A Thales Rail Signalling Solutions Kft. (székhely: 1123 Budapest, Alkotás út 53.; "Társaság"; képviselő: Mikics György, ügyvezető) a Ön személyes adatai a Társaság általi kezelésével kapcsolatban a jelen tájékoztatóban foglaltak szerint tájékoztatja Önt az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) („GDPR”) 13. cikkében foglaltak szerint.
Jelen adatkezelési tájékoztató célja, hogy tájékoztassa az érintett arról, hogy hogyan használja fel a Társaság a hozzájárulás megadását követően a hangfelvétel vonatkozásában birtokába kerülő személyes adatait, és hogy milyen jogai vannak az érintettnek az adatkezeléssel kapcsolatban.
1. Adatkezelés jogalapja és a kezelt adatok köre
1.1 Az adatkezelés jogalapja az Ön önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont).
A Társaság call centerének igénybevétele során az Ön hangja rögzítésre kerül, és a hanganyagban esetlegesen elhangozhatnak személyes adatok is (például név, levelezési cím, telefonszám, e-mail cím). A telefonbeszélgetés elején Ön nyilatkozik, hogy hozzájárulását megadja-e. Amennyiben igen, úgy maga a szóban megadott hozzájárulás is hangfelvétellel rögzítésre kerül.
Amennyiben Ön a hangfelvétel rögzítéséhez nem járul hozzá, úgy a hangfelvételt nem rögzítjük. Ebben az esetben a call center szolgáltatásait nem tudja igénybe venni. Az adott munkát írásban tudja csak megrendelni.
A Társaság az adatkezelés során a GDPR, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) foglaltak alapján jár el.
A GDPR 5. cikk (1) bekezdése szerint
„A személyes adatok
…
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;…(„célhoz kötöttség”)”;
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
…”
2. Az adatkezelő
Az Ön fent meghatározott személyes adatai kezelője (adatkezelő): a Társaság.
3. Az adatkezelés célja
Az Ön fenti 1.1 pontban meghatározott adatai kezelésének a célja a MÁV Zrt és a Társaság között létrejött szerződés(ek) szerződésszerű teljesítése. A call center egy a szerződésekben rögzített szolgáltatás.
4. Az adatkezelés időtartama
A rögzített hívásokat elsődlegesen a Társaság adatfeldolgozója, az Arenim Technologies Korlátolt Felelősségű Társaság (székhely: 1117 Budapest, Infópark sétány 1., cégjegyzékszám: 01-09-330669; adószám: 12904327243) („Adatfeldolgozó”) rögzíti, és 45 napig tárolja.
A fenti 1.1 pontban meghatározott adatokat a Társaság a szerződés teljesítésétől számított 5 évig köteles megőrizni.
5. Az adatok tárolása és az adatok biztonsága érdekében alkalmazott technikai és szervezési intézkedések leírása
A személyes adatait az adatfeldolgozónk szerverén és a Társaság székhelyén (1123 Budapest, Alkotás út 53.) tároljuk.
A személyes adatok tárolásának IT biztonsági leírása, az adatbiztonság érdekében tett technikai és szervezési intézkedések:
Az adatok tárolására szolgáló fájlszerver a Thales RSS Kft. székhelyén a zárt szerverszobában található. A hálózaton tárolt adatokhoz kizárólag dedikált, Thales tulajdonú számítógépeken keresztül lehet hozzáférni az irodából, valamint VPN-en keresztül. A mobil munkaállomások teljes merevlemeze titkosítva van, ennek feloldásához és a munkaállomások használatához minden esetben többszintű azonosítás szükséges.
Az Adatfeldolgozó AES 256 bites eljárással titkosítva tárolja a hívásokat és a tárolás megbízhatósága 99,9999%. Az Adatfeldolgozó az adatokról naponta biztonsági mentés készít és azokat 6 napig tárolja, a heti biztonsági mentéseket 4 hétig tárolja. Szervereik redundánsak, és teljes backupot jelentenek.
6. Az adatokhoz hozzáféréssel rendelkezők köre, adattovábbítások
A fenti 1.1 pontban meghatározott személyes adatokhoz a Társaság IT vezetője és a call centerrel kapcsolatos ügyeket intéző adminisztrációs munkatárs jogosult hozzáférni.
Az Adatfeldolgozó által készített biztonsági mentésekhez csak a műszaki igazgató, és a mentésekért felelős ún. DevOps munkatársak férhetnek hozzá.
A hangfelvételt az Ön munkáltatója, a MÁV Zrt. külön kérésére a MÁV Zrt. felé továbbítjuk. Harmadik országba adattovábbítás nem történik.
7. Az Önt az adatkezeléssel kapcsolatban megillető jogok (érintetti jogok)
A személyes adatai kezelése kapcsán Önt az alábbi jogok illetik meg:
a) hozzáféréshez való jog (GDPR 15. cikk): Ön jogosult arra, hogy a Társaságtól tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a jelen tájékoztatóban szereplő információkhoz hozzáférést kapjon.
A Társaság az adatkezelés tárgyát képező személyes adatok másolatát kérésre az Ön rendelkezésére bocsátja. Az Ön által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban bocsátjuk rendelkezésére, kivéve, ha másként kéri.
b) helyesbítéshez való jog (GDPR 16. cikk): Ön jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse az Önre vonatkozó pontatlan személyes adatokat. Ön jogosult arra is, hogy kérje a hiányos személyes adatok kiegészítését.
c) törléshez való jog (GDPR 17. cikk): Ön jogosult arra, hogy kérésére a Társaság késedelem nélkül törölje az Önre vonatkozó személyes adatokat, a Társaság pedig köteles arra, hogy az Önre vonatkozó személyes adatokat késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- amennyiben az adatkezelés jogalapja az Ön hozzájárulása és Ön azt visszavonja és az adatkezelésnek nincs más jogalapja;
- Ön tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
A jelen c) pont szerinti fenti rendelkezések nem alkalmazandók, amennyiben (i) az a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából szükséges, vagy (ii) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
d) adatkezelés korlátozásához való jog (GDPR 18. cikk): Ön jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- Ön vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és Ön ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de Ön igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- Ön tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az Ön jogos indokaival szemben.
e) tiltakozáshoz való jog (GDPR 21. cikk): Ön jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha a Társaság bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Ön érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Tekintettel arra, hogy a jelen tájékoztató szerinti adatkezelésekre jogi kötelezettség, illetve jogos érdek érvényesítése érdekében kerül sor, a tiltakozáshoz való jog gyakorlása nem eredményezi a jelen tájékoztató szerinti adatkezelés megszüntetését. Amennyiben nem kíván a továbbiakban az ujjlenyomat olvasó használatával belépni, akkor a fent utalt hash kódot azonnal töröljük és a Társaság a fent írtak szerinti belépési módot biztosítja Önnek.
f) a fenti jogokkal kapcsolatos tájékoztatáshoz való jog (GDPR 12. cikk): a Társaság késedelem nélkül, de mindenféleképpen az Ön fenti a)-e) pontokban foglaltak szerinti kérelme beérkezésétől számított egy hónapon belül tájékoztatja Önt az adatkezeléssel kapcsolatos körülményekről tömören, átláthatóan, közérthetően és világosan. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja Önt.
A tájékoztatás ingyenes. Ha az Ön kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre: i) ésszerű összegű díjat számíthat fel, vagy ii) megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a Társaságot terheli.
A Társaság minden olyan címzettet tájékoztat a fenti b)-d) pontban foglaltakról (azaz valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról), akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Társaság Önt kérésére tájékoztatja e címzettekről.
g) panasztételhez való jog (GDPR 77. cikk): Ön jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha a megítélése szerint az Önre vonatkozó személyes adatok kezelése sérti a GDPR-t.
A panasz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál tehető meg (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.; telefon: +36 1 391 1400; fax: +36 1 391 1410; www.naih.hu; ugyfelszolgalat@naih.hu).
h) bírósághoz fordulás joga (GDPR 79. cikk): Ön bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait. A Társasággal szembeni eljárást a Társaság tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az Ön szokásos tartózkodási helye szerinti tagállam bírósága előtt is.
8. Ön a személyes adatai kezelésével kapcsolatban tájékoztatást kérhet az alábbi módokon és személytől
A személyes adatai kezelésével kapcsolatban további tájékoztatás Sembery Tündétől kérhető levélben (1123 Budapest, Alkotás út 53.) vagy emailben (tuende.sembery@thalesgroup.com). Kérésére szóbeli tájékoztatás is adható, amiről jegyzőkönyvet kell felvenni. Amennyiben szóbeli tájékoztatást kér (pl. telefonon), a Társaság részére igazolnia kell a személyazonosságát. A fent meghatározott jogai gyakorlása esetén szintén Sembery Tündével kell felvennie a kapcsolatot.