Adatvédelmi és Adatkezelési Tájékoztató.

Optimum Way Vállalkozási és Kereskedelmi Korlátolt Felelősségű Társaság
Hatályos: 2018. 08. 01. napjától
Az Optimum Way Kft. (székhely: 6500, Baja Gesztenye u. 2., cégjegyzékszám: 03-09-131907, adószám: 26399661-2-03, képviselők: mindenkori cégjegyzék szerint, e-mail: adatvedelem@optimumway.hu, telefon: +36 30 928 6322, a továbbiakban: Társaság) az adatkezelési tevékenységével kapcsolatosan az Európai Parlament és Tanács Általános Adatvédelmi Rendeletéről szóló 2016/679 számú rendeletével (a továbbiakban: GDPR) összhangban az alábbi tájékoztatást adja.

1. Adatkezelői tevékenységeink:
A Társaság adatkezelőként jár el az alábbi tevékenységeihez kapcsolódó személyes adatai tekintetében:
• ügyfelek ajánlatkéréseinek fogadása, ajánlatadás, szerződéskötés,
• ügyfélkapcsolat fenntartása,
• foglalkoztatási jogviszonyok létesítése, fenntartása, toborzás.

2. A Társaság által kezelt személyes adatok köre:
A Társaság adatkezelései során a természetes személyek nevét, lakcímét, anyja nevét, születési helyét, idejét, személyi igazolvány számát, telefonszámát, e-mail címét (munkavállalók esetén TAJ számát, adószámát, vezetői engedély számát), a nem természetes személyek esetén a kapcsolattartó nevét, telefonszámát, e-mail címét kezeli.

3. A Társaság adatkezelési tevékenységének célja:
A Társaság az általa kezelt személyes adatokat az alábbi célokból kezeli:
• a tevékenysége végzéséhez szükséges szerződések megkötéséhez, teljesítéséhez, a szerződésből eredő igény- és jogérvényesítéshez, a kapcsolattartáshoz, a számlázáshoz,
• az üzleti tevékenységéhez kapcsolódó rendszeres tájékoztató levelek küldése,
• üzleti stratégia, marketing stratégia, üzleti rendezvények céljából partneradatok nyilvántartása,
• a foglalkoztatottakkal kapcsolatos jogszabályban előírt nyilvántartások vezetése, bevallások, jelentések elkészítése, a munkaviszonyból eredő jogok és kötelezettségek teljesítése,
• leendő foglalkoztatottak toborzása, kiválasztása,
• az Adatkezelő jogos érdekeinek érvényesítése.
A Társaság a fent ismertetett bármelyik adatkezelési cél megvalósítása érdekében kezelhet Személyes adatokat.
A Társaság a megadott személyes adatokat az e pontokban írt céloktól eltérő célokra nem használja fel.

4. A Társaság adatkezelési tevékenységének jogalapja:
• Az Érintett hozzájárulása: a GDPR 6. cikk (1) bekezdés a) pontja szerint a felhasználó megfelelő tájékoztatáson alapuló önkéntes hozzájárulása az adatkezeléshez;
• Szerződés teljesítése: a GDPR 6. cikk (1) bekezdés b) pontja szerint az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél;
• Jogi kötelezettség teljesítése: a GDPR 6. cikk (1) bekezdés c) pontja szerint az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (mint például számviteli, könyvviteli kötelezettség, munkajogi adatbejelentési kötelezettség teljesítése);
• Jogos érdek: a GDPR 6. cikk (1) bekezdés f) pontja szerint az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

5. Tájékoztatás adatfeldolgozó személyéről:
A Társaság által kezelt személyes adatokat a foglalkoztatottak munkaügyi és bérszámfejtési feladatok ellátása során Pálkerti Judit e.v., valamint a számlázási ügyekkel kapcsolatos feladatok ellátása során Pálkerti Könyvelő és Szolgáltató Kft. adatfeldolgozóként kezeli. A Társaság informatikai üzemeltetési tevékenységeit a NETCLASS Kft. adatfeldolgozóként végzi. Az adatfeldolgozó részére történő adattovábbítás az Érintett külön hozzájárulása nélkül végezhető. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak jogszabály ettől eltérően nem rendelkezik – kizárólag hatósági határozat alapján, vagy az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.

6. Adatok továbbítása:
A Társaság jogszabályban foglalt kötelezettségének eleget téve a számláin szereplő vevő és eladó adatokat, számla tételeket, számla részletes adatait továbbítja a Nemzeti Adó- és Vámhivatal (NAV) részére.
A Társaság nem továbbít személyes adatokat a GDPR rendeletben nem részes, a GDPR értelmében vett harmadik országba, azokat csupán a jelen tájékoztatóban megnevezett adatfeldolgozónak, kizárólag a megjelölt célból továbbítja.

7. Az adatkezelés elvei a Társaságnál (a továbbiakban: Adatkezelő):
Adatkezelő a személyes adatokat a jóhiszeműség és a tisztesség és átláthatóság elveinek, valamint a hatályos jogszabályok és jelen tájékoztató rendelkezéseinek megfelelően kezeli. Az Adatkezelő által nyújtott szolgáltatások teljesítéséhez elengedhetetlenül szükséges személyes adatokat az Adatkezelő az Érintett hozzájárulása alapján, és kizárólag célhoz kötötten használja fel. Az Adatkezelő a személyes adatokat csak a jelen tájékoztatóban, valamint a vonatkozó jogszabályokban meghatározott célból kezeli. A kezelt személyes adatok köre arányban áll az adatkezelés céljával, azon nem terjeszkedhet túl.
A 18. életévét be nem töltött személy érintett személyes adatait az Adatkezelő nem kezeli. Adatkezelő a megadott személyes adatokat nem ellenőrzi. A megadott személyes adatok megfelelőségéért kizárólag az azt megadó személy felel. Az Adatkezelő az általa kezelt személyes adatokat a jelen tájékoztatóban meghatározott adatfeldolgozón, valamint a jogszabályi jelentési kötelezettség teljesítéséhez meghatározott állami szervezeteken kívül harmadik félnek át nem adja.
Az Adatkezelő bizonyos esetekben – hivatalos bírósági, rendőrségi megkeresés, jogi eljárás szerzői-, vagyoniilletve egyéb jogsértés vagy ezek alapos gyanúja miatt az Adatkezelő érdekeinek sérelme, a szolgáltatások biztosításának veszélyeztetése stb. – harmadik személyek számára hozzáférhetővé teszi az Érintett elérhető személyes adatait. Az Adatkezelő gondoskodik a személyes adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok véletlen elvesztését, jogtalan megsemmisülését, jogosulatlan hozzáférését, jogosulatlan felhasználását és jogosulatlan megváltoztatását, jogosulatlan terjesztését. E kötelezettség teljesítésére az Adatkezelő minden olyan harmadik felet felhív, akik részére személyes adatokat továbbít. Tekintettel a GDPR vonatkozó rendelkezéseire az Adatkezelő nem köteles adatvédelmi tisztviselő kijelölésére.

8. A Társaság munkatársaink hozzáférése személyes adatokhoz:
A Társaság munkavállalói számára a szolgáltatás nyújtása érdekében a munkájukhoz feltétlenül szükséges hozzáférést biztosítja csak az általa kezelt személyes adatokhoz. Minden hozzáférés naplózásra kerül, az adatkimentés funkcióhoz kizárólag az informatikai üzemeltetőnek van hozzáférése. Az adatmentési műveleteket titkosítással végzi az Adatkezelő az Adatfeldolgozó útján, így esetleges adathelyreállítás esetén a munkavállalók a mentett személyes adatokhoz nem férnek hozzá. Éles adatokat tartalmazó szerverekhez a Társaság munkavállalóinak nincs hozzáférése.

9. Az Érintett jogai a személyes adatainak kezelésével kapcsolatban:
9.1.Hozzáféréshez való jog:
Az Érintett kérheti, hogy a Társaság tájékoztassa, hogy kezeli-e az Érintett személyes adatát, és ha igen, akkor az általa kezelt személyes adatokhoz biztosítson számára hozzáférést. Az Érintett a személyes adatok kezeléséről bármikor írásban, a Társaság címére küldött ajánlott vagy tértivevényes-ajánlott levélben, illetve az adatvedelem@optimumWay.eu e-mail címre küldött e-mailben tájékoztatást kérhet. A levélben küldött tájékoztatás kérést a Társaság akkor tekinti hitelesnek, ha a megküldött kérelem alapján az Érintett egyértelműen beazonosítható. E-mailben küldött tájékoztatáskérést a Társaság csak akkor tekinti hitelesnek, ha azt az Érintett a Társaságnál megadott e-mail címéről küldi, ez azonban nem zárja ki, hogy Társaság a tájékoztatás megadása előtt az Érintettet más módon is beazonosítsa. A tájékoztatáskérés kiterjedhet az Érintettnek a Társaság által kezelt adataira, azok forrására, az adatkezelés céljára, jogalapjára, időtartamára, az esetleges Adatfeldolgozók nevére és címére, az adatkezeléssel összefüggő tevékenységekre.
9.2.Helyesbítéshez való jog:
Az Érintett kérheti a Társaság által kezelt személyes adatainak helyesbítését, pontosítását, vagy módosítását. Figyelembe véve az adatkezelés célját, az Érintett kérheti a hiányos személyes adatok kiegészítését. Személyes adat módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.
9.3.Törléshez való jog:
Az Érintett kérheti a Társaság által kezelt személyes adatainak törlését. A törlés megtagadható
• a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából, vagy
• ha a személyes adatok kezelésére jogszabály felhatalmazást ad; valamint
• jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A törlési kérelem megtagadásáról a Társaság minden esetben tájékoztatja az Érintettet, megjelölve a törlés megtagadásának indokát. Személyes adat törlésére irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.
9.4.Adatkezelés korlátozásához való jog:
Az Érintett kérheti, hogy személyes adatainak kezelését az adatkezelő korlátozza, ha az Érintett vitatja a kezelt személyes adatok pontosságát. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát. A Társaság megjelöli az általa kezelt személyes adatot, ha az Érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. Az Érintett továbbá akkor is kérheti, hogy személyes adatainak kezelését az Adatkezelő korlátozza, ha az adatkezelés célja megvalósult, de az Érintett igényli azok Adatkezelő általi kezelését jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
9.5.Tiltakozáshoz való jog:
Az Érintett tiltakozhat személyes adatainak kezelése ellen,
• ha a Személyes adatok kezelése kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges;
• ha az Adatkezelés célja közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás; vagy
• ha az Adatkezelésre közérdekű feladat teljesítése érdekében kerül sor.
Az Adatkezelő az Érintett tiltakozásának jogszerűségét megvizsgálja, és ha a tiltakozás megalapozottságát megállapítja, az adatkezelést megszünteti és a kezelt személyes adatokat zárolja, továbbá a tiltakozásról és az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatok korábban továbbításra kerültek.
9.6.Hozzájárulás visszavonásához való jog:
Az Érintettnek bármikor joga van a hozzájárulásával kezelt személyes adatok kezelésére vonatkozó hozzájárulását visszavonni. A visszavonás nem érinti a hozzájárulás visszavonását megelőző adatkezelés jogszerűségét. Az adatvedelem@optimumway.hu e-mail címre küldött e-mailben vonhatja vissza.
9.7.Az adathordozhatósághoz való jog:
Az Érintett kérheti, hogy az általa rendelkezésre bocsátott személyes adatokat akár papír alapon, akár tagolt, széles körben használt, géppel olvasható formátumban (XML/XLS/CSV) részére átadjuk és/vagy azokat – az Érintett erre irányuló kérése esetén – egy másik adatkezelő részére továbbítsa az Adatkezelő.

10. Adatok biztonsága:
A Társaságnál az adatok védelme érdekében az alábbi információbiztonsági intézkedéseket vezettük be, illetve alkalmazzuk:
10.1. Fizikai biztonság
A székhelyen elektronikus beléptetőrendszer és portaszolgálat működik. A Társaság székhelyén és telephelyén kamera rendszer működik, biztonságot nyújt illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen. A papír alapon kezelt személyes adatokat zárt helyen tároljuk, amelyhez kizárólag a hozzáférési jogosultsággal rendelkezők nyithatnak ki.
10.2. Adatbiztonság az IT infrastruktúrában
A személyes adatokat a tárhelyszolgáltató által biztosított szervereken tároljuk, amelyhez szigorú jogosultságkezelési szabályok alapján csak nagyon korlátozott személyi, alkalmazotti kör férhet hozzá. Informatikai rendszereket visszatérően és rendszeresen teszteljük és ellenőrizzük az adat- és IT biztonság megteremtése és fenntartása érdekében. Az irodai munkaállomások jelszóval védettek, idegen adathordozó használata szabályozott és csak biztonságos körülmények között, ellenőrzést követően megengedett. Valamennyi
rendszerünkre, rendszerelemre kiterjedő, rendszeres és folyamatos kártékony szoftverek elleni védelem biztosított. A programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kezeljük.
10.3. Adatbiztonság a kommunikációban
Az elektronikus úton továbbított üzenetek, állományok tekintetében a biztonságos adatcsere követelményének teljesítéséhez biztosítjuk az adatok integritását mind a (kommunikáció) vezérlő, mind a felhasználói adatokra. Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat alkalmazunk. Az alkalmazások tekintetében a jelszavak, a jogosultságok és a biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók. Az adatvesztést és -sérülést hibadetektáló és javító eljárásokkal akadályozzuk meg, és gondoskodunk a le nem tagadhatóság biztosításáról. Az adattovábbításra használt hálózat esetében a biztonsági szintnek megfelelő módon biztosítjuk az illegális rácsatlakozás és a lehallgatás megakadályozását.
10.4. Adatbiztonság az iratkezelés során
Az iratkezelés során is betartjuk az adatbiztonság követelményeit, amelyet iratkezelési szabályzatban rögzítettünk. Az iratkezelést írásban meghatározott jogosultsági szintek szerint, az egyes iratok bizalmas jellegéhez mérten alkalmazott biztonsági előírások szerint végezzük. Részletes és szigorú szabályokkal rendelkezünk az iratok megsemmisítésére, tárolására, kiadmányozására vonatkozóan.

11. Intézkedések adatvédelmi incidens esetén
Esetlegesen felmerülő adatvédelmi incidenseket a jogszabályoknak megfelelően bejelentjük a felügyeleti hatóságnak az adatvédelmi incidenst a tudomásszerzéstől számított 72 órán belül, és nyilvántartást is vezetünk az adatvédelmi incidensekről. A jogszabály által meghatározott esetekben pedig az érintetteket is tájékoztatjuk az incidensről.

12. Az Adatkezelések időtartama
Az ügyfelekkel megkötött szerződésben szereplő adatokat a szerződés teljesítését követő 5 évig őrizzük. A számviteli és adózási jogszabályok előírásainak való megfelelés érdekében e tárgykörbe tartozó személyes adatokat a lezárt adóévet követő hét évig őrizzük.
A foglalkoztatási jogviszonnyal kapcsolatos dokumentációt a jogviszony megszűnését követő 4 évig őrizzük. A hírlevélre feliratkozás során megadott személyes adatokat 3 évig őrizzük.

13. Jogérvényesítési lehetőségek
Adatkezeléssel kapcsolatos kérdéssel, észrevétellel a Társasághoz az alábbi elérhetőségeken fordulhat: e-mail: adatvedelem@optimumWay.eu, telefon: +36 70 666 6654.
Az Érintett a Társaság által folytatott adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400;
e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) fordulhat. Az Érintett jogainak megsértése esetén bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Az Adatkezelő kérésre a Felhasználót tájékoztatják a jogorvoslat lehetőségéről és eszközeiről.

14. A tájékoztatóban alkalmazott fogalmak:
14.1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
14.2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
14.3. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
14.4. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
14.5. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
14.6. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Baja, 2018. augusztus 13.
Optimum Way Kft.