AdatvédelmiSzabályzat

Összegzés

A CPI Csoport jelen adatvédelmi szabályzata („Adatvédelmi Szabályzat”) megfogalmazza a személyes adatok védelmére vonatkozó szabályokat a CPI Property Group („CPIPG”) és kapcsolt vállalkozásaira kiterjedően („CPIPG Társaságok”). Jelen Adatvédelmi Szabályzat adatvédelmi szabályokat tartalmaz, beleértve a CPIPG Társaságok kapcsolódó kötelezettségeit is. A jelen Adatvédelmi Szabályzat a GDPR és a tagállami adatvédelmi jogszabályok rendelkezéseinek való megfelelést szolgálja.

A CPIPG Társaságok nagyon komolyan veszik a személyes adatok védelmét, az adatokat pedig üzleti tevékenységük során megfelelő gondossággal és felelősséggel kezelik. Egy adatvédelmi incidens a CPIPG Társaságok, alkalmazottaik és érintettjeik számára komoly jogi és gazdasági következményekkel járhat, és a CPIPG Társaságok jó hírnevét is károsíthatja. Amennyiben jelen Adatvédelmi Szabályzatot valamennyi CPIPG Társaság alkalmazza, az adatvédelmi incidensek kockázata, illetve az incidensekből eredő kockázat minimális szintre csökken.

Hatály

Jelen Adatvédelmi Szabályzat kötelezően alkalmazandó a CPIPG Társaságok és alkalmazottaik által. Jelen Adatvédelmi Szabályzat vonatkozik minden olyan személyes adat kezelésére, amelyre a GDPR és az uniós tagállamok nemzeti adatvédelmi jogszabályai alkalmazandóak.

1. Eljárás és feladatok

Az alábbi rendelkezések bemutatják a személyes adatok kezelése során a CPIPG Társaságok által követendő eljárásokat, valamint röviden ismertetik a CPIPG Társaságok közötti feladatmegosztást és kulcsfontosságú tisztségeket az adatkezelésre tekintettel.

1.1 Általános kötelezettség

A CPIPG Társaságok megfelelő technikai és szervezési intézkedéseket tettek és tesznek a személyes adatok visszaélésekkel, elvesztéssel vagy károkozással szembeni megóvása érdekében, valamint azért, hogy a személyes adatokat a GDPR-ban és a vonatkozó uniós tagállamok nemzeti adatvédelmi jogszabályaiban foglaltaknak megfelelően kezeljék. Az adatvédelem a CPIPG Társaságok üzlettársai, alkalmazottai, azok családtagjai, általa meghirdetett állásra jelentkező személyek, ügyfelei és egyéb olyan természetes személyek személyes adatainak kezelésére vonatkozik, akik személyes adatait a CPIPG Társaságok kezelik.

1.2 A személyes adatok védelmének alapelvei

A CPIPG Társaságok tiszteletben tartják a GDPR által az adatkezeléssel kapcsolatban rögzített alapelveket. A vonatkozó alapelvek listája a következő:

• A jogszerűség elve - a személyes adatok kezelésének megkezdése előtt legalább egy jogalapot meg kell határozni
• Célhoz kötöttség elve - személyes adatok csak előre meghatározott célokból kezelhetők
• Adattakarékosság elve: - csak a szükséges, releváns és megfelelő személyes adatot lehet kezelni bármely jogszerű célból
• Helyesség és átláthatóság elve - az érintett irányába nyitott és átlátható adatkezelés
• Az integritás és a bizalmas jelleg elve, az „amit tudnunk kell” elv alkalmazása - a szükséges technikai és szervezési intézkedések alkalmazása azért, hogy a jogosulatlan vagy jogellenes adatkezelés megakadályozása érdekében a személyes adatokhoz való hozzáférés korlátozása biztosított legyen
• A pontosság elve - pontos és naprakész személyes adatok kezelése
• Ellenőrzött változáskezelési rend - a személyes adatok kezelésére vonatkozó rendszer megváltoztatása új módszerre a DPO vagy az adatkezelő döntésétől, majd ezt követően egy esetleges adatkezelési hatásvizsgálat elvégzésétől függ
• A CPIPG Társaságokon belül a személyes adatok védelmével kapcsolatos szerepkörök meghatározása

1.3 Jogalapok és adatkezelési célok

A személyes adatok kezelésének mindig van jogalapja, amely magában foglalja az adatkezeléshez való hozzájárulást, jogszabályi kötelezettség teljesítését, szerződés teljesítését, jogos érdeket, közérdeket vagy az érintett érdekeinek megóvását.

