A Thales Rail Signalling Solutions Kft. (székhely: 1123 Budapest, Alkotás út 53.; "Társaság"; képviselő: Mikics György, ügyvezető) a Társaság és Ön munkáltatója között létrejött szerződés alapján a Ön személyes adatai Társaság általi kezelésével kapcsolatban a jelen tájékoztatóban foglaltak szerint tájékoztatja Önt az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) („GDPR”) 13. cikkében foglaltak szerint.
1. Adatkezelés jogalapja és a kezelt adatok köre
1.1 A GDPR 6. cikk (1) bekezdésének f) pontja értelmében az Ön adatainak kezelése a Társaság jogos gazdaság érdeke.
A Társaság megrendeléseinek jelentős többségét közbeszerzési eljárásokban nyeri el. A közbeszerzési eljárások során alkalmasság igazolására vagy értékelési szempontként bemutatásra kerülhet a szerződés teljesítésébe bevont szakemberek szakmai tapasztalata az ajánlatkérő által előírt formában és tartalommal. (A kezelt adat: név, lakcím, születési idő, állampolgárság, iskolai végzettség, képzettség, kamarai tagság, munkahelyek szakmai tapasztalat).
A közbeszerzési szerződések teljesítése során adott esetben szintén szükséges megadni az Ön nevét, munkakörét, e-mail címét, telefonszámát, esetlegesen kamarai azonosítóját.
A Társaságunk és az Önt foglalkoztató gazdasági társaság között szerződés jött létre, melyben adott esetben Ön kapcsolattartóként szerepel. Ebben az esetben a Társaság nyilvántartja az Ön kapcsolattartási adatait (pl.: neve, e-mail címe, telefonszáma), valamint a szerződés teljesítése szempontjából releváns egyéb adatokat (pl.: munkakör).
A Társaság gondosan mérlegelte az adatkezelés érintettekre gyakorolt hatását és megállapította, hogy az nem jár az érintettek érdekeire, alapvető jogaira és szabadságaira nézve aránytalan és szükségtelen mértékű korlátozással. Az adatkezelés elengedhetetlenül szükséges. A Társaság által a közbeszerzési eljárásokban való részvétel és a szerződések teljesítése enélkül nem lenne lehetséges. Az így kezelt adatok körét a Társaság eseti alapon mindig a legszükégesebb mértékre korlátozza.
A Társaság az adatkezelés során a GDPR, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) foglaltak alapján jár el.
A GDPR 5. cikk (1) bekezdése szerint
„A személyes adatok
…
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;…(„célhoz kötöttség”)”;
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
…”
2. Az adatkezelő
Az Ön fent meghatározott személyes adatai kezelője (adatkezelő): a Társaság.
3. Az adatkezelés célja
Az Ön fenti 1.1 pontban meghatározott adatai kezelésének a célja a közbeszerzési eljárásokban történő sikeres részvétel és a Társaság által megkötött szerződések szerződésszerű teljesítése.
Azon személyes adatait nem kezeljük, amelyek e cél eléréséhez nem szükségesek. Amennyiben a cél eléréséhez nem szükséges adatok is megadásra kerülnek, azokat haladéktalanul töröljük.
4. Az adatkezelés időtartama
A fenti 1.1 pontban meghatározott adatokat a Társaság a közbeszerzési eljárás lezárultától 5 évig vagy a szerződés teljesítésétől számított legalább 8 évig köteles megőrizni.
5. Az adatok tárolása és az adatok biztonsága érdekében alkalmazott technikai és szervezési intézkedések leírása
A személyes adatait a Társaság székhelyén (1123 Budapest, Alkotás út 53.) tároljuk.
A személyes adatok tárolásának IT biztonsági leírása, az adatbiztonság érdekében tett technikai és szervezési intézkedések:
Az adatok tárolására szolgáló fájlszerver a Thales RSS Kft. székhelyén a zárt szerverszobában található. A hálózathoz csak a dedikált, Thales tulajdonú számítógépeken keresztül lehet hozzáférni az irodából, valamint VPN-en keresztül. A munkaállomások használatához minden esetben szükséges egy AD azonosító és a hozzátartozó jelszó használata. Ezen felhasználói azonosító alapján történik a fájlok hozzáférésének korlátozása (ACL). A levelezőrendszer használatához egy második, az előzőtől teljesen független azonosító és jelszó használata szükséges. A mobil munkaállomások merevlemeze minden esetben titkosítva van, ennek a feloldásához a felhasználóknak egy azonosítókártyára és a hozzá tartozó PIN kódra van szükségük. Ugyanezzel az azonosítási eljárással történik a VPN hozzáférés használata is.
6. Az adatokhoz hozzáféréssel rendelkezők köre, adattovábbítások
A fenti 1.1 pontban meghatározott személyes adatokhoz kizárólag a Társaság tenderezéssel és a szerződések gondozásával megbízott munkavállalói jogosultak hozzáférni.
Az Ön fenti 1.1 pontban meghatározott személyes adatai esetlegesen az ajánlatkérők felé továbbítjuk.
7. Az Önt az adatkezeléssel kapcsolatban megillető jogok (érintetti jogok)
A személyes adatai kezelése kapcsán Önt az alábbi jogok illetik meg:
a) hozzáféréshez való jog (GDPR 15. cikk): Ön jogosult arra, hogy a Társaságtól tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a jelen tájékoztatóban szereplő információkhoz hozzáférést kapjon.
A Társaság az adatkezelés tárgyát képező személyes adatok másolatát kérésre az Ön rendelkezésére bocsátja. Az Ön által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban bocsátjuk rendelkezésére, kivéve, ha másként kéri.
b) helyesbítéshez való jog (GDPR 16. cikk): Ön jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse az Önre vonatkozó pontatlan személyes adatokat. Ön jogosult arra is, hogy kérje a hiányos személyes adatok kiegészítését.
c) törléshez való jog (GDPR 17. cikk): Ön jogosult arra, hogy kérésére a Társaság késedelem nélkül törölje az Önre vonatkozó személyes adatokat, a Társaság pedig köteles arra, hogy az Önre vonatkozó személyes adatokat késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- amennyiben az adatkezelés jogalapja az Ön hozzájárulása és Ön azt visszavonja és az adatkezelésnek nincs más jogalapja;
- Ön tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
A jelen c) pont szerinti fenti rendelkezések nem alkalmazandók, amennyiben (i) az a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából szükséges, vagy (ii) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
d) adatkezelés korlátozásához való jog (GDPR 18. cikk): Ön jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- Ön vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és Ön ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de Ön igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- Ön tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az Ön jogos indokaival szemben.
e) tiltakozáshoz való jog (GDPR 21. cikk): Ön jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha a Társaság bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Ön érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Tekintettel arra, hogy a jelen tájékoztató szerinti adatkezelésekre jogi kötelezettség, illetve jogos érdek érvényesítése érdekében kerül sor, a tiltakozáshoz való jog gyakorlása nem eredményezi a jelen tájékoztató szerinti adatkezelés megszüntetését.
f) a fenti jogokkal kapcsolatos tájékoztatáshoz való jog (GDPR 12. cikk): a Társaság késedelem nélkül, de mindenféleképpen az Ön fenti a)-e) pontokban foglaltak szerinti kérelme beérkezésétől számított egy hónapon belül tájékoztatja Önt az adatkezeléssel kapcsolatos körülményekről tömören, átláthatóan, közérthetően és világosan. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja Önt.
A tájékoztatás ingyenes. Ha az Ön kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre: i) ésszerű összegű díjat számíthat fel, vagy ii) megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a Társaságot terheli.
A Társaság minden olyan címzettet tájékoztat a fenti b)-d) pontban foglaltakról (azaz valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról), akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Társaság Önt kérésére tájékoztatja e címzettekről.
g) panasztételhez való jog (GDPR 77. cikk): Ön jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha a megítélése szerint az Önre vonatkozó személyes adatok kezelése sérti a GDPR-t.
A panasz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál tehető meg (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.; telefon: +36 1 391 1400; fax: +36 1 391 1410; www.naih.hu; ugyfelszolgalat@naih.hu).
h) bírósághoz fordulás joga (GDPR 79. cikk): Ön bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a GDPR szerinti jogait. A Társasággal szembeni eljárást a Társaság tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az Ön szokásos tartózkodási helye szerinti tagállam bírósága előtt is.
8. Ön a személyes adatai kezelésével kapcsolatban tájékoztatást kérhet az alábbi módokon és személytől
A személyes adatai kezelésével kapcsolatban további tájékoztatás Sembery Tündétől kérhető levélben (1123 Budapest, Alkotás út 53.) vagy emailben (tuende.sembery@thalesgroup.com). Kérésére szóbeli tájékoztatás is adható, amiről jegyzőkönyvet kell felvenni. Amennyiben szóbeli tájékoztatást kér (pl. telefonon), a Társaság részére igazolnia kell a személyazonosságát. A fent meghatározott jogai gyakorlása esetén szintén Sembery Tündével kell felvennie a kapcsolatot.