A
FULLHAUZ GROUP Kft. (székhely: 2724 Újlengyel, Petőfi Sándor utca 41.,
cégjegyzékszám: 13-09-241277, a továbbiakban: Társaság) önálló képviseleti
joggal rendelkező vezető tisztségviselőjeként és a munkáltatói jogkör
gyakorlójaként a Társaság adatvédelmi szabályzatát az alábbiak szerint
állapítom meg:

1.    
Preambulum

1.1. 
Az
Európai Parlement és a Tanács (EU) 2016/679. számú Általános Adatvédelmi
Rendeletére (továbbiakban: GDPR.) és az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.),
valamint az idevágó ágazati jogszabályok rendelkezéseire tekintettel, az
azoknak való megfelelés érdekében belső adatvédelmi szabályzat elfogadása vált
szükségessé.

1.2. 
A
Társaság tevékenysége során az adatkezelési gyakorlatát a GDPR. 5. cikkében,
valamint az Infotv. 4. §-ában foglalt alapelvek (továbbiakban: alapelvek)
szerint köteles kialakítani.

1.3. 
A
Társaság mindenkor köteles vizsgálni, hogy adatkezelési gyakorlata az
alapelveknek, valamint a mindenkori adatvédelmi előírásoknak megfelel-e. Eltérés
esetén a Társaság köteles megtenni a megfelelő intézkedéséket annak érdekében,
hogy az alapelvek, a mindenkori adatvédelmi előírások és az adatkezelési
gyakorlat összhangba kerüljenek. A megfelelő intézkedések megtétele érdekében a
Társaság szükség esetén külső tanácsadót vonhat be adatkezelési gyakorlatának
felülvizsgálatára, valamint a jogszabályban meghatározottak szerint az
adatvédelmi hatóságtól állásfoglalást kérhet.

2.    
Értelmező rendelkezések:

a. személyes
adat: azonosított vagy azonosítható természetes személyre („érintett”)
vonatkozó bármely információ; azonosítható az a természetes személy, aki
közvetlen vagy közvetett módon, különösen valamely azonosító, például név,
szám, helymeghatározó adat, online azonosító vagy a természetes személy testi,
fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális
azonosságára vonatkozó egy vagy több tényező alapján azonosíthat,

b. adatkezelés:
a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált
módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés,
rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás,
lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb
módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás,
korlátozás, törlés, illetve megsemmisítés,

c. adatbázis:
a Társaság által kezelt személyes adatok rendszerezett, papíralapú vagy
elektronikus gyűjteménye,

d. adatkezelési
gyakorlat: a Társaság személyes adatkezelésére vonatkozó belső rendje, ideértve
különösen, de nem kizárólagosan a személyes adatok tárolására, feldolgozására,
felhasználására, közlésére, törlésére vonatkozó belső szabályokat,

e. adatkezelő:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan
vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az
uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő
kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is
meghatározhatja,

f. közös
adatkezelők: azon adatkezelők, akik az adatkezelés céljait és eszközeit közösen
határozzák meg,

g. adatfeldolgozó:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel,

h. címzett:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól,
hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat
keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá
személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi
szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak
megfelelően az alkalmazandó adatvédelmi szabályoknak,

i. harmadik
fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az
adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy
adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére
felhatalmazást kaptak,

j. a
társaság nevében eljáró személy: a Társaság önálló vagy együttes képviseleti
joggal rendelkező vezető tisztségviselője, továbbá mindazon személy, aki egy
adott jogügylet, tevékenység vonatkozásában megfelelő felhatalmazás alapján a
Társaság nevében jár el,

k. általános
szerződési feltétel: az a szerződési feltétel, amelyet az alkalmazója több
szerződés megkötése céljából egyoldalúan, a másik fél közreműködése nélkül
előre meghatározott, és amelyet a felek egyedileg nem tárgyaltak meg,

l. egyedi
szerződése feltétel: az a szerződési feltétel, amelyet a szerződő felek
egymással a szerződés megkötése előtt egyedileg tárgyaltak meg,

m. üzleti
titok: a gazdasági tevékenységhez kapcsolódó, titkos – egészben, vagy elemeinek
összességeként nem közismert vagy az érintett gazdasági tevékenységet végző
személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró
olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek
a titokban tartása érdekében a titok jogosultja az adott helyzetben általában
elvárható magatartást tanúsítja,

n. know-how:
az üzleti titoknak minősülő, azonosításra alkalmas módon rögzített, műszaki,
gazdasági vagy szervezési ismeret, megoldás, tapasztalat vagy ezek
összeállítása

o. adatvédelmi
incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más
módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését,
elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való
jogosulatlan hozzáférést eredményezi.

3. Eljárás az adatfeldolgozókkal kötendő szerződések
esetén

3.1. 
Adatfeldolgozóval
kötendő szerződések esetén a Társaság nevében eljáró személy köteles
gondoskodni arról, hogy a mindenkori adatvédelmi előírásoknak megfelelő, az
érintettek jogainak érvényesülését, személyes adataik védelmét garantáló
szerződéseket kössön.

3.2. 
A
2.1. pontban foglalt cél érvényesülése érdekében a Társaság nevében eljáró
személy köteles

a. gondoskodni
arról, hogy a kötendő szerződés a GDPR. 28. és 29. cikkében foglaltak
megfeleljen,

b. az
adatfeldolgozó által alkalmazott általános szerződési feltéltelek vagy egyedi szerződési
feltételek adatvédelmi szempontú vizsgálatának elvégzésére,

c. az
adatfeldolgozó által alkalmazott általános szerződési feltételektől vagy egyedi
szerződési feltételektől eltérő, a mindenkori adatvédelmi előírásoknak
megfelelő egyedi szerződési feltételek megtárgyalásának kezdeményezésére,
amennyiben azok a mindenkori adatvédelmi előírásoknak nem felelnek meg,

d. az
adatfeldolgozó adatkezelési gyakorlatának átvilágítására,

e. meggyőződni
arról harmadik országba történő adattovábbítás esetén, hogy az adattovábbítás
célországa tekintetében megfelelőségi határozat van-e hatályban, ennek
hiányában köteles az adatfeldolgozótól a GDPR. 46. cikkében meghatározott megfelelő
garanciákat beszerezni, e garanciák hiányában megvizsgálni, hogy a GDPR. 49
cikke alapján az adattovábbítás engedélyezett-e,

f. a
szükséges, üzleti titkot, know-how-t nem sértő mértékben tájékoztatni az
érintettet a harmadik személlyel kötött szerződés nyomán a Társaság adatvédelmi
gyakorlatában beálló változásról.

3.3. 
A
2.3. pontban e. alpontján foglalt tájékoztatásnak a Társaság nevében eljáró
személy az adatkezelővel kötendő szerződés által érintett adatkezelésre
vonatkozó tájékoztató módosításával, a módosított adatvédelmi tájékoztatónak a
Társaság honlapján való közzétételével, és adatvédelmi tájékoztató
módosításáról szóló tájékoztatásnak az érintett részére írásban történő
megküldésével tesz eleget.

4. Eljárás közös
adatkezelés esetén

4.1. 
Amennyiben
a Társaság más személlyel közösen kezel személyes adatokat, és ennek okán ezzel
a személlyel közös adatkezelőnek minősülnek, úgy a Társaság nevében eljáró
személy köteles olyan írásbeli megállapodást kötni ezzel a személlyel, amely
megfelel a GDPR. 26. cikkében foglaltaknak.

4.2. 
A
megállapodás megkötése során a Társaság nevében eljáró személy a 3. pontban
foglalt rendelkezések értelemszerű, a közös adatkezelés sajátosságait
figyelembe vevő alkalmazásával köteles eljárni.

5. Eljárás harmadik fél részére történő adattovábbítás
esetén

5.1. 
Harmadik
fél részére történő adattovábbítás esetén, az adattovábbítást megelőzően
Táraság nevében eljáró személy köteles meggyőződni arról, hogy az
adattovábbítás nem ütközik a mindenkori adatvédelmi előírásokba, azok alapján
az adattovábbításra megfelelő jogcímmel rendelkezik. Amennyiben az
adattovábbítás bármilyen okból tilalmazott, a Társaság nevében eljáró
személynek az adattovábbítást meg kell tagadnia, és erről, valamint a
megtagadás okairól a harmadik felet írásban tájékoztatnia kell.

5.2. 
Harmadik
fél részére történő adattovábbítás esetén az érintettet az adattovábbítás
tényéről írásban tájékoztatni kell. Kivételt képez ez alól, ha jogszabály az
érintett tájékoztatását kifejezetten tiltja.

6.  A személyes adatok kezelésének rendje

6.1. 
A
Társaság által kezelt személyes adatok papíralapon vagy elektronikusan kerülnek
tárolásra.

6.2. 
A
papíralapú adatbázisokat áttekinthetően, pontosan és naprakészen kell vezetni.

6.3. 
Az
egyes elektronikus adatbázisok a Társaság által használt szoftvereken, felhő
alapú szolgáltatásokon keresztül kerülnek kialakításra, ügyelve arra, hogy ezen
adatbázisok áttekinthetőek, pontosak és naprakészek legyenek.

6.4. 
Gondoskodni
kell arról, hogy a Társaság munkavállalóinak, tagjainak, a Társasággal egyéb
munkavégzésre irányuló jogviszonyban álló személyek személyes adatai