Incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

1.2.1      Bővítmények: a Közösségi Oldalak által működtetett bővítmények, pl. a „Tetszik”, „Megosztás”, „Követés”, stb. gombok és a Közösségi Oldal ikonja).

1.2.2      Egyedi Adatkezelési Szabályzat a Szentkirályi-Kékkúti marketing területen alkalmazott egyes egyedi adatkezelési szabályzatai.

1.2.3      Ekertv.: az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény.

1.2.4      Érintett: azonosított vagy azonosítható természetes személy.

1.2.5      Honlapok: az alábbi honlapok:

• www.szentkiralyi.hrfelho.hu

• www.kekkuti.hrfelho.hu

• www.pepsi.hrfelho.hu

• www.szentkiralyi-kekkuti-pepsi.hrfelho.hu

1.2.6      GDPR az Európai Parlament és a Tanács 2016/679 Rendelete.

1.2.7      Infotv az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény.

1.2.8      KMV csoport a Karlovarské Minerální Vody, a.s. (cím: Horova 3360 21 Karlovy Vary, Cseh Köztársaság; cégjegyzékszám: 14706725) és a Central Europe Mineral Water Holding (cím: Mariánské náměstí 159/4, Staré Město, 110 00 Prága 1; Cseh Köztársaság; cégjegyzékszám: 038 60 817).

1.2.9      Közösségi Oldalak a Facebook, Instagram, Twitter; LinkedIn, stb.

1.2.10  Levéltári Törvény a 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről.

1.2.11  Marketingtv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény.

1.2.12  Mt. a 2012. évi I. törvény a munka törvénykönyvéről.

1.2.13  Munkavállalók azon természetes személyek, akik az Adatkezelővel munkaviszonyban állnak.

1.2.14  NAIH a Nemzeti Adatvédelmi- és Információszabadság Hatóság.

1.2.15  Ptk. a 2013. évi V. törvény a polgári törvénykönyvről.

1.2.16  Szabályzat az Adatkezelő jelen adatvédelmi szabályzata.

1.2.17  Személy és Vagyonvédelmi Törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII törvény.

1.2.18  Szentkirályi-Kékkúti jelenti az Adatkezelőt.

Az e pontban meg nem határozott fogalmakat az Infotv., a GDPR és a felsorolt jogszabályok szerint kell értelmezni.

Az Adatkezelő az alábbi Személyes Adatokat kezeli az alábbi jogalapokon és célokból, az alábbiakban feltüntetett ideig:

2.1            Álláshirdetésekre jelentkezők Személyes Adatai (el nem bírált jelentkezők)

2.1.1      Jogalap:

Az Adatkezelés az Adatkezelő jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) (f)) az alábbi 2.1.2 pontban meghatározottak szerint.

2.1.1      Az Érintettek tájékoztatásának módja: az álláshirdetések szövegében feltüntetésre kerül a 2. MELLÉKLET 1. RÉSZ szerinti Tájékoztató.

2.1.2      Az adatkezelés ideje: a jelentkezési folyamat elbírálásáig, kivéve, ha a 2.2. vagy a 2.3. pont alapján az Adatok további kezelésre kerülnek.

2.2            Álláshirdetésekre jelentkezők Személyes Adatai (elutasított jelentkezők)

2.2.1      Jogalap:

Az Érintett hozzájárulását adta Személyes Adatainak egy vagy több konkrét célból történő kezeléséhez (GDPR 6. cikk (1) (a));

2.2.2      A kezelt Személyes Adatok köre és az adatkezelések célja

2.2.3      Az Érintettek tájékoztatásának módja: e-mailben az  1. MELLÉKLET 2. RÉSZ szerinti Tájékoztató szövegével.

2.2.4      Az Adatkezelés ideje: a hozzájárulás visszavonásáig. A hozzájárulás visszavonható az Adatkezelő fenti 1.2.5 pontban meghatározott elérhetőségeire eljuttatott kérelem útján.

2.3.1      Jogalap:

(a)       Az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél (GDPR 6. cikk (1) (b));

(b)       Az Adatkezelés a Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) (c)), ahol a jogi kötelezettség a Munka Törvénykönyvének 51(4) szakaszán, az adózás rendjéről szóló 2017. évi CL törvény első mellékletének 3. pontján, az egészségbiztosításról szóló 1997. évi LXXXIII törvény 79(1), 80(1) szakaszán, valamint a társadalombiztosítási ellátásokról szóló 1997. évi LXXX törvény 46(2) szakaszán alapul;

(c)       Az adatkezelés az Adatkezelő jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) (f)).

