ADATKEZELÉSI TÁJÉKOZTATÓ

A Hungast Csoport a jelen dokumentumban kívánja tájékoztatni a jelen honlap látogatóit a Hungast Csoporthoz tartozó egyes vállalkozások által a közétkeztetéssel kapcsolatban folytatott adatkezelésekről. Felhívjuk azonban a figyelmet, hogy az egyes adatkezelésekre vonatkozó specifikus és részletes feltételeket az adott adatkezeléshez készített tájékoztató tartalmazza.

Amennyiben kérdése van a jelen tájékoztatóban foglaltakkal kapcsolatban, kérjük, keresse dr. Kollár Edit adatvédelmi tisztviselőt az alábbi elérhetőségen: email cím: drkollaredit@drkollaredit.hu

Bevezetés

A személyes adatok kezelésének alapvető szabályait a 2016/679/EU rendelet (általános adatvédelmi rendelet vagy GDPR) tartalmazza, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény). Ezek mellett számos más jogszabály írhatja elő kötelezően illetve teheti lehetővé az adatkezelést. Amennyiben a Hungast Csoport általi adatkezelés jogszabály alapján történik, úgy a vonatkozó tájékoztatóban a jogszabályhelyről és a jogszabály által előírt határidőről tájékoztatást adunk.

A Hungast Csoport kizárólag olyan adatkezeléseket folytat, amelyek az adott jogviszony kapcsán indokoltak és szükségesek. A Hungast Csoport nagy hangsúlyt helyez az adattakarékosság elvének érvényesítésére. A Hungast Csoport minden esetben betartja az általa folytatott adatkezelésekre vonatkozó jogszabályokat és minden a kezelésében lévő személyes adatot kiemelt gondossággal kezel.

1. Fogalmak

A Hungast Csoport törekedik arra, hogy adatkezeléssel összefüggő dokumentumai a lehető legkevesebb jogi szakkifejezést tartalmazzon. A pontos tájékoztatás érdekében azonban elkerülhetetlen bizonyos szakkifejezések használata. Az alábbi fogalmak alatt az alábbi, GDPR-ban meghatározott jelentést kell érteni:

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. A jelen tájékoztató tekintetében az adatkezelő tipikusan a Hungast Csoport egy vagy több tagja.

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

érintett: Az azonosított vagy azonosítható természetes személy, akinek az adatkezelés a személyes adataira vonatkozik.

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

Hatóság: A Nemzeti Adatvédelmi és Információszabadság Hatóság.

Hungast Csoport: a Cégeink aloldalon megtalálható cégek összessége.

információs önrendelkezési jog: az Alaptörvény VI. cikk (2) bekezdésében meghatározott jogok köre.

infotörvény: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény.

különleges adat: a személyes adatok különleges kategóriái, melyet a GDPR 9. cikke tartalmaz, ezek a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

2. A Hungast Csoport által a közétkeztetés kapcsán folytatott adatkezelések

A Hungast Csoport legtöbb tagja közétkeztetéssel foglalkozik, ennek körében adatkezelőként, illetve adatfeldolgozóként kezeli a közétkeztetést igénybevevő személyek azonosító adatait, illetve egyes dietetikai adatait az alábbiak szerint.

A Hungast Csoport adott menzát üzemeltető tagja a szolgáltatás megrendelőjének megbízása alapján, azaz adatfeldolgozóként kezeli azon személyek adatait, akik ételérzékenység vagy más ok miatt diétás étkeztetést igényelnek. Ezek az adatok az azonosító adatok (név, születési hely és idő, lakcím), értesítési adatok, az adott intézmény neve, amely menzáján étkezik az adott személy, a diétával kapcsolatban kibocsátott szakorvosi igazolásban foglalt adatok vagy a diéta egyéb oka (pl. világnézeti ok, vegetáriánus étkezés), valamint az eljáró dietetikus szakember által kiállított nyilatkozat tartalma.

Bizonyos menzák esetében az étkezési szolgáltatást megrendelő személyek maguk az igénybevevő személyek. Ilyen esetben az adatkezelő a Hungast Csoport adott menzát üzemeltető tagja. A kezelt adatkör azonos a fenti esettel, azzal a kivétellel, hogy a számviteli szabályok szerint ilyen esetben a számla közvetlenül az igénybevevő magánszemély részére kerül kiállításra, így a kezelt adatok kiegészülnek a számlában foglalt adatokkal.

A fenti adatkezelések kapcsán megjelölt adatok személyes adatok, illetve az egészségügyi adatok, valamint világnézeti vagy vallási adatok ezen belül különleges adatnak tekinthetőek. A Hungast Csoport törekedik arra, hogy a személyes adatokat csak abban az esetben kezelje, ha ez elkerülhetetlen a közétkeztetési szolgáltatás nyújtása érdekében. A Hungast Csoport az adatkezelést jogszerűen végzi, az adatkezelés jogalapja az érintett (vagy kiskorúak esetében a gondviselőjének) hozzájárulása, amit a diétás szolgáltatás igénybevételekor ad meg az érintett és jogosult azt bármikor visszavonni.

Az adatokat a Hungast Csoport eljáró tagja mellett megismeri a Hungast Csoport megbízásából eljáró dietetikus, akinek a szakvéleménye alapján történik az érintett diétájának megfelelő összetevő elimináció.

A Hungast Csoport az értesítési adatokat kizárólag arra használja, hogy egészségügyi vészhelyzet vagy annak gyanúja esetén fel tudja venni a kapcsolatot az érintettel, illetve gondviselőjével.

Az adatkezelés a hozzájárulás visszavonását (diétás étkeztetés lemondását) követően kizárólag a számviteli törvény (2000. évi C. tv.) szerinti kötelező bizonylat megőrzési célból kerül további tárolásra, a törvény szerinti nyolc éves határidő alatt. Az érintett szakorvosa, valamint a dietetikus törvény az egészségügyi adatvédelemre vonatkozó törvény (1997. évi XLVII. tv.) szerint kötelezően megőrzik az érintettről kezelt adatokat harminc évig.

A szolgáltatással kapcsolatban a Hungast Csoport adott tagja eseti jelleggel kezelhet személyes adatot panaszkezelési céllal. Ilyen esetben minden kezelt adatot az érintett ad át és az adatkezelés jogalapja az érintett hozzájárulása. Az adatkezelés ilyenkor tipikusan az adott panasszal kapcsolatos kommunikáció lezárásáig tart, kivéve, ha okkal feltételezhető, hogy az adott panasz kapcsán jogvita alakul ki, ilyen esetben az e célból indokoltat kezelt adatok kezelése a polgári jogi ötéves elévülési idő alatt folyik.

Amennyiben az érintett ehhez az előzetes hozzájárulását adja, a Hungast Csoport rendszeresen megküldi az érintett számára az adott hétre vonatkozó étlapot, illetve szintén hozzájárulás birtokában marketing tartalmú megkereséseket is küld az érintett számára.

A fenti adatkezelések folyamán az adatok nem kerülnek továbbításra harmadik országba vagy nemzetközi szervezethez, továbbá azokra vonatkozóan automatizált döntéshozatal nem folyik.

3. Az adatkezelés elvei

A Hungast Csoport által folytatott adatkezelések alapelveit a GDPR 5. cikke tartalmazza, ezek az elvek a Hungast Csoport vonatkozásában a következőképpen értelmezendők:

3.1. Jogszerűség

A Hungast Csoport által folytatott adatkezeléseknek minden esetben megfelelő jogalapja van, tovább a Hungast Csoport maradéktalanul betartja az adatkezelésre vonatkozó jogszabályban vagy szerződésben foglalt rendelkezéseket.

3.2. Tisztességesség

A Hungast Csoport az általa kezelt adatokat tisztességesen kezeli, jóhiszeműen jár el, az általa kezelt személyes adatokkal vissza nem él, az érintett magánszféráját, valamint információs önrendelkezési jogait tiszteletben tartja, nem sérti meg.

3.3. Átláthatóság

A Hungast Csoport adatkezeléseit mind a Hatóság, mind az érintettek vonatkozásában transzparensen végzi. A Hungast Csoport minden adatkezelés kapcsán megadja az érintett számára a tájékoztatást, továbbá amennyiben az érintett hozzáférési jogát gyakorolja, úgy megad minden szükséges információt, amit a GDPR erre vonatkozóan előír. Adatvédelmi incidens előfordulása esetén, amennyiben azt a jogszabály előírja, a Hungast Csoport haladéktalanul eleget tesz értesítési kötelezettségeinek.

3.4. Célhoz kötöttség

A Hungast Csoport minden adatkezelését kizárólag megfelelő és jogszerű cél érdekében folytatja. Az adatkezelések céljai pontosan meghatározott, továbbá a vonatkozó tájékoztatás egyértelmű és nem félrevezető.

3.5. Adattakarékosság

A Hungast Csoport csak akkor kezel személyes adatot, ha arra szükség van, figyelembe véve a célhoz kötöttség, a jogszerűség és a tisztességesség alapelveit. Minden a Hungast Csoport által folytatott adatkezelés megfelelő és szükséges a Hungast Csoport tevékenysége szempontjából.

3.6. Pontosság

A Hungast Csoport törekszik arra, hogy az általa kezelt személyes adatok teljesek, pontosak és naprakészek legyenek, továbbá minden ésszerű intézkedést megtesz a szükséges helyreigazítások érdekében.

3.7. Korlátozott tárolhatóság

A Hungast Csoport csak addig kezeli az adott személyes adatot, ameddig arra megfelelő jogalap van és a célhoz kötöttség fennáll. Ezt követően a személyes adat vagy törlésre kerül vagy az azt tartalmazó dokumentum visszaszolgáltatásra kerül, vagy pedig az adott adat megfosztásra kerül a személyesadat-jellegtől.

Az egyes adatkategóriák kezelésére vonatkozó határidőket az adott ügyfélszerződésre, illetve a munkavállalói adatok kezelésére vonatkozó tájékoztatók tartalmazzák.

3.8. Integritás és bizalmi jelleg

A Hungast Csoport megteszi a szükséges és megfelelő technikai vagy szervezési intézkedéseket annak érdekében, hogy az általa folytatott adatkezelések a GDPR, valamint a szektorális jogszabályok által előírt adatbiztonsági feltételeknek megfeleljen.

A Hungast Csoport gondoskodik arról, hogy az általa kezelt személyes adatokhoz csak illetékes személyek férhessenek hozzá, továbbá, hogy azok kezelése kizárólag vagy a Hungast Csoport által, a csoporthoz tartozó társaságok székhelyén vagy olyan személyek által történjen, amely személyek felett a Hungast Csoport ellenőrzési jogot gyakorol. A Hungast Csoport infrastruktúrája megfelel a szektorális jogszabályok által előírt feltételeknek.

A Hungast Csoport továbbá gondoskodik arról, hogy a személyes adatokat kezelésében közreműködő személyeket titoktartási kötelezettség terhelje.

4. Az érintettek jogai, jogorvoslati lehetőségek

Az érintett tájékoztatást kérhet személyes adatai kezeléséről és hozzáférhet az adatokhoz, valamint kérheti személyes adatainak helyesbítését, illetve – a kötelező adatkezelések kivételével – törlését, visszavonását, élhet adathordozási-, és tiltakozási jogával az adat felvételénél jelzett módon, illetve az adatkezelő fenti elérhetőségein. Az érintettnek ehhez meg kell nyitnia a jelen tájékoztató első bekezdésébe foglalt hivatkozást, ki kell választania a Hungast Csoport megfelelő tagját és az ugyanazon oldalon található elérhetőségen meg kell küldenie a kérelmét. Amennyiben az érintett nem tudja pontosan meghatározni, hogy a Hungast Csoport mely tagja az adatkezelő, illetve adatfeldolgozó, úgy kérjük, hogy az alábbi elérhetőségre küldje a kérelmét és adjon meg minden szükséges információt ahhoz, hogy a Hungast Csoport azonosítani tudja az illetékes tagját: Posta: 1119 Budapest, Fehérvári út 85. E-mail: adatvedelem@hungast.hu

Az érintett kérelmére az információk elektronikus formában késedelem nélkül kerülnek eljuttatásra, de legkésőbb egy hónapon belül. Az érintettek alábbi jogaik teljesítésére irányuló kéréseit díjmentesen teljesíti a Hungast Csoport.

Tájékoztatáshoz való jog: A Hungast Csoport megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva, ugyanakkor precíz módon nyújtsa.

Az érintett hozzáféréshez való joga: Az érintett jogosult arra, hogy hozzáférjen a személyes adataihoz (másolatot kapjon), valamint ahhoz, hogy a Hungast Csoporttól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Amennyiben folyamatban van személyes adat kezelése, az érintett jogosult arra, hogy a személyes adatokhoz és a következő, a felsorolásban szereplő információkhoz hozzáférést kapjon:

  • az adatkezelés céljai;
  • az érintett személyes adatok kategóriái;
  • azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli (Európai Unión kívüli) címzetteket, illetve a nemzetközi szervezeteket;
  • a személyes adatok tárolásának tervezett időtartama;
  • a helyesbítés, törlés vagy adatkezelés korlátozásának és a tiltakozás joga;
  • a felügyeleti hatósághoz címzett panasz benyújtásának joga;
  • az adatforrásokra vonatkozó információ; az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Helyesbítés joga: Jogszabály értelmében bárki kérheti a Hungast Csoport által kezelt, rá vonatkozó, pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését.

Törléshez való jog: Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére indokolatlan késedelem nélkül töröljük a rá vonatkozó személyes adatokat:

  • személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  • az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
  • a személyes adatok jogellenes kezelése állapítható meg;
  • a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  • a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Az adatok törlése nem kezdeményezhető, ha az adatkezelés a következő célokból szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  • a népegészségügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján;
  • vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Az adatkezelés korlátozásához való jog: Az érintett kérésére korlátozható az adatkezelés a GDPR 18. cikkében fennálló feltételek esetén:

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását
  • az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni kell.

Adathordozáshoz való jog: Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa. A Hungast Csoport MS Word, vagy Excel formátumban tudja teljesíteni az érintett ilyen kérését. Az adathordozhatóság jogának feltétele az, hogy az adatkezelés automatizált legyen és a jogalapja hozzájárulás vagy szerződés.

Tiltakozás joga: Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. A személyes adatok közvetlen üzletszerzés érdekében történő kezelése elleni tiltakozás esetén az adatok e célból nem kezelhetők. A tiltakozás joga megilleti az érintettet, ha az adatkezelés az adatkezelő jogos érdeke alapján folyik, azonban ilyenkor a mérlegelés tárgya a kérelem teljesítése, annak függvényében, hogy melyik fél jogai élveznek elsőbbséget a GDPR 21. cikk (1) bekezdése szerint.

Visszavonás joga: Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

Eljárási szabályok: Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet

Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.

Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

Az adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

Amennyiben az érintett információs önrendelkezési jogait a Hungast Csoport bármely tagja megsértette úgy az érintett jogosult panaszt tenni az Nemzeti Adatvédelmi és Információszabadság Hatóságnál, vagy peres eljárást kezdeményezni az illetékes bíróság előtt.

Nemzeti Adatvédelmi és Információszabadság Hatóság
posta cím: 1530 Budapest, Pf.: 5.
cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu
Honlap: http://naih.hu