Adatvédelmi és Adatkezelési  Szabályzat

Extra-Audit Könyvelő és Könyvvizsgáló Korlátolt Felelősségű Társaság

 

Székhely: 6000 Kecskemét, Dobó körút 10. 2/A.

Cégjegyzékszám: 03 09 108351

Adószáma: 12326167-2-03

Készítette:

Szabó Zsuzsanna ügyvezető

 

2018.május 25.

I. A szabályzat hatálya

1. Jelen szabályzat hatálya kiterjed az Extra-Audit Könyvelő és Könyvvizsgáló Kft. vállalkozás teljes egészére, valamennyi szervezeti egységére és az összes foglalkoztatottjára (a továbbiakban: vállalkozás).

 

2. Adatkezelő adatai:

 

• Cégnév: Extra-Audit Könyvelő és Könyvvizsgáló Korlátolt Felelősségű Társaság
• Székhely: 6000 Kecskemét, Dobó körút 10. 2/A.
• Cégjegyzékszám: 03 09 108351
• Adószáma: 12326167-2-03

 

Az Adatkezelő tevékenységéhez az alábbi weboldal üzemeltető közreműködését és szolgáltatásait veszi igénybe:

Xsoft Media Kereskedelmi és szolgáltató Kft.

6000 Kecskemét, Sarló u. 8.

(info@xsoft.hu)

 

Az Adatkezelő tevékenységéhez az alábbi szerver szolgáltató közreműködését és szolgáltatásit veszi igénybe:

 

INTREX-HOSTING Informatikai Kft.

8000 Székesfehérvár, Nyitrai u. 49. 4. épület

(zsakai.robert@gmail.com)

II. A szabályzat célja

3. A Szabályzat célja, hogy biztosítsa a személyes adatok alaptörvény szerinti védelmének érvényesülését, az információs önrendelkezés megvalósulását, továbbá, hogy a vállalkozás által kezelt személyes adatok tekintetében meghatározza az adatkezelés során irányadó adatvédelmi és adatbiztonsági szabályokat.

 

III. Irányadó jogszabályok

 

4. A vállalkozásnak az adatkezelése során az alábbi jogszabályokban foglalt előírásoknak megfelelően kell eljárnia, a jelen belső szabályzatban foglaltak szerint:

 

• Az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő      védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK        rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a           továbbiakban: GDPR)
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.)
• a polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.)
• a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.)
• a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről szóló a 2007. évi LXXV. törvény (a továbbiakban: Kkt.)

 

IV. Értelmező rendelkezések

5. A GDPR-ban meghatározott fogalmak, amelyek közül jelen belső szabályzat jellegével összhangban az alábbi fogalmak emelendők ki :

 

1. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

 

2. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

 

3. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

 

4. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

 

5. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

 

6. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

 

7. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

 

8. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

 

1. képviselő: az az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában.

 

10. vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.

 

 

 

További fogalmak:

 

11. adatvagyon leltár: az adatkezelő által kezelt személyes adatok körének és jellegének felmérését szolgáló dokumentum.

 

• technikai és szervezési intézkedések: az adatkezelő által az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelően meghatározott eljárásrend annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR- ral összhangban

 

történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

 

V. Az adatkezelés alapelvei

6. A vállalkozás az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság).

 

7. A vállalkozás a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség).

 

8. A vállalkozás az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően a vállalkozás nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.

 

9. A vállalkozás adatkezelése pontos és naprakész. A vállalkozás minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).

 

10. A vállalkozás a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság).

 

11. A vállalkozás megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).

 

12. A vállalkozás felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá a vállalkozás igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében a vállalkozás gondoskodik a jelen belső szabályzatban foglaltak folyamatos érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről. A vállalkozás a jogszabályi kötelezettségeknek való megfelelés igazolására dokumentációt készít.

 

VI. Adatkezelési jogalapok

13. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább a 13-18. pontban meghatározott jogalapok egyike teljesül:

 

14. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (a továbbiakban: hozzájáruláson alapuló adatkezelés).

 

15. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (a továbbiakban: szerződésen alapuló adatkezelés).

 

16. Az adatkezelés a vállalkozásra vonatkozó jogi kötelezettség teljesítéséhez szükséges (a továbbiakban: jogi kötelezettségen alapuló adatkezelés).

 

17. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (a továbbiakban: létfontosságú érdeken alapuló adatkezelés).

 

18. Az adatkezelés közérdekű vagy a vállalkozásra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (a továbbiakban: közhatalmi jogosítványon alapuló adatkezelés).

 

19. Az adatkezelés a vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (a továbbiakban: jogos érdeken alapuló adatkezelés).

 

20. A vállalkozás egy adott személyes adatkör kezelése vonatkozásában mindig csak egy jogalap alapján végzi az adatkezelést. Az adatkezelés jogalapja az adatkezelés során változhat.

 

VII. Az adatvagyon leltár

21. A vállalkozás a tevékenysége körében végzett adatkezelésre vonatkozó, a GDPR és a jogszabályok által előírt kötelezettségeknek megfelelő technikai és szervezési intézkedések megalkotása céljából adatvagyon leltárt készít. Az adatvagyon leltár tartalmazza a vállalkozás által kezelt összes adatkört.

 

22. A vállalkozás adatkezelési tevékenységével összefüggésben az adatvagyon leltárban meghatározásra kerülnek az alábbiak:

 

1. az érintett [például ügyfél, munkavállaló]
2. az adatkezelés megnevezése és célja [például jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység ellátása, munkahelyi adatkezelés]
3. a kezelt adatok köre           [például név, lakcím, telefonszám, e-mail cím, munkabér]
4. esetlegesen kezelt különleges adatok köre [például szakszervezeti tagság, egészségügyi adatok]
5. az adatkezelés jogalapja [például szerződés, jogszabály, jogos érdek]
6. az adatkezelés időtartama [például számviteli törvény szerinti 8 év]   
7. kik férhetnek hozzá a személyes adatokhoz a vállalkozás szervezetén belül [például könyvvizsgáló, könyvvizsgáló asszisztens, adminisztrációt végző munkatárs, minőségellenőr]
8. ki számára kerülhet az adat továbbításra [például kamara, egyéb hatóság]
9. alkalmaz-e a vállalkozás adatfeldolgozót, ha igen kit, milyen célra és milyen személyes adatokhoz férhet hozzá és mennyi ideig tárolhatja a személyes adatokat [például bérszámfejtő, szerver üzemeltető, honlap üzemeltető]

 

23. A vállalkozás adatfeldolgozási tevékenységével összefüggésben (amennyiben van ilyen) az adatvagyon leltárban meghatározásra kerülnek az alábbiak:

 

1. mely tevékenységéhez kötötten minősül a vállalkozás adatfeldolgozónak;
2. ki az adatkezelő, akinek a nevében az adatfeldolgozási tevékenységet végzi;
3. milyen személyes adatokhoz fér hozzá;
4. mennyi ideig tárolhatja a személyes adatokat.