Adatkezelési Tájékoztató
A TAPI Hungary Industries Kft. általános ügyfél adatkezelési tájékoztatója
A TAPI Hungary Industries Korlátolt Felelősségű Társaság (a továbbiakban: az „Adatkezelő”, „Teva” vagy a „Társaság”) működéséhez elengedhetetlenül szükséges ügyfelei személyes adatainak a kezelése. Az ilyen személyes adatok kezelésrére elsősorban az Önnel kötött szerződések és bizonyos jogszabályi kötelezettségek teljesítése miatt kerül sor. Figyelemmel arra, hogy az Adatkezelő széles körű üzleti és vállalatirányítási tevékenységet folytat, valamint a társaság egy nemzetközi vállalatcsoport része, ezért az adatkezelési műveleteket számos célból folytatja. E tevékenységei keretében jelentős számú érintett személyes adatát kezeli, és indokolt esetben azokat továbbítja hatóságok, az Adatkezelő vállalatcsoportjához tartozó más tagvállalatai, külső szolgálatók és tanácsadók, valamint egyéb harmadik személyek részére.
Az Adatkezelő nemzetközi vállalatcsoport részeként a személyes adatokat továbbíthatja a csoport más tagvállalatai részére is, akik az Adatkezelő vállalatcsoportja számára rendszeres csoportszintű szolgáltatásokat nyújtanak, valamint a csoport irányításában vesznek részt. Ennek keretében egyes személyes adatok harmadik országokba, köztük Izrael Államba, illetve az Amerikai Egyesült Államokba is továbbításra kerülhetnek. Az ilyen adattovábbítások során az Adatkezelő az adatvédelmi szabályok betartása felől minden esetben gondoskodik.
Az ilyen adatkezelési tevékenységek érintettjei elsősorban a Adatkezelő ügyfelei, ügyfeleinek képviselői és kapcsolattartói, de egyes esetekben a Adatkezelővel kapcsolatban álló üzleti partnerek, azok képviselői és kapcsolattartói is érintettek lehetnek.
A jelen adatkezelési tájékoztató (az „Adatkezelési Tájékoztató”) célja, hogy az adatkezelési műveletek érintettjei, a személyes adataik kezelésével kapcsolatos tájékoztatást kapjon az Európai Parlament és a Tanács 2016/679 rendeletének (a „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (az „Infotv.”) rendelkezéseivel összhangban.
1. AZ ADATKEZELÉSI TÁJÉKOZTATÓ ÉS A SPECIÁLIS TÁJÉKOZTATÓK KAPCSOLATA
Az Adatkezelő számos adatkezelési tevékenységet folytat, amelyek mind egyedi jellemzőkkel bírnak. A jelen Adatkezelési Tájékoztatóban az Adatkezelő által folytatott valamennyi adatkezelési tevékenységére vonatkozó közös szabályok találhatóak meg. A konkrét adatkezelési tevékenységek jellemzőit, különösen az adatkezelés célját, a kezelt személyes adatok körét, a személyes adatok megőrzésének az idejét, valamint a művelet egyéb jellemzőit az ún. speciális tájékoztatók tartalmazzák (a „Speciális Tájékoztatók”). A Speciális Tájékoztatók elsődlegesen az Adatkezelő erre rendszeresített felületén kerülnek közzétételre. A Speciális Tájékoztatókban nem szabályozott kérdésekben az általános rendelkezések irányadók.
2. AZ ADATKEZELŐ SZEMÉLYE, ADATVÉDELMI TISZTVISELŐ ÉS ELÉRHETŐSÉGEK
A személyes adatok kezelője a TAPI Hungary Industries Korlátolt Felelősségű Társaság (cégjegyzékszáma: 09-09-035675; székhelye: 4042 Debrecen, Pallagi út 13.). Az Adatkezelő kijelölt adatvédelmi tisztviselője (az „Adatvédelmi Tisztviselő”) elérhetősége: e-mail címe euprivacy@tevaeu.com. Az érintett bármely kérdésével, illetve az információs önrendelkezési jogai gyakorlásával kapcsolatban, választása szerint közvetlenül az Adatkezelőhöz vagy az Adatvédelmi Tisztviselőhöz is fordulhat.
3. INFORMÁCIÓS ÖNRENDELKEZÉSI JOGOK ÉS JOGORVOSLATI LEHETŐSÉGEK
A személyes adatai kezelésével kapcsolatos bármely észrevétel, kérdés, és panasz esetén kérjük az érintetteket, hogy forduljanak közvetlenül az Adatkezelőhöz. Az Adatkezelő a kérelmére haladéktalanul, de legkésőbb a kérelme beérkezéstől számított egy hónapon belül érdemi választ ad. Összetett kérelem, vagy kérelmek nagy száma esetén a válaszadási határidő további két hónappal meghosszabbítható, amelyről az eredeti határidőn belül az Adatkezelő értesíti az érintettet.
A személyes adatai kezelésével kapcsolatban az érintettet információs önrendelkezési jogok illetik meg, amelyeket alapvetően az adatkezelés jogalapja határoz meg. A Speciális Tájékoztatóban külön jelzésre kerül, hogy az adott adatkezelési jogalappal összefüggésben milyen jogok illethetik meg az érintettet. Adott érintetti jog gyakorlásával kapcsolatban a GDPR további feltételeket állapíthat meg, amely akár ki is zárhatja a jog gyakorlását. Ezért az információs önrendelkezési jogai gyakorlása előtt javasolt a jelen Adatkezelési Tájékoztató, a Speciális Tájékoztató, valamint a jog részletes tartalmával kapcsolatban a GDPR rendelkezései áttekintése.
a. Hozzájárulás visszavonása (GDPR 7. cikk (3) bek.) Az érintett jogosult arra, hogy az adatkezeléshez adott hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
b. Hozzáférés (GDPR 15. cikk) Ha az érintett él ezzel a jogával, akkor az Adatkezelő tájékoztatja arról, hogy a kérése időpontjában milyen személyes adatait kezeli és azokat kinek továbbította. Ez nem csupán egy általános felsorolás, hanem a konkrét személyes adatokat is tartalmazza. Így az érintett is meggyőződhet arról, hogy az Adatkezelő kezelésében lévő adatai helyesek és naprakészek, valamint arról, hogy úgy kezeli az Adatkezelő a személyes adatait, ahogy arról előzetesen tájékoztatta.
Nem adhatja ki az Adatkezelő az érintett részére más személyekre vonatkozó személyes adatokat, vagy olyan személyes adatokat, amelyek az Adatkezelővel szemben folyamatban lévő igényérvényesítéshez kapcsolódnak.
c. Helyesbítés (GDPR 16. cikk) Ha az érintett észleli, hogy valamely személyes adatát pontatlanul vagy hiányosan tartja nyilván az Adatkezelő, akkor kérheti annak a kijavítását vagy kiegészítését. Ha az Adatkezelő meggyőződött arról, hogy a személyes adat eltér a valóságtól vagy hiányos, javítja azt. Vannak olyan esetek, amikor a helyesbítést kizárja az adatkezelés természete. Ilyenek például az Adatkezelő tevékenysége során készített képfelvételek, az érintettel kötött szerződés egyes tartalmi elemei vagy az egyes igényérvényesítési eljárásokban bizonyítékként felhasznált okiratok és egyéb bizonyítási eszközök.
d. Törlés („az elfeledtetéshez való jog”)(GDPR 17. cikk) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a 17. cikkben meghatározott indokok valamelyike fennáll, többek között akkor, ha az adatok kezelése már nem szükséges, az érintett a korábban adott hozzájárulását visszavonja, tiltakozik az adatkelés ellen és nincs olyan ok, ami miatt az adatkezelés megengedhető, az adatok jogellenes kezelése merül fel vagy jogszabály írja elő azok törlését.
e. Adatkezelés korlátozása (GDPR 18. cikk) Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha a 18. cikkben foglalt indok teljesül. Az érintett kérheti az adatkezelési műveletek ideiglenes szünetelését, ha felmerül a lehetősége annak, hogy valamely személyes adatát pontatlanul tartja nyilván az Adatkezelő; felmerül az adatkezelés jogellenessége, de nem szeretné, hogy törölje az Adatkezelő az ezzel érintett adatokat; az Adatkezelőnek már nincs szüksége az adatokra, de az érintettnek igen; vagy tiltakozott az adatkezelés ellen. Ilyenkor az adatokat tovább tárolja az Adatkezelő, de más műveletet nem végez vele, kivéve, ha hozzájárul a kezeléshez vagy az jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekéből szükséges.
f. Adathordozhatóság (GDPR 20. cikk) Az érintett jogosult arra, hogy az Adatkezelő rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, ha: az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és az adatkezelés automatizált módon történik. Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
g. Tiltakozás (GDPR 21. cikk)
Jogos érdeken alapuló adatkezelések esetén: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve az említett rendelkezésen alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos érdekei indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Közvetlen üzletszerzés érdekében folytatott adatkezelések esetén: Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon az érintettre vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezeli tovább az Adatkezelő.
4. JOGORVOSLAT
A személyes adatok kezeléséhez fűződő jogainak megsértése esetén az érintett az alábbi jogorvoslati lehetőségekkel élhet:
a. Az érintett közvetlenül az Adatkezelőhöz, vagy az Adatvédelmi Tisztviselőhöz fordulhat a 2. pontban írt elérhetőségen.
b. Az érintett panaszt nyújthat be a felügyeleti hatósághoz:
Nemzeti Adatvédelmi és Információszabadság Hatóság (székhelye: 1055 Budapest, Falk Miksa utca 9-11; postai cím: 1363 Budapest, Pf.: 9.; e-mail: ugyfelszolgalat@naih.hu; telefon: +36 (1) 391-1400; web: www.naih.hu)
c. Keresetet nyújthat be az Adatkezelő ellen.
Az érintett jogosult bírósághoz fordulni adatai jogellenes kezelése esetén. A bíróság illetékességéről és elérhetőségeiről az alábbi honlapon tájékozódhat: www.birosag.hu
5. ALKALMAZOTT ADATBIZTONSÁGI INTÉZKEDÉSEK
A jelen pont az Adatkezelő által alkalmazott általános adatbiztonsági intézkedéseket tartalmazza. Ha egy adott adatkezelési tevékenységgel kapcsolatban az Adatkezelő ettől eltérő adatbiztonsági intézkedéseket alkalmaz, úgy azokat a Speciális Tájékoztató tartalmazza. A személyes adatok védelme érdekében az Adatkezelő a nemzetközi információvédelmi gyakorlatnak megfelelő biztonsági intézkedéseket vezetett be. Ezen intézkedések között találhatóak technológiai, adminisztratív, technikai, fizikai és eljárási lépések, amelyek arra hivatottak, hogy megvédjék a személyes adatokat a jogosulatlan használattól, hozzáféréstől vagy nyilvánosságra hozataltól, valamint azok elvesztésétől, módosításától vagy megsemmisítésétől.
Alapelvek
Az adatbiztonság kiterjed a fizikai és logikai eszközökre, ezek használatára és kezelésére, valamint a biztonsággal kapcsolatos szabályozásra és eljárásokra. Az adatbiztonságért a vállalatvezetés, az IT szervezet, az információ tulajdonosok és a végfelhasználók felelősek.
Jogosultságok és felelősségi körök
Minden, az Adatkezelő által használt alkalmazási rendszernek van rendszergazdája. A rendszergazdák felelősek a rendszerüzemeltetésért, információvédelemért, beleértve az információk jogosulatlan nyilvánosságra hozását megakadályozó hozzáférési rendszer kialakítását, valamint a kritikus adatvesztést megakadályozó mentések létrehozását. Az informatikai rendszerek és eszközök csak az Adatkezelő üzleti tevékenységekhez használhatók. A felhasználóknak ismerniük kell az Informatikai Biztonsági Szabályzat előírásait, és azoknak megfelelően kell tevékenykedniük. Kötelesek jelenteni a szabályzat bármilyen gyanús, vagy tényleges megsértését a megfelelő alkalmazás rendszergazdájának. Az Adatkezelő információs vagyonának megőrzése érdekében a felhasználóknak tilos önállón hardvert vagy szoftvert telepíteniük. Ezt a tevékenységet kizárólag az IT Operation osztály, illetve az általa megbízott személyek és partnerek végezhetik. Minden felhasználó felelős a számítógépes erőforrások használatáért, és felelős a számítógépes adatbiztonsággal kapcsolatos tevékenységéért.
Rendszer hozzáférés
Minden, az Adatkezelő által használt számítógépes rendszerben jóváhagyott, jelszó alapú hozzáférést használunk. Minden információhoz és szolgáltatáshoz csak az arra jogosultságot kapott felhasználó férhet hozzá.
> Jelszavak. Nehezen kitalálható jelszavak: Felhasználói jelszó előírások alapján a jelszó kitalálásának megnehezítése érdekében, amennyiben technikailag megvalósítható a rendszerben, a jelszónak legalább nyolc karakter hosszúnak kell lennie, és tartalmaznia kell legalább 3-at a következők közül: kisbetű, nagybetű, szám, speciális karakter. A felhasználókkal szembeni minimális jelszókövetelmények betartatását, valamint a szabályozott időközönként jelszó cserék kikényszerítését a programok végzik. A jelszót 180 naponként, vagy ennél gyakrabban cserélni kell. A rendszer tulajdonosok felelőssége annak biztosítása, hogy legalább évente egyszer a felhasználók hozzáférési jogai felül legyenek vizsgálva.
> Külső hozzáférések. Minden olyan kapcsolatot, amelyik az Adatkezelő számítógépes hálózatába kívülről csatlakozik be, a Global IT Security által jóváhagyott erős hitelesítési és titkosítási rendszerrel védjük. Az Adatkezelő számítógépes rendszeréhez minden típusú külső hozzáférés csak az Adatkezelő által jóváhagyott szoftverrel és hálózati technológiával engedélyezett. Minden távoli hozzáférés adatforgalmát titkosítja az Adatkezelő. Az Adatkezelő rendszerében lévő tűzfalakat központilag a Global IT Security Operations kezeli.
> Wi-Fi (Vezeték nélküli hálózatok). Csak az Adatkezelő WiFi szabványoknak és titkosítási előírásoknak megfelelő vezeték nélküli hálózatot használunk az Adatkezelő telephelyein belül. Minden vezeték nélküli hálózaton továbbított adatot titkosítunk. Egyéb vezetéknélküli hálózatok csatlakozását az Adatkezelő belső hálózatába nem engedélyezi, ezeket folyamatosan monitorozza.
> Számítógépes vírusok elleni védelem. A számítógépek és hálózatok folyamatos, megszakítás nélküli biztonságos működése érdekében az összes számítógépet, beleértve a munkaállomásokat, szervereket, levelezési átjárókat és mobil eszközöket, az Adatkezelő által jóváhagyott vírusirtó program frissített legújabb verziójával védjük. Hordozható adattároló (pendrive, CD, DVD) eszközök csatlakoztatása nincs engedélyezve és nem is lehetséges. A hordozható eszközökön (laptop, okostelefon) tárolt, bizalmas információkat programmal titkosítjuk.
> IT eszközök. Az IT eszközöket a teljes életciklusuk alatt monitorozzuk és ellenőrizzük, csak az IT által jóváhagyott IT eszközök használhatók az Adatkezelő hálózatában és telephelyein. Csak jogtiszta és megfelelő licenccel rendelkező szoftverek használhatók az Adatkezelő informatikai rendszereiben. Az IT osztály ellenőrzi a megfelelő licenc használatot. A hardverekre, érvényes karbantartási szerződéssel rendelkezünk a gyártóval vagy annak valamely feljogosított partnerével. Az Adatkezelő telephelyéről és tulajdonából kikerülő számítógépekről a telephely elhagyása előtt törlünk minden Adatkezelő információt.
> Biztonsági monitorozás. A biztonsági monitorozás segít annak megerősítésében, hogy a telephelyen az adatbiztonságra vonatkozó szabályzatoknak és előírásoknak megfeleljünk. Ezeket a tevékenységeket a rendszer gondnokainak, alkalmazás- és rendszergazdáinak és az IT Operation alkalmazottaknak kell elvégeznie. A biztonsági naplókat a kockázat mértékének megfelelő gyakorisággal vizsgáljuk, hogy a rossz működés és a sérülékenységek felismerhetők és javíthatók legyenek. A Global IT Security rendszeresen végez biztonsági auditot. Rendszeresen, a kockázattól függően elvégezzük a biztonsági beállításokat, javításokat, ellenőrizzük a szervizcsomagok és verziófrissítések állapotát az összes fontos rendszeren. Az informatikai biztonság vizsgálatára szolgáló IT eszközöket és szoftvereket kizárólag az IT Operation szakemberek használják, egyéb személy általi felhasználás nem lehetséges.
Mentés
A Teva információk védelme érdekében minden IT rendszerhez adatmentési eljárást alkalmazunk. A mentési adatokat olyan biztonságos és olyan távoli helyen tároljuk, amely nem fenyegeti az éles rendszert. A helyi saját számítógépen vagy szerveren lévő mentés nem elegendő. A rendszeres mentést felhasználva minden rendszeren visszaállítási gyakorlatot és adattároló rotációt végzünk. A mentési szalagokat tűz- és betörésbiztos helyen tároljuk.
Fizikai védelem
> Számítógéptermek. Számítógéptermekbe belépés csak az arra jogosult és minimálisan szükséges számú személy számára engedélyezett, a belépéseket naplózzuk és rendszeresen felülvizsgáljuk. Rendszeres belépés csak az Adatkezelő szervereket adminisztráló és szervizelő informatikusok részére engedélyezett. Adatkezelő géptermekre vonatkozó előírások:
- Automatikus tűzvédelmi rendszer, amely tűz- és füstérzékelőt, valamint automatikus tűzoltó mechanizmust (sprinkler) tartalmaz.
- Vízbetörésjelző és azt megakadályozó mechanizmus.
- Légkondicionáló berendezés, amely biztosítja a számítógépek számára az optimális hőmérséklet és páratartalom tartományt.
- Szünetmentes áramforrás (UPS) és generátor.
- Behatolásjelző és riasztó rendszer.
- Kamerás megfigyelő rendszer.
> Hordozható IT eszközök. Hordozható informatikai eszközök (laptop, notebook, okostelefon, ipad) fizikai jellegű (lopás, törés elleni) védelme az eszközt használó alkalmazott felelőssége. A fizikai védelem független az eszközökön lévő szoftveres védelemtől.
Előírások megszegése, visszaélések. Minden Adatkezelő alkalmazott, aki megszegi a szabályzatot, az az eset körülményeitől függően munkaviszonyára vonatkozó lényeges kötelezettségszegést, szabálysértést, illetve bűncselekményt követ el. A szabályzat megszegése esetén az Adatkezelő a megfelelő időben és módon megteszi a szükséges lépéseket a kár csökkentése, a törvényi és külső hatósági előírások betartása, illetve az újbóli előfordulás megelőzése érdekében. A fent nem szabályozott intézkedéseket, az Adatkezelő globális informatikai biztonsági szabályzata tartalmazza.
6. ADATKEZELÉSI MEGFELELŐSÉGGEL KAPCSOLATOS ADATKEZELÉS
Az Adatkezelő feladata, hogy valamennyi általa folytatott adatkezelési tevékenység jogszerűségét biztosítsa, és ennek részeként képesnek kell lennie a jogi megfelelőség bizonyítására is. Ennek megfelelően az Adatkezelő, általános jelleggel az 1. számú melléklet szerint kezeli a jogi megfelelőség bizonyításához szükséges dokumentumokat és az azokban található személyes adatokat.
Ilyen megfelelőségi dokumentumok lehetnek különösen, az érintett által adott hozzájárulások (név, aláírás, dátum), az online felületen adott hozzájárulás esetén, a hozzájárulás megadását rögzítő naplók; a jogos érdek tesztek (név, pozíció, aláírás, dátum), az adatvédelmi tájékoztatók (név, pozíció, aláírás, dátum), adatkezelési tevékenység nyilvántartása (név, pozíció, aláírás, dátum); adatvédelmi hatásvizsgálatok (név, pozíció, aláírás, dátum); belső szabályzatok (név, pozíció, aláírás, dátum); szerződések (név, pozíció, aláírás, dátum); társasági jogi dokumentumok (határozat tartalma, név, pozíció, aláírás, dátum); valamennyi az adatkezelési műveletek megfelelőségével kapcsolatban keletkezett egyéb levelezés és dokumentum (és az azokban foglalt személyes adatok). Az ilyen személyes adatokat az Adatkezelő, az adott adatkezelési művelet megszűnésétől számított 5 (öt) évig kezeli.
7. VERZIÓ ADATOK
Az Adatkezelési Tájékoztató 2024. december 1. napján került kihirdetésre. A jelen szöveg az Adatkezelési Tájékoztató 1.0 verziója.
SPECIÁLIS TÁJÉKOZTATÓK
1. Adatkezelési tájékoztató az ügyfeleket érintő adatkezelésekről