1.4 A különleges kategóriájú és büntetőügyekhez kapcsolódó személyes adatok kezelése

A különleges kategóriájú és büntetőügyekhez kapcsolódó személyes adatok különösen érzékeny adatok, ezért esetükben magasabb szintű védelem kerül alkalmazásra. A különleges kategóriájú személyes adatok bármilyen kezelése a DPO-val egyeztetésre kerül.

1.5 A személyes adatok továbbítása

A CPIPG Társaságok a személyes adatokat csak meghatározott feltételek esetén bocsáthatják harmadik személyek rendelkezésére (beleértve a cégcsoporton belüli adattovábbítás esetét is). Személyes adat csak adatfeldolgozási szerződés alapján adatfeldolgozóként eljáró harmadik személy részére továbbítható. Vonatkozó szerződések alapján személyes adat adatkezelőként vagy közös adatkezelőként eljáró harmadik személy részére is továbbítható.

Amennyiben a személyes adat helyesbítése vagy törlése szükséges, illetve, ha az adatkezelést korlátozó körülmények állnak fenn, a CPIPG Társaságok erről értesítik azon harmadik személyeket, akiknek a személyes adatokat átadták, kivéve, ha ez nem megoldható vagy aránytalan erőfeszítéssel járna. A CPIPG Társaságok az érintett külön kérése alapján értesítik azokról a harmadik személyekről, akiknek a személyes adatokat átadták.

Meghatározott feltételek mellett, a CPIPG Társaságok az Európai Gazdasági Térségen vagy az Európai Unión kívüli harmadik személyek, illetve nemzetközi szervezetek számára is továbbíthatnak személyes adatokat. Annak elbírálása érdekében, hogy továbbíthatók-e személyes adatok valamely harmadik országba vagy nemzetközi szervezet számára, a CPIPG Társaságok a DPO-val konzultálnak.

1.6 Az érintettek jogai

A CPIPG Társaságok megteszik a szükséges lépéseket az érintett GDPR-ban biztosított jogainak gyakorlása érdekében. Személyes adataik kezelése kapcsán az érintettek jogai közé tartozik a személyes adatokhoz való hozzáférés joga, az az adatok helyesbítéséhez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog és a személyes adatok törléséhez való jog, az adatkezeléssel szembeni tiltakozáshoz való jog és annak a joga, hogy ne terjedjen ki az érintettre a kizárólag automatizált adatkezelésen alapuló döntés hatálya.

Az érintettek, amennyiben jogaikat gyakorolni kívánják, erre irányuló kérelmüket írásban vagy szóban jogosultak előterjeszteni. Annak érdekében, hogy a CPIPG Társaságok által kezelt személyes adatok megfelelő védelemben részesülhessenek és hogy a személyes adatok jogellenes felhasználását megakadályozzák a CPIPG Társaságok az érintettek azonosítására vonatkozóan az alábbi speciális eljárásrendet alakították ki.

Írásbeli kérelem

Amennyiben az érintettek a jogaik gyakorlása iránt írásbeli kérelmet kívánnak előterjeszteni, úgy az itt letölthető kérelem-formanyomtatványt kell kitölteniük. Az érintettek aláírását a formanyomtatványon hivatalosan igazolni kell. A vonatkozó helyi jogszabályok függvényében az érintettek aláírásukat hivatalosan közjegyzőnél, ügyvédnél, külképviseleti vagy helyhatóságnál tudják igazoltatni. A kérelmen az aláírást abban az országban kell hivatalosan igazoltatni, amelyben annak a CPI Társaságnak a székhelye van, amely részére a székhelyen személyesen, postai úton vagy verifikált elektronikus úton (pl. Csehországban „data box” útján) az adott kérelmet benyújtják. Különösen abban az esetben, amikor a kérelmet postai kézbesítés útján adják be az EEA régión, illetve az Európai Unión kívüli országban, az adott CPIPG Társaság jogosult az érintettel kapcsolatban lépni további azonosítási cselekmények elvégzése céljából.

Szóbeli kérelem

Az érintettek jogaik gyakorlása iránti kérelmet személyesen, az adott CPIPG Társaság székhelyén, szóban is jogosultak előterjeszteni. Azonosításukat ilyen esetben az adott CPIPG Társaság erre kijelölt munkavállalója (pl. a recepción) látja el, a következő dokumentumok egyike alapján: személyazonosító igazolvány, útlevél, vagy más, fotóval ellátott hivatalos dokumentum, amely az egyértelmű azonosítást lehetővé teszi.

Az érintett joggyakorlása nem érintheti harmadik személyek jogait. Amennyiben az érintett részéről benyújtott kérelem egyértelműen megalapozatlan vagy visszaélésszerű, így különösen, ha megalapozatlanul ismétlődik, a CPIPG Társaságok a teljesítést az ésszerű költségek fedezetére meghatározott ellenérték megfizetésétől tehetik függővé, amely nem haladhatja meg a fenti információk nyújtása, vagy az érintettek jogai gyakorlásának biztosítása kapcsán felmerülő költségeket.

A CPIPG Társaságok biztosítják a megfelelő kommunikációt és az együttműködést valamennyi kérés megfelelő időn belüli feldolgozása érdekében. A CPIPG Társaságok szorosan együttműködnek egymással annak érdekében, hogy az érintett számára a vonatkozó jogszabályok által meghatározott határidőn belül válaszoljanak.

1.7 Szerepkörök és feladatok

A CPIPG Társaságok és szerveik felelnek a GDPR-ban és a vonatkozó tagállami adatvédelmi jogszabályokban foglalt kötelezettségek teljesítéséért.

1.8 DPO és Uniós Képviselő

A Függelékben meghatározott Európai Unió területén lévő CPIPG Társaságok kijelöltek egy DPO-t funkcionális és szervezési feladatokkal a személyes adatok védelmére vonatkozó jogszabályoknak és a CPIPG Társaságok belső szabályzatainak való megfelelés érdekében. A DPO-val e-mailben dpo@cpipg.com vagy postai úton, a Vladislavova 1390/17, 110 00 Praha 1, Czech Republic címen lehet kapcsolatba lépni, az olasz CPIPG Társaságok kivételével, amelyeknek saját DPO-val, akinek elérhetőségei és azon társaságok listája, amelyek számára kinevezték, a jelen Adatvédelmi Szabályzat függeléke tartalmazza.

A Függelékben meghatározott Európai Unió területén nem található CPIPG Társaságok kijelöltek egy Uniós Képviselőt funkcionális és szervezési feladatokkal a személyes adatok védelmére vonatkozó jogszabályoknak való megfelelés érdekében. Az Uniós Képviselő a Vladislavova 1390/17, Prága 1, Csehország székhelyen található; a Prágai Városi Bíróság által B 13297 szám alatt nyilvántartásba vett 28211367 nyilvántartási számú Vilanel, a.s. társaság. Az Uniós Képviselővel e-mailen a representative@vilanel.cz e-mail címen vagy a fenti székhelyre küldött postai küldemény útján lehet kapcsolatba lépni. További információ az Uniós Képviselőről itt található.

1.9 Az adatok tulajdonosai és valamennyi alkalmazott számára előírt feladatok

A CPIPG Társaságokon belül valamennyi adattulajdonos és alkalmazott köteles a személyes adatokat a CPIPG Társaságok belső szabályzatainak, a GDPR-nek és a tagállami adatvédelmi jogszabályoknak megfelelően kezelni.

1.10 Adatvédelmi incidens bejelentése

A CPIPG Társaságok minden lehetséges adatvédelmi incidensről legfeljebb 24 órán belül értesítik az illetékes DPO-t/az Uniós Képviselőt. Amennyiben fennállnak annak a feltételei, hogy az adatvédelmi incidensről a felügyeleti hatóságot és/vagy az érintetteket értesíteni kell, úgy a DPO/az Uniós Képviselő ezt a kötelezettségét az adatvédelmi incidenst követő 72 órán belül teljesíti.

1.11 A személyes adatok törlése

A CPIPG Társaságok a személyes adatokat csak a szükséges ideig kezelik. A személyes adatokat az alábbi esetekben kell törölni vagy anonimizálni:

• Az adatkezelés céljának megszűnése úgy, hogy nincs helyette más jogszerű cél
• A személyes adatokra a továbbiakban nincs szükség ahhoz a célhoz, amelyre tekintettel azokat kezelték
• Az érintett visszavonja hozzájárulását és az adatkezelésnek nincs másik jogalapja
• Az érintett az adatkezelés ellen tiltakozik, és nincs a tiltakozást felülíró másik jogalap
• A személyes adatok jogellenes kezelése

A CPIPG Társaságok hangsúlyt fektetnek arra, hogy az adatok törlése vagy anonimizálása során a szükséges biztonsági intézkedések betartásra kerüljenek.

1.12 Dokumentumkezelés

A CPIPG a dokumentumokat a GDPR rendelkezéseivel összhangban kezeli. A dokumentumok CPIPG-ben történő kézhezvételének, iktatásának, köröztetésének, tárolásának és megsemmisítésének szabályait a CPIPG hatályos megőrzési iránymutatásai határozzák meg. Az arhiválási időszak végén a dokumentumok a meghatározott ledarálási eljárásnak megfelelően igazolhatóan (a dokumentum tulajdonosának jóváhagyásával, az illetékes állami/regionális levéltár jóváhagyásával, a darálási jegyzőkönyvvel) megsemmisítésre kerülnek.

1.13 Személyes adatok megjelentetése a nyilvános médiában és az Intraneten

A CPIPG Társaságok az Intraneten, az interneten vagy bármely egyéb médiumon csak az érintett hozzájárulásával jelentethetnek meg személyes adatokat, kivéve, ha az adott esetre másik jogalap vonatkozik.

1.14 Adatkezelési tájékoztató

Amennyiben a CPIPG Társaságok az érintettekre vonatkozó személyes adatokat közvetlenül ezen érintettektől szerzik meg, ezen érintettek részére átadásra kerül az adatakezelési tájékoztató ezen személyes adatok megszerzésekor. Ha a személyes adatok nem közvetlenül az érintettektől kerülnek megszerzésre, az adatkezelési tájékoztató később kerül részükre átadásra, leginkább az érintettel történő első kommunikáció során.

Személyes adatok kiválasztott kezelésére vonatkozó tájékoztató. Azokban az esetekben, amikor az érintettek részére a személyes adatok megszerzésekor nem áll rendelkezésre adatkezelési tájékoztató. Ezen tájékoztató itt található: Személyes adatok CPIPG Társaságok általi kiválasztott kezelésére vonatkozó tájékoztató.

2. Alapfogalmak/rövidítések

Érintett

Az az azonosított vagy azonosítható természetes személy, akinek a személyes adatait kezelik; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható

Adatkezelő

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza

Adatfeldolgozó

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy más szerv, amely az adatkezelő nevében személyes adatokat kezel

Személyes adat

Az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ

A személyes adatok különleges kategóriája 

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Tagállami adatvédelmi jogszabály

A tagállamokban a GDPR-rel összhangban elfogadott adatvédelmi jogszabály

GDPR

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Adatkezelés

A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

DPO

Adatvédelmi Tisztviselő

Uniós Képviselő

Az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában.

Anonimizált információ

Azonosított vagy azonosítható természetes személyre nem vonatkozó információ, beleértve az oly módon anonimizált adatokat, amelyek alapján az érintett nem vagy többé már nem azonosítható.

Harmadik személy

Bármely jogi személy vagy olyan természetes személy, aki nem a Társaság munkatársa, kivéve az érintetteket.

Hozzájárulás

Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

1. Függelék – CPIPG Társaságok, ahol DPO került kinevezésre (az olasz társaságok kivételével lásd alább)

CPIPG Társaságok, ahol DPO került kinevezésre

2. Függelék – Olasz CPIPG Társaságok, amelyeknél DPO-t neveztek ki

Olasz CPIPG Társaságok, amelyeknél DPO-t neveztek ki

3. Függelék – Az EU-n kívüli székhelyű, de az EU-ban képviselőt kinevezett CPIPG Társaságok listája

Az EU-n kívüli székhelyű, de az EU-ban képviselőt kinevezett CPIPG Társaságok listája

4. Függelék – Kérelem-formanyomtatvány

GDPR érintetteknek szóló kérelem-formanyomtatvány

Megjegyzések

• Kérjük, a formanyomtatványt olvashatóan töltse ki.
• Hibás, olvashatatlan vagy hiányos információ esetén előfordulhat, hogy a kérelmet nem megfelelően dolgozzuk föl, vagy figyelmen kívül hagyjuk.
• Annak érdekében, hogy a kérelem feldolgozásra kerüljön, az érintett egyértelmű azonosítása elengedhetetlen az alábbi módok egyikén:
  • Az aláírás hivatalos tanúsítása olyan írásbeli kérelmek esetén, amelyeket postán keresztül nyújtanak be;
  • Azonosítás személyazonosító dokumentummal, olyan esetekben, amikor a kérelmet személyesen adják be;
  • Azonosítás verifikált elektronikus úton történő benyújtás esetén (pl. „data box-ok” Csehországban).
• A kérelmeket postai úton a címzett társaság hivatalos székhelyére címezve, postai úton vagy munkaidőben személyesen lehet benyújtani.
• A kérelmeket minden esetben föl kell tüntetni a „GDPR kérelem” jelzést (például borítékon), egyéb esetben előfordulhat, hogy a feldolgozás késedelmet szenved.
• Képviselet esetén a kérelemhez csatolni kell a képviseletet megalapozó dokumentumot (meghatalmazás vagy más megfelelő dokumentum).
• Az email megadása nem kötelező, de megkönnyíti és meggyorsítja a feldolgozási folyamatot.

A GDPR kérelmekkel kapcsolatban kérdés esetén forduljon hozzánk a dpo@cpipg.com (DPO) / dpo@innlab.itDPO (Olaszországban) / representative@vilanel.cz (Uniós Képviselő) email címen. Kérjük, vegye figyelembe, hogy az email kommunikáció nem 100%-osan biztonságos kommunikációs forma, annak biztonsága, forrása és megérkezése nem garantált.