Adatkezelési szabályzat
Jelen adatkezelési szabályzat célja az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), az Európai Parlament és Tanács (EU) 2016/679 számú rendelete (továbbiakban: GDPR), valamint a vonatkozó egyéb hatályos jogszabályok rendelkezéseivel összhangban a OnE Job Szolgáltató Iskolaszövetkezet (székhely: 1084 Budapest, Tavaszmező utca 17., cg.: 01-01-02-054278) (továbbiakban: Iskolaszövetkezet), mint Adatkezelő által – az 1. pontban meghatározott - természetes személyek jelen szabályzatban megjelölt személyes adatainak kezelésére terjed ki.
A személyes adatok kezelése során az Iskolaszövetkezet, mint Iskolaszövetkezet adatfeldolgozó igénybevétele nélkül jár el.
1./ Adatkezeléssel érintettek köre, az adatkezelés hatálya:
Az Iskolaszövetkezet adatkezelése kiterjed:
- Az Iskolaszövetkezettel tagsági jogviszonyban, vagy munkaviszonyban álló személyekre
- Az Iskolaszövetkezettel tagsági, illetve munkaviszonyban nem álló természetes személyekre, akik:
- az Iskolaszövetkezetnél személyesen vagy a www.onejob.hu (továbbiakban: honlap) címen elérhető weboldalán regisztrálják magukat, azonban az Iskolaszövetkezettel tagsági, illetve munkaviszonyt nem létesítenek;
- tagsági, illetve munkaviszonya az Iskolaszövetkezettel megszűnt, meghatározott ideig
A jelen szabályzat tárgyi hatálya kiterjed az Iskolaszövetkezet által végzett valamennyi olyan adatkezelésre, amelynek során személyes adatok kezelése történik, függetlenül a személyes adatok jellegétől.
2./ Adatkezelés célja:
Az adatkezelés célja az Iskolaszövetkezet tevékenységeivel összhangban az érintettek munka világába történő bevezetése, számukra munkalehetőség ajánlása, továbbá az Iskolaszövetkezet tagjaként végezhető - harmadik személynél történő – munkavégzés teljesíthetősége, annak lehetőségének megteremtése. Ezen célok keretében és érdekében az Iskolaszövetkezet az érintettek önkéntesen megadott személyes adatait kapcsolattartás; reklámcélú- vagy egyéb tájékoztatás; igényfelmérés; hírlevélküldés; statisztikák készítése, szövetkezeti tagsági jogviszony létesítése, tagsági megállapodás és ehhez kapcsolódó egyedi megállapodás, vagy munkaviszony megkötése, és teljesítésük érdekében tartja nyilván és kezeli.
Az adatkezelés további célja, hogy az Iskolaszövetkezet a személyes adatokon végzett adatkezelés során
- a jogszerű adatkezeléshez szükséges feltételeket megteremtse;
- a személyes adatok jogosulatlan felhasználásának megakadályozása érdekében adatvédelmi és adatbiztonsági előírásokat határozzon meg;
- adatvédelmi incidens esetén az Iskolaszövetkezet megfelelő és hatékony intézkedéseket hozzon az adatkezelés biztonságának további sérülése ellen, valamint megfelelően minimalizálja a bekövetkezett károkat, és a GDPR előírásainak megfelelően tájékoztassa az incidensről a Nemzeti Adatvédelmi és Információszabadság Hatóságot és az érintetteket.
Az érintett tudomásul veszi, hogy az adatkezelés tartama alatt az Iskolaszövetkezet az adatkezelés céljaival szorosan összefüggő okból – így különösen tagsági jogviszony, ehhez kapcsolódó egyedi megállapodás, munkaviszony létesítése, az abból származó jogok, kötelezettségek teljesítése, valamint a kapcsolattartás érdekében – a regisztráció során megadott elérhetőségeire megkereséseket küldhet.
Az érintett külön nyilatkozhat arról, amennyiben kívánja, hogy az Iskolaszövetkezet megadott elérhetőségeire reklámokat, hírleveleket, tájékoztató anyagokat küldjön az adatkezelés időtartama alatt. Az Iskolaszövetkezet ilyen megkereséseket kizárólag az érintett kifejezett, külön hozzájárulása esetén küld, az érintett hozzájárulását az adatkezelés időtartama alatt jogosult bármikor visszavonni.