2.3.3      Az Érintettek tájékoztatásának módja: a munkaszerződés aláírásakor külön tájékoztató részeként átadott, a 2. MELLÉKLET 3. RÉSZBEN feltüntetett Adatkezelési Tájékoztató, amelyet a Munkavállaló elolvasás, értelmezés és megértés után aláírásával tudomásul vesz.

2.3.4      Az Adatkezelés ideje:

(a)       amennyiben az Adatkezelés jogalapja szerződés teljesítése:

·                ameddig a szerződés teljesítéséhez szükséges;

·                a szerződés megszűnése után: esetleges jogi igények érvényesítése céljából további 3 (három) évig a Munka Törvénykönyve 286. §-a szerint (ilyen esetben az Adatkezelésre az Adatkezelő jogos gazdasági érdeke alapján kerül sor a szükséges mértékig);

(b)       amennyiben az Adatkezelés jogalapja az Adatkezelőre vonatkozó jogszabályi kötelezettség teljesítése: mindaddig, amíg a vonatkozó Munkavállaló munkaviszonyára tekintettel a jogszabály alapján kötelező, kivéve azokat az adatokat, amelyek nem törölhetők az Érintettek jogainak gyakorlása érdekében a Levéltári Törvény 3.§ j) pontja és 4.§-a szerint;

(c)       amennyiben az Adatkezelés jogalapja a Munkáltató jogos gazdasági érdekének érvényesítése: mindaddig, ameddig az Adatkezelés a Munkáltató jogos érdekének érvényesítéséhez szükséges, kivéve, ha (i) az ilyen érdekkel szemben az Érintett Személyes Adatok védelméhez kapcsolódó alapvető jogai és szabadságai elsőbbséget élveznek; vagy (ii) a Munkavállaló az Adatkezelés ellen tiltakozik, és a Munkáltató nem tudja igazolni, hogy jogos gazdasági érdeke a Munkavállaló érdekeivel szemben elsőbbséget élvez.

(d)       Belépőkártya esetén az érkezési és távozási időpontok 6 (hat) hónap után törlődnek, illetőleg a munkaviszony megszűnésével a kártyával kapcsolatosan kezelt összes személyes adat törlésre kerül.

2.4            Külső beszállítók (vállalkozók), kereskedelmi partnerek Személyes Adatai

2.4.1      Jogalap:

(a)       Az Adatkezelés az Adatkezelő jogos érdekének érvényesítése érdekében szükséges (GDPR 6. cikk (1) (f));

(b)       Az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél (GDPR 6. cikk (1) (b));

(c)       Az Érintett hozzájárulását adta Személyes Adatainak egy vagy több konkrét célból történő kezeléséhez (GDPR 6. cikk (1) (a)).

2.4.2      A kezelt Személyes Adatok köre és az Adatkezelések célja

2.4.3      Az Érintettek tájékoztatásának módja:

(a)       amennyiben az Adatkezelés az Adatkezelő jogos érdekén alapul: a szerződésbe foglalt adatvédelmi rendelkezés útján a 2. MELLÉKLET 4. RÉSZ szerint.

(b)       amennyiben az Adatkezelés hozzájáruláson alapul: az ajándékok felajánlásakor aláírt átvételi elismervényhez mellékelt szövegben a 2. MELLÉKLET 5. RÉSZ szerint.

2.4.4      Az Adatkezelés ideje:

(a)       amennyiben az Adatkezelés jogalapja szerződés teljesítése: az adott szerződés megszűnését követő 5 (öt) évig vagy, amennyiben az Érintett tiltakozik és nem igazolható, hogy az Adatkezelő jogos érdeke előnyt élvez az Érintett érdekeivel szemben;

(b)       amennyiben az Adatkezelés jogalapja hozzájárulás: a hozzájárulás visszavonásáig.

2.5            Az Érintettek marketing tevékenység során kezelt Személyes Adatai

2.5.1      Jogalap:

(a)       Az Érintett hozzájárulását adta Személyes Adatainak egy vagy több konkrét célból történő kezeléséhez (GDPR 6. cikk (1) (a)). 16. életévét még be nem töltött kiskorúak személyes adatait a Szentkirályi-Kékkúti marketing tevékenysége során nem kezeli, és ésszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy 16. éven aluliak a marketing akciókban ne vehessenek részt. A Szentkirályi-Kékkúti által e körben, az érintett Adatkezelések jellegétől függően tett intézkedések:

(i)         saját fejlesztésű platformok estén az akciókban való részvételhez regisztráció szükséges, ahol a résztvevőknek meg kell adniuk a születési dátumukat és ez alapján a rendszer kizárja a 16 éven aluli résztvevőket;

(ii)       ha a promóció egy közösségi média platformon fut, mivel a résztvevők egyéni beállításai döntik el, hogy az Érintett életkora látható-e, és ez alapján a résztvevők nem szűrhetők, a játékszabályban feltüntetésre kerül, hogy az akció a 16. életévét betöltöttekre korlátozódik;

(iii)     személyes kapcsolatfelvételen alapuló promóciók esetén a hostess biztosítja, hogy minden résztvevő 16. életévét betöltött személy legyen.

(b)       Az adatkezelés az Adatkezelő jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) (f)).

2.5.2      A kezelt Személyes Adatok köre és az Adatkezelések célja

2.5.3      Az Érintettek tájékoztatásának módja:

(a)       hírlevél és direkt marketing esetén az adott felületen elhelyezett Tájékoztató, amely szövegét a 2. MELLÉKLET 6. RÉSZ tartalmazza;

(b)       rendezvények esetén: az adott rendezvény honlapján vagy Facebook oldalán elhelyezett Tájékoztató, amely szövegét a 2. MELLÉKLET 6. RÉSZ tartalmazza;

(c)       sorsolások és nyereményjátékok esetén: az adott Honlapon és/vagy a Szentkirályi-Kékkúti Közösségi Oldalain elhelyezett Tájékoztató, amelynek szövegét a 2. MELLÉKLET 6. RÉSZ tartalmazza;

(d)       Közösségi Oldalak által működtetett Bővítmények alkalmazása esetén: Tájékoztató, amelynek szövegét a 2. MELLÉKLET 6. RÉSZ tartalmazza, és amely a tényleges elhelyezésnek megfelelően kerül megfogalmazásra;

(e)       Sütik használata esetén: az adott Honlap látogatásakor automatikusan megjelenő mezőbe elhelyezett Tájékoztató, amelyet a 2. MELLÉKLET 7. RÉSZ tartalmazza.

2.5.4      Az Adatkezelés ideje:

(a)       Hírlevél, közvetlen marketing esetén: a hozzájárulás visszavonásáig;

(b)       Rendezvények és nyereményjátékok esetén: ameddig a rendezvény stb. lebonyolításához szükséges, sorsolások esetében a nyertes kihirdetéséig.

(c)       Közösségi Oldalak által működtetett Bővítmények alkalmazása, valamint a Szentkirályi-Kékkúti Közösségi Oldalain tett felhasználói kommentek esetén: az adatok visszavonásig kezelhetők (törlési kérelem, vagy az Érintett az oldalt már nem követi, hozzászólását törli);

(d)       Sütik alkalmazása esetén: a sütik által hordozott adatok mindaddig kezelhetők, amíg az Érintett böngészési beállításai között le nem tiltja a sütik használatát, de legkésőbb addig, amíg az Adatkezelés szükséges a Honlap műszaki üzemeltetéséhez.

2.5.5      A Közösségi Oldalakon való jelenlét és a Weboldalakon a Közösségi Oldalak által működtetett Bővítmények elhelyezése útján szerzett adatok kezelése a Közösségi Oldalakon valósul meg, így az adatkezelés időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire az adott közösségi oldal szabályozása is vonatkozik.

2.6            Az Adatkezelő irodáiba és gyáraiba fizikailag belépők adatainak kezelése biztonsági kamera-megfigyeléssel

2.6.1      Jogalap:

Az Adatkezelés az Adatkezelő jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) (f)) az alábbi 2.6.2 pontban meghatározottak szerint

2.6.2      A kezelt Személyes Adatok köre és az Adatkezelések célja

2.6.3      Az Érintettek tájékoztatásának módja: Adatkezelési Tájékoztató elhelyezése mindazon helyszínek előtt, amelyek kamara megfigyelés alatt állnak. A Tájékoztató szövegét a 2. MELLÉKLET 9. RÉSZ  tartalmazza.

2.6.4      Az Adatkezelés ideje (összhangban a Személy és Vagyonvédelmi törvény 31. § (2) szakaszával, a  3 (három) munkanap / 30 (harminc munkanap), kivéve, ha a Személyes Adatot bírósági vagy más hatósági eljárásban bizonyítékként használják fel a Személy és Vagyonvédelmi Törvény 31. § (5) pontjával összhangban.

2.6.5      A biztonsági kamera rendszer működéséről szóló részletes szabályok a 3. MELLÉKLETBEN találhatók.

2.7            Munkavállalók GPS használatával történő nyomon követése

2.7.1      Jogalap:

Az adatkezelés az Adatkezelő jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) (f)).

2.7.2      A kezelt Személyes Adatok köre és az adatkezelések célja

2.7.3      Az Érintettek tájékoztatásának módja: Adatkezelési Tájékoztató a szolgálati gépjármű használatának Munkavállaló általi megkezdése előtt átadott használati szabályzatban. A Tájékoztató szövegét a 2. MELLÉKLET 8. RÉSZ tartalmazza.

2.7.4      Az Adatkezelés ideje: 5 év.

2.7.5      A Szentkirályi-Kékkúti a GPS nyomkövető rendszert a szolgálati gépjárművekben három állású kapcsoló található, amelynek beállításával üzleti célú, magáncélú és bejárási célú használat különíthető el. Magáncélú használat esetén, a Szentkirályi-Kékkúti lehetővé teszi azt, hogy a Munkavállaló a GPS nyomkövetést kikapcsolhassa, amennyiben a gépjárművet magáncélra kívánja használni.

3.1            Az Adatkezelő a megadott Személyes Adatokat a fenti pontokban írt céloktól eltérő célokra nem használja fel.

3.2            Az Érintett a hozzájáruláson alapuló adatkezelés esetén jogosult a hozzájárulását bármikor visszavonni, amely azonban nem érinti a visszavonás előtti adatkezelés jogszerűségét.

3.3            Abban az esetben, amikor az Adatkezelés jogalapja az Adatkezelő lényeges jogos érdeke, az Adatkezelő a GDPR vonatkozó rendelkezéseivel összhangban elvégezte és a jövőben is elvégezheti az érdekmérlegelési tesztet, amely alátámasztja, hogy az Adatkezelő adott Adatkezeléshez kapcsolódó jogos érdeke erősebb az Érintettnek az Adatkezeléssel összefüggő jogainál és szabadságainál. Az Adatkezelő erre irányuló kérés esetén a jelen Szabályzatban írtak szerint tájékoztatást nyújt az Érintett részére a jelen bekezdésben foglaltakkal kapcsolatban.

3.4            Az Adatkezelő a Személyes Adatokat a jóhiszeműség és a tisztesség és átláthatóság elveinek, valamint a hatályos jogszabályok és jelen Szabályzatban rendelkezéseinek megfelelően kezeli.

3.5            Az Adatkezelő a Személyes Adatokat csak a jelen Szabályzatban, ill. a vonatkozó jogszabályokban meghatározott célból kezeli. A kezelt Személyes Adatok köre arányban áll az adatkezelés céljával, azon nem terjeszkedhet túl.

3.6            Minden olyan esetben, ha a Személyes Adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az Érintettet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.

3.7            Adatkezelő a megadott Személyes Adatokat nem ellenőrzi. A megadott Személyes Adatok megfelelőségéért kizárólag az azt megadó személy felel.

3.8            Ha az Adatkezelés hozzájáruláson alapul, a 16. életévét be nem töltött személy érintett Személyes Adatai csak a felette szülői felügyeletet gyakorló nagykorú személy hozzájárulása esetén kezelhetők. Az Adatkezelő köteles minden ésszerű erőfeszítést megtenni, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte. Az Adatkezelő által e körben, az érintett Adatkezelések jellegétől függően tett intézkedéseket az Egyedi Adatkezelési Szabályzatok tartalmazzák.

3.9            Az Adatkezelő felhasználhatja az adatok statisztikailag összesített formáját, amely az Érintett beazonosítására alkalmas egyéb adatot semmilyen formában nem tartalmazhat, így ez nem minősül Adatkezelésnek, sem adattovábbításnak.

3.10        Az Adatkezelő az általa kezelt Személyes Adat helyesbítéséről, korlátozásáról, ill. törléséről az érintett Érintettet, továbbá mindazokat értesíti, akiknek korábban a Személyes Adatot Adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az Adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

4.1            Az Adatkezelő hivatalos bírósági, rendőrségi megkeresés, jogi eljárás szerzői-, vagyoni- illetve egyéb jogsértés vagy ezek alapos gyanúja miatt harmadik személyek számára hozzáférhetővé teheti az Érintett ehhez szükséges Személyes Adatait. Személyes Adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak jogszabály ettől eltérően nem rendelkezik – kizárólag hatósági határozat alapján, vagy az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.

4.2            Az Adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt Személyes Adatot az illetékes hatóságoknak továbbítani, amely Személyes Adat továbbítására őket jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt az Adatkezelő nem tehető felelőssé.

4.3            Amennyiben az Adatkezelő a Személyes Adatokat részben vagy egészben harmadik személy számára átadja, úgy az általa kezelt Személyes Adatokat részben vagy egészben e harmadik személy számára az Érintett külön hozzájárulásának kikérése nélkül, azonban az Érintettek megfelelő előzetes tájékoztatása mellett átadhatja az új üzemeltető részére azzal, hogy ezen adattovábbítás az Érintettet nem hozhatja a jelen Szabályzat mindenkor hatályos szövegében megjelölt adatkezelési szabályoknál hátrányosabb helyzetbe. Jelen pont szerinti adattovábbítás esetén az Adatkezelő az adattovábbítás előtt lehetőséget biztosít az Érintettek számára arra, hogy az adattovábbítás előtt tiltakozzanak az adattovábbítás ellen. Tiltakozás esetén az adott Érintett adatainak a jelen pont szerinti továbbítása nem lehetséges.

4.4            Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az Érintett tájékoztatásának biztosítása céljából adattovábbítási nyilvántartást vezet, amelyet a jelen Szabályzat 4. MELLÉKLETE is tartalmaz.

5.1            Az Adatkezelő tevékenysége ellátásához az 1. MELLÉKLETBEN megnevezett Adatfeldolgozókat veszi igénybe. Jelen Szabályzatban meghatározott Adatfeldolgozók részére történő Adattovábbítás az Érintett külön hozzájárulása nélkül végezhető.

5.2            Az Adatfeldolgozók önálló döntést nem hoznak, kizárólag az Adatkezelővel kötött szerződés, és a kapott utasítások szerint jogosultak eljárni. Az Adatfeldolgozók 2018. május 25. napját követően a részükre az Adatkezelő által továbbított és általuk kezelt vagy feldolgozott Személyes Adatokat a GDPR által előírt rendelkezésekkel összhangban rögzítik, kezelik, ill. dolgozzák fel.

5.3            Az Adatkezelő rendszeresen ellenőrzi az Adatfeldolgozók munkáját.

5.4            Az Adatfeldolgozók további adatfeldolgozó igénybe vételére csak az Adatkezelő hozzájárulásával jogosultak.

6.1            Az Adatkezelő biztosítja, hogy illetéktelen személyek ne férhessenek hozzá Személyes Adatokhoz. A hozzáférések korlátozása úgy történik, hogy az Adatkezelő minden alkalmazottja csak azokhoz a mappákhoz kaphat hozzáférési jogosultságot, amely a munkaköre betöltéséhez szükséges.

6.2            Jogosulatlan hozzáférés esetén belső az Adatkezelő belső vizsgálatot folytat le, melyért Dr. Szabó Balázs vállalati kapcsolatok igazgató felelős, és megfelelő szankciókat alkalmaz, valamint az ügy súlyossága alapján büntető feljelentés is megfontolásra kerül. Amennyiben az illetéktelen hozzáférés Adatvédelmi Incidensnek minősül, az Adatkezelő az alábbi 8. pontban meghatározottak szerint jár el.

6.3            Az alábbi típusú Személyes Adatokhoz az alábbi személyek férhetnek hozzá:

(a) munkaszerződések, jelenléti ívek, munkaorvosi alkalmassági igazolások, előző munkahely kilépő papírjai, távozó munkatársak kilépő papírjai;

(b) hostess aktivitások adatai (ajándékok átvételi elismervénye; elérhetőségek sorsolásokhoz, ahol a nyertes megkereshető)

7.2            Az alábbi Személyes Adatok kezelése elektronikusan történik: az összes többi, a fenti 7.1 pontban nem említett személyes adat, többek között:

(a)                alkalmazottak neve, születési neve, anyja neve, születési hely és idő, adóazonosító jel, TAJ szám, bankszámlaszám, állandó és ideiglenes lakcím, személyigazolvány szám, munkaorvosi vizsgálat eredménye;

(b)               közösségi média és digitális kampányok adatai; ruhaméretek

7.3            A fenti esetekben a Személyes Adatok a következő módokon kerülnek tárolásra:

(a)                Papír alapú dokumentumok

A Személyes Adatok zárt szobában, zárt szekrényekben, illetve páncélszekrényben kerülnek elhelyezésre.

(b)               Elektronikus dokumentumok

A Személyes Adatokat az Adatkezelő belső szervereken és külső helyszíneken helyezi el, melyekhez a hozzáférés korlátozott biztonsági beállítások és egyéni mappahozzáférési jogosultságok alkalmazásával.

7.4            A Személyes Adatokat számos Adatbiztonsági Intézkedés védi, melyeknek listája és leírása az 5. MELLÉKLETBEN található.

8.1            Ha az Adatkezelő tudomást szerez bármilyen Adatvédelmi Incidensről, úgy az Adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órán belül köteles értesíteni az Adatvédelmi Hatóságot, valamint az Érintettet, és teljes körűen együttműködni a probléma ésszerű keretek közötti lehető leggyorsabb orvoslásában.

8.2            Az értesítést e-mailben kell megküldeni, fontosnak (urgent) jelölt e-mail útján, amelynek tárgya az alábbi figyelmeztetést tartalmazza: „SÜRGŐS – SZEMÉLYES ADATOK MEGSÉRTÉSE”.

8.3            Az értesítés az Incidens szempontjából lényeges valamennyi információt tartalmazza. Az Adatkezelő Kapcsolattartójának rendelkezésre kell állnia gyors segítségnyújtás céljából és azért, hogy meg tudjon válaszolni az Érintett, illetve a hatóság részéről felvetődő bármilyen utólagos kérdést. Az Incidens esetén kiküldendő értesítési űrlapot e Szabályzat Értesítés Adatvédelmi Incidens esetére a 6. MELLÉKLET tartalmazza.

Tekintettel arra, hogy az Adatkezelő nem közhatalmi szerv vagy közfeladatot ellátó szerv, fő tevékenységei nem foglalnak magukban olyan adatkezelési műveleteket, amelyek az Érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, és fő tevékenységei nem foglalják magukban a személyes adatok különleges kategóriáinak vagy  büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését, az Adatkezelő adatvédelmi tisztviselő kijelölésére nem köteles.

Személyes Adataik kezelésével kapcsolatos megkeresésekkel az Érintettek a fenti 1.2.5. pontban megjelölt Kapcsolattartóhoz fordulhatnak.

Az Adatkezelőnek nem kötelező adatvédelmi hatásvizsgálatot lefolytatnia, az alábbi okokból:

(a)       A GDPR rendelkezései szerint adatvédelmi hatásvizsgálatot olyan esetekben kell lefolytatni, ha az adatkezelés valamely típusa valószínűleg magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A W29-es munkacsoport („W29”) 43-as állásfoglalása tartalmazza azon feltételek listáját, melynek fennállása esetén az adatkezelés valószínűsíthetőleg magas kockázatot jelent. E feltételek közé tartozik a módszeres megfigyelés, vagyis az érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából végzett adatkezelés, amely azért tartozik a figyelembe veendő szempontok közé, mert a személyes adatok gyűjtése olyan körülmények között folyhat, ahol előfordulhat, hogy az érintettek nem tudják, ki gyűjti, és hogyan használja fel adataikat. Ide a sorolja még a W29 a kiszolgáltatott helyzetben lévő érintettek, különösen a munkavállalók adatainak kezelését.

(b)       A WP29 szerint minél több feltétel teljesül az adatkezelés során, annál valószínűbb, hogy az adatkezelés magas kockázattal jár az érintettek jogaira és szabadságaira nézve. Ha egy adatkezelésre nézve kevesebb, mint két feltétel teljesül, a kockázatok alacsony szintje miatt hatásvizsgálat elvégzése nem szükséges.

(c)       Mivel az Adatkezelő a kamerák használatával kapcsolatos minden kérdésről megfelelően tájékoztat minden érintettet, illetőleg a kamarák használatának célja nem a munkavállalók, mint kiszolgáltatott érintettek megfigyelése, ezért esetében az adatvédelmi hatásvizsgálat elvégzésével kapcsolatos követelmény nem érvényesül. Az Adatkezelő, mint elsődlegesen élelmiszergyártó és forgalmazó cég, egyebekben sem nem folytat olyan adatkezelést és nem alkalmaz olyan technológiát, amely az Érintettek jogaira és szabadságaira nézve lényeges kockázatot jelentene.

11.1        Adatkezelő a Személyes Adatokat haladéktalanul, de legkésőbb 3 (három) munkanapon belül eltávolítja,

(a)                ha az Érintett azok törlését kéri, vagy amennyiben az Adatkezelés jogalapja hozzájárulás, hozzájárulását visszavonja;

(b)                ha az adatkezelés jogszabály által megengedett időtartama lejárt; vagy

(c)                ha az Adatkezelés célja megvalósult.

11.2        Az eltávolítandó elektronikus adatok a szerverről való törléssel kerülnek eltávolításra.

11.3        Az eltávolítandó papír-alapú adatok papírmegsemmisítők útján fizikai megsemmisítésre kerülnek.

Az Érintettek az alábbi jogaikat az Adatkezelőt az 1.2.5 pontban feltüntetett elérhetőségein e-mailben vagy tértivevényes ajánlott postai levélben írásban gyakorolhatják. A levélben küldött megkeresést az Adatkezelő akkor tekinti hitelesnek, ha a megküldött kérelem alapján az Érintett egyértelműen beazonosítható. E-mailben küldött tájékoztatáskérést az Adatkezelő csak akkor tekint hitelesnek, ha azt az Érintett e-mail címéről küldik, ez azonban nem zárja ki, hogy az Adatkezelő a tájékoztatás megadása előtt az Érintettet más módon is beazonosítsa.

Az Adatkezelő haladéktalanul megvizsgálja a megkereséseket és döntéseket hoz velük kapcsolatban, melyeket írásban juttat el az Érintettekhez.

12.1        Jog a tájékoztatáshoz

12.1.1  Az Érintett bármikor kérheti, hogy az Adatkezelő tájékoztassa, hogy kezeli-e az Érintett Személyes Adatát, és ha igen, akkor az általa kezelt Személyes Adatokhoz biztosítson számára hozzáférést.

12.1.2  A tájékoztatáskérés kiterjedhet az Érintettnek az Adatkezelő által kezelt adataira, azok forrására, az Adatkezelés céljára, jogalapjára, időtartamára, az esetleges Adatfeldolgozók nevére és címére, az Adatkezeléssel összefüggő tevékenységekre, valamint a Személyes Adatoknak továbbítása esetén arra, hogy kik és milyen célból kapták vagy kapják meg Érintett adatait.

12.2        Jog a helyesbítéshez

Az Érintett kérheti az Adatkezelő által kezelt Személyes adatainak helyesbítését vagy módosítását. Figyelembe véve az Adatkezelés célját, az Érintett kérheti a hiányos Személyes Adatok kiegészítését. Személyes Adat módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.

12.3        Jog a Személyes Adatok törléséhez (feledéshez való jog)

12.3.1  Az Érintett kérheti az Adatkezelő által kezelt Személyes adatainak törlését. A törlés megtagadható (i) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából, vagy (ii) ha a Személyes Adatok kezelésére jogszabály felhatalmazást ad; valamint (iii) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

12.3.2  A törlési kérelem megtagadásáról az Adatkezelő minden esetben tájékoztatja az Érintettet, megjelölve a törlés megtagadásának indokát. Személyes Adat törlésére irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.

12.4        Jog az Adatkezelés korlátozásához

12.4.1  Az Érintett kérheti, hogy Személyes Adatainak kezelését az Adatkezelő korlátozza, ha az Érintett vitatja a kezelt Személyes Adatok pontosságát. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelők ellenőrizzék a Személyes Adatok pontosságát. Az Adatkezelő megjelöli az általuk kezelt Személyes Adatot, ha az Érintett vitatja annak helyességét vagy pontosságát, de a vitatott Személyes Adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

12.4.2  Az Érintett kérheti, hogy Személyes Adatainak kezelését az Adatkezelő korlátozza akkor is, ha az Adatkezelés jogellenes, de az Érintett ellenzi a kezelt Személyes Adatok törlését, és ehelyett kéri azok felhasználásának korlátozását.

12.4.3  Az Érintett továbbá akkor is kérheti, hogy Személyes Adatainak kezelését az Adatkezelő korlátozza, ha az Adatkezelés célja megvalósult, de az Érintett igényli azok Adatkezelő általi kezelését jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.

12.5        A tiltakozáshoz való jog

12.5.1  Az Érintett tiltakozhat Személyes Adatainak kezelése ellen (i) ha a Személyes Adatok kezelése kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges; (ii) ha az Adatkezelés célja közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás; vagy (iii) ha az Adatkezelésre közérdekű feladat teljesítése érdekében kerül sor. Az Adatkezelő az Érintett tiltakozásának jogszerűségét megvizsgálja, és ha a tiltakozás megalapozottságát megállapítja, az Adatkezelést megszünteti és a kezelt Személyes Adatokat zárolja, továbbá a tiltakozásról és az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett Személyes Adatok korábban továbbításra kerültek.

13.1        Bármilyen, adatkezeléssel kapcsolatos kérdéssel, észrevétellel kereshetők az Adatkezelő munkatársai az adatvedelem@szentkiralyi-kekkuti.hu e-mail címen.

13.2        Az Érintett az Adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) fordulhat, melynek elérhetőségei a következők:

13.3        Az Érintett jogainak megsértése esetén bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az Érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Az Adatkezelő kérésre az Érintettet tájékoztatja a jogorvoslat lehetőségéről és eszközeiről.

14.1        Az Adatkezelő fenntartja magának a jogot, hogy a jelen Szabályzatot egyoldalú döntésével bármikor módosítsa.

14.2        Az Érintett a módosított Szabályzat megismerésével elfogadja a Szabályzat mindenkor hatályos rendelkezéseit, ezen túlmenően az egyes Érintettek beleegyezésének kikérésére nincs szükség.

14.3        A Szabályzat hatályba lépési dátuma és verziószáma a címlapon olvasható.

Budapest, 2018. május 25.

Martin Olivér (s.k.)

Ügyvezető, országigazgató

A jelen szerződésben feltüntetett kapcsolattartó személyes adatait a Szentkirályi-Kékkúti Kft. jogos érdekeinek előmozdítása céljából kezelheti. Az adatkezelés részleteivel kapcsolatos rendelkezéseket a Szentkirályi-Kékkúti Kft. Adatkezelési Szabályzat tartalmazza, amely hozzáférhető a www.szentkiralyi.hu honlapon.

Az alábbi [linkre kattintva] / [aláírásával] Ön hozzájárul, hogy az ajándék személyre szabásához szükséges személyes adatait ([kezelt adatok felsorolandók]) a Szentkirályi-Kékkúti Kft. a szükséges mértékben kezelje. Az adatkezelés részleteivel, valamint az Ön jogaival kapcsolatos részletes tájékoztatást a Szentkirályi-Kékkúti Kft. Adatkezelési Szabályzata tartalmazza, amely hozzáférhető a www.szentkiralyi.hu honlapon.

A „Sütik” kis szövegfájlok (adatcsomagok), amelyek a Weboldal meglátogatásakor a Weboldalt felkereső számítógépére kerülnek. A Sütik a Weboldal működését segítik, illetve hatékonyabb működését teszik lehetővé, valamint információkat adnak a Weboldal tulajdonosai számára.

A Szentkirályi-Kékkúti a Sütiket a Weboldal használhatóságának és funkcionalitásának javítására használja, valamint annak jobb megértésére, hogy a Weboldal látogatói miként használják a Weboldalt és az azokon elhelyezett eszközöket, illetve szolgáltatásokat. A Sütik tárolása a Weblap látogatóinak számítógépén történik abból a célból, hogy a következő látogatáskor még szórakoztatóbb és élvezetesebb legyen a Weboldal. Ezen információk kizárólag belsőleg (a KMV Cégcsoporton belül) kerülnek felhasználásra, amelyek alapján kutatásokat végezhetünk az Ön demográfiai adataival, illetve érdeklődésével kapcsolatban. A névtelen vagy általános jellegű adatok, amelyekből az Ön személye nem azonosítható, nem minősülnek a GDPR és az Infotv. szerinti személyes adatnak.

A Szentkirályi-Kékkúti nem használ Sütiket személyi azonosító adatok – például nevek – gyűjtésére, azonban fenntartja a jogot, hogy a Sütiben lévő információt a honlap látogatóitól más módon szerzett személyi adatokhoz kapcsolja.

A Süti beállítások a Weboldal látogatójának böngészőjében bármikor megváltoztathatók. Fontos ugyanakkor, hogy a Süti beállítások megváltoztatása esetén előfordulhat, hogy nem lesz lehetséges a Weboldal valamennyi funkciójának használata.

A Weboldal felkeresésekor a következő típusú sütik alkalmazásával lehet találkozni:

(a)                            A Weboldal működéséhez szükséges sütik

Ezek olyan Sütik, amelyek mindenképp szükségesek egy Weboldal működéséhez. Ezen sütik nélkül a Weboldal nem fog megfelelően működni.

(b)                            A Weboldal működését segítő sütik

Ezek olyan Sütik, amelyek a Weboldal jobb működését segítik elő. Például egyes Sütik megjegyzik a Weboldalon előzőleg megtekintett tartalmat. A Weboldal működését segítő Sütik tehát lehetővé teszik a tartalom testre szabott, az érdeklődési körnek megfelelő használatát, valamint időt takarítanak meg azzal, hogy a Weboldal újbóli látogatásakor vagy regisztrációval elérhető részekbe történő belépéskor nem a korábban már megadott információkat újból megadni.

(c)                            Közvetlen sütik (first party cookies)

Ezek olyan Sütik, amelyeket ez a Weboldal helyez el és kizárólag ez a Weboldal tud olvasni.

(d)                            Közvetett sütik (third party cookies)

Ezek olyan Sütik, amelyeket harmadik felek helyeznek el és amelyek különböző szolgáltatásokhoz használhatóak fel.

(e)                            „Flash”sütik

A Szentkirályi-Kékkúti fentieken kívül ún.„flash”Sütiket is használ. A flash Sütik célja, hogy a Weboldalt meglátogatók beállításait – például a hangerőbeállítás vagy a játékban elért legmagasabb pontszám – a tartalom megfelelő kialakítása céljából kezelje. Azon harmadik felek, akik bizonyos szolgáltatások – például játékok vagy hirdetések – nyújtásában a Szentkirályi-Kékkúti partnerei, a flash Sütiket nem személyi azonosító jellegű információk gyűjtésére használják.