3./ Adatkezelés alapelvei és jogalapja:
Az Iskolaszövetkezet az adatkezelés során az alábbi, a személyes adatok kezelésére vonatkozó elvek tiszteletben tartásával jár el:
-
-
- személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell kezelni;
- a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból, tehát célhoz kötötten történhet;
- az adatkezelésnek minden esetben a szükséges mértékre kell korlátozódnia („adattakarékosság”);
- a kezelt adatoknak pontosnak, és szükség esetén naprakésznek kell lenniük: minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok törlésre vagy helyesbítésre kerüljenek („pontosság”);
- a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
- a személyes adatok kezelését oly módon kell végezni, hogy biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
-
Az adatkezelés jogalapja az érintettek előzetes, önkéntes hozzájárulása, illetve további jogalapja tagsági megállapodás és ehhez kapcsolódó egyedi megállapodás, vagy munkaviszony szerződések teljesítése. Az adatok forrása az érintettek önkéntes adatátadása. Az érintett személy adatkezelési hozzájárulását bármikor, indoklás nélkül szóban, írásban, elektronikus küldeményben visszavonhatja, azon adatok vonatkozásában, amire jogszabály azok megőrzését nem teszi lehetővé, vagy kötelezővé.
Az érintett az Iskolaszövetkezetnél történő regisztráció során a jelen szabályzat ismeretében tett nyilatkozatával kifejezetten hozzájárul, hogy a regisztráció során megadott személyes adatait az Iskolaszövetkezet, mint adatfeldolgozó a jelen szabályzatban foglaltaknak megfelelően kezelje és feldolgozza.
4./ Az érintettekre vonatkozó adatok:
Az adatkezelés az érintettek alábbi adataira terjed ki:
Kapcsolattartás; reklámcélú- vagy egyéb tájékoztatás; igényfelmérés; hírlevél küldés esetén:
• név,
• születési dátum,
• e-mail cím.
Szövetkezeti tagsági jogviszony létesítése, tagsági megállapodás és ehhez kapcsolódó egyedi megállapodás, vagy munkaviszony megkötése, és teljesítése esetén:
• email cím,
• vezeték- és keresztnév,
• születési hely és dátum,
• telefonszám, anyja születési neve,
• adószám, TAJ-szám,
• személyazonosító igazolvány száma,
• diákigazolvány száma,
• bankszámlaszám, bankszámlatulajdonos neve
• önéletrajz,
• oktatási intézmény neve és címe
• állampolgárság
5./ Adatok kezelésének időtartama:
Az adatkezelés kezdő időpontja az Iskolaszövetkezetnél bármilyen célból történő papír alapú, vagy elektronikus regisztráció időpontja.
Az adatkezelés megszűnik:
- a regisztrációt követő 12 hónap elteltével, ha ez idő alatt az érintett tagsági, illetve munkaviszonyt nem létesít az Iskolaszövetkezettel,
- az Iskolaszövetkezettel fennálló tagsági, illetve munkaviszonyuk megszűnést követő 3 év elteltével, kivéve kötelezően megőrzendő adatok körét,
- ha az érintett az Iskolaszövetkezet tagságából kizárásra kerül, kivéve kötelezően megőrzendő adatok körét,
- ha az érintett személyes adatainak törlését kéri, kivéve kötelezően megőrzendő adatok körét.
6./ Továbbított adatok fajtája:
Az Iskolaszövetkezet a megjelölt céloktól eltérő célra a személyes adatokat nem használhatja. Személyes adatokat harmadik személyeknek csak az érintettek előzetes és tájékozott hozzájárulásával adhat át kivéve az esetleges, törvény alapján kötelező adattovábbítás esetét.
Az adatkezelés céljának megvalósításához, különösen állásajánlat tétele, kiválasztási eljárásban történő részvétel, tagsági megállapodás, ehhez kapcsolódó egyedi megállapodás, munkaviszony létesítése céljából az Iskolaszövetkezet az érintett önéletrajzát a tényleges munkalehetőséget kínáló szerződött partnerei részére átadhatja. Az Iskolaszövetkezet szerződött partnerei az önéletrajzokat kizárólag a kiválasztáshoz szükséges mértékig és ideig jogosultak megismerni, a konkrét állás betöltését követően a tudomásukra jutott személyes adatokat törölni kötelesek. Az érintett önéletrajzának továbbítását az Iskolaszövetkezethez intézett nyilatkozatával megtilthatja, továbbá jogosult felvilágosítást kérni az Iskolaszövetkezettől arról, hogy önéletrajza mikor és kinek a részére került átadásra.
Az Iskolaszövetkezet az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
7./ A személyes adatok kezelésére jogosult tagok, munkavállalók kötelezettségei:
Az Iskolaszövetkezet azon tagjai, munkavállalói, akik az érintettek személyes adatainak megismerésére és kezelésére jogosultak sem a tagsági-, munkaviszony fennállása alatt, sem annak megszűnése után nem hozhatnak nyilvánosságra és közölhetnek más személlyel, illetve tehetnek hozzáférhetővé más személy számára a tagsági-, munkaviszony során megismert, a jelen szabályzat hatálya alá tartozó személyes adatot.
A tag, munkavállaló a tagsági-, munkaviszony során megismert személyes adatot akkor közölheti valamely más taggal, munkavállalóval, ha erre a feladatvégzéséhez szükség van. A tag, munkavállaló a munkaviszony során megismert személyes adatot egyéb harmadik személlyel tagsági -, munkaviszonya fennállása alatt csak a felettese engedélyével, nyomós okból, jogok, kötelezettségek teljesítése érdekében közölhet.
8./ Az adatkezelés technikai lebonyolítása:
A kezelt adatok nyilvántartási módja a következő lehet:
- nyomtatott irat,
- elektronikus adat
- elektronikusan létrehozott, de papír alapon archivált adat
Az Iskolaszövetkezet tulajdonában álló számítógépeket csak az arra felhatalmazottak használhatják, akik egyben felelősek azok rendeltetésszerű használatért. Az Iskolaszövetkezet információihoz, infokommunikációs rendszeréhez hozzáférni csak hozzáférési jogosultsággal lehet. A hozzáférési jogosultságok engedélyezéséről, beállításáról, visszavonásáról, törléséről és ellenőrzéséről az Iskolaszövetkezet igazgatósága elnöke dönt.
A berendezések hibátlan és üzemszerű működésének biztosítása érdekében a számítógépek karbantartását rendszeresen el kell végezni. A gépek karbantartását – a garanciális eszközök kivételével – kizárólag a rendszergazda végezheti. A rendszergazdai feladatokat ellátja: Leposa Péter.
Az Iskolaszövetkezetnél üzembe helyezett számítógépeken csak előzetesen ellenőrzött és jogtiszta programok futhatnak. Az ellenőrzésnek az esetleges működést akadályozó hibák felderítésén túl ki kell térnie az adatvédelem kérdéskörére is. A feltárt hiányosságokról a program szállítóját írásban kell tájékoztatni. Hibás programot üzembe helyezni tilos. Szoftver telepítésére/frissítésére csak rendszergazda jogosult; a tesztelést a felhasználó és a rendszergazda közösen végzi. Az adatbiztonsági (vírusellenőrzés, adatmentés) célú szoftverek beállításainak módosítása, működésük felfüggesztése még átmenetileg is tilos.
A számítógépek fizikai meghibásodása vagy rendellenes működése esetén az eszköz használatát fel kell függeszteni, és haladéktalanul értesíteni kell a rendszergazdát.
Bármilyen külső adathordozó eszköz (pendrive, külső winchester stb.) csatlakoztatása esetén a vírusvédelmi szoftver segítségével először ellenőrizni kell annak vírusmentességét. Amennyiben a használó fertőzött fájlt észlel, az eszköz használata tilos, és haladéktalanul értesíteni kell a rendszergazdát.
A bizalmas dokumentumokat csak az Iskolaszövetkezet igazgatósága elnöke engedélyével és csak akkor lehet a munkavégzés helyéről eltávolítani, ha azokra okvetlenül külső helyszínen van szükség. Az Iskolaszövetkezet informatikai eszközeiről programot, illetve adatállományokat másolni az otthoni munkavégzési célú másoláson és a biztonsági mentéseken kívül tilos.
Az Iskolaszövetkezet számítógépein internet-korlátozás nincs beállítva, ezért a felhasználók fokozott felelősséget viselnek az internethasználat során a jogszabályi előírások és az adatbiztonsági előírások betartásáért.
Tilos bizonytalan eredetű e-mailek megnyitása, illetve az internetről bármilyen szoftver telepítése. Probléma észlelése vagy rendellenes működés esetén az eszköz használatát fel kell függeszteni, és haladéktalanul értesíteni kell a rendszergazdát.
Valamennyi számítógéphez – beleértve a szervert is – szünetmentes áramforrást kell használni, amely megvédi a berendezést a feszültségingadozásoktól, áramkimaradás esetén az adatvesztéstől.
A tagok, munkavállalók kötelesek a munkaidő végzetével számítógépüket és a kapcsolódó eszközöket kikapcsolni, a külső adathordozókat elzárni. Amennyiben munkaállomásukat a munkaidő alatt elhagyják, a tagok, munkavállalók kötelesek zárolni számítógépüket, kötelező a jelszóhoz kötött feloldású képernyővédő eszközök használata.
A szerver adattartalmának biztonsági mentése naponta megtörténik, ugyanakkor a számítógépek munkavégzéshez szükséges adattartalmáról a tagok, munkavállalók kötelesek – legalább heti gyakorisággal biztonsági mentést végezni.
Az infokommunikációs rendszerbe csak az Iskolaszövetkezet igazgatósága elnökével előzetesen egyeztetett eszközök, szoftverek telepíthetőek. A rendszergazda jogosult minden olyan eszközt eltávolítani, amely nem felel meg a biztonsági elvárásoknak vagy nincs engedélyezve annak hálózatra csatlakoztatása.
9./ Az adatvédelmi tisztviselő kijelölése, jogállása, valamint feladatai
Az Iskolaszövetkezet a tagjai közül - szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete alapján – adatvédelmi tisztviselőt jelöl ki.
Az Iskolaszövetkezet adatvédelmi tisztviselője: Nógrádi Tamás
Az Iskolaszövetkezet biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Különösen be kell vonni az adatvédelmi tisztviselőt a személyes adatot érintő adatkezelések előkészítésébe, eljárásrendek kialakításába, szabályzatok megalkotásába.
Az Iskolaszövetkezet biztosítja az adatvédelmi tisztviselő számára a feladatai ellátásához szükséges eszközöket, erőforrásokat.
Az adatvédelmi tisztviselő közvetlenül az Iskolaszövetkezet igazgatósága elnökének tartozik felelősséggel.
Az adatvédelmi tisztviselő közvetlenül áll az érintettek rendelkezésére a személyes adatok kezelésével összefüggő kérdésekkel kapcsolatban.
Az adatvédelmi tisztviselő nem tölthet be olyan pozíciót, amelyben munkáltatói jogot gyakorolna, vagy amely alapján adatkezeléssel járó tevékenység elhatározására, a feltételek megszabására jogosult.
Az adatvédelmi tisztviselő legalább a következő feladatokat látja el:
- tájékoztat és szakmai tanácsot ad az Iskolaszövetkezet vagy az Iskolaszövetkezettel szerződésben álló adatfeldolgozó részére az adatkezelési kötelezettségeikkel kapcsolatban;
- ellenőrzi az adatvédelmi rendelkezéseknek, továbbá a jelen szabályzatnak való megfelelést;
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik a NAIH munkatársaival a hatósági eljárásokban;
- az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Az adatvédelmi incidens bekövetkezése esetén az adatvédelmi tisztviselőnek haladéktalanul biztosítania kell elérhetőségét az Iskolaszövetkezet számára.
10./ Eljárás adatvédelmi incidens esetén
Adatvédelmi incidens bekövetkezése esetén az incidenst vagy annak nyomait megfelelően rögzíteni kell, és haladéktalanul tájékoztatni szükséges a bekövetkezett incidensről az adatvédelmi tisztviselőt és egyidejűleg az Iskolaszövetkezet valamennyi tagja, munkavállalója köteles megtenni a kárenyhítéshez, illetve a nyomok rögzítéséhez szükséges valamennyi intézkedést, így különösen adatok mentését, helyreállítását kérni az érintett szolgáltatóktól, álnevesítést vagy titkosítást kezdeményezni, az Iskolaszövetkezet által esetlegesen üzemeltetett kamerák felvételeit megvizsgálni. A jelen pont szerinti kötelezettségek az esetleges adatfeldolgozót is terhelik az általa kezelt személyes adatokkal kapcsolatos incidens esetén.
Az előbbi bekezdés szerinti tájékoztatásnak különösen ki kell terjednie az adatvédelmi incidens jellegére, az érintett személyes adatok körére, az érintettek számára, a károsodás, az esetleges illetéktelen hozzáférés súlyosságára, a további lehetséges következményekre és a szükséges további intézkedésekre. A tájékoztatással nem lehet arra figyelemmel késleltetni, hogy további információk szerzése szükséges.
Az adatvédelmi tisztviselő haladéktalanul köteles részletesen megvizsgálni az adatvédelmi incidenst. Ennek során mindazon személyek, akikre a jelen szabályzat személyi hatálya kiterjed, kötelesek az adatvédelmi tisztviselő rendelkezésére állni a vizsgálat során és részletes információkat szolgáltatni.
Az adatvédelmi tisztviselő az incidens bekövetkezésétől számított 36 órán belül – illetve amennyiben az incidensről való tudomásszerzésre csak később kerül sor, a tudomásszerzéstől számított 36 órán belül – köteles az ún. incidens nyilvántartás kitöltött és aláírt példányát szkennelve, elektronikus úton megküldeni az Iskolaszövetkezet igazgatósága elnöke részére vagy ennek lehetetlenülése esetén az incidensről más módon tájékoztatást adni.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, vagy az adatvédelmi hatóság így rendelkezik, az adatvédelmi tisztviselő az Iskolaszövetkezet igazgatósága elnökének tájékoztatását követően – az igazgatóság elnöke utasításai szerint – köteles haladéktalanul tájékoztatni az érintetteket az adatvédelmi incidens bekövetkezéséről.
A tájékoztatásnak legalább a következőkre ki kell terjednie:
-
-
- az adatvédelmi incidens bekövetkezésének időpontja, körülményei;
- az incidens jellege (pl. fertőzés, hackertámadás, adathordozó elvesztése, stb. következtében adatok megsemmisülése, elvesztése, illetéktelen személyek számára hozzáférhetővé válása);
- annak becslése, hogy incidens milyen következményekkel jár az érintettek jogaira, szabadságaira, milyen súlyos a bekövetkezett sérelem;
- a kár vagy sérelem orvoslására vagy elhárítására tett vagy tenni tervezett intézkedések leírása;
-
Az előbbi bekezdés szerinti tájékoztatást tömör, átlátható, érthető formában, világosan és közérthetően megfogalmazva kell megtenni. A tájékoztatás díjmentes.
Nem kell az érintetteket tájékoztatni az adatvédelmi incidensről a következő esetekben:
- az Iskolaszövetkezet megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az Iskolaszövetkezet az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket az Iskolaszövetkezet honlapján kiadott közlemény útján kell tájékoztatni.
Az incidensről a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) is értesíteni szükséges. A tájékoztatást, elektronikus úton szükséges megküldeni a NAIH email címére az incidens bekövetkezésétől számított 72 órán belül. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Ezen indokokról az adatvédelmi tisztviselő az Iskolaszövetkezet igazgatósága elnökével előzetesen egyeztet. A tájékoztatást az adatvédelmi tisztviselő teszi meg.
Nem szükséges az incidens bejelentése a NAIH-hoz, amennyiben az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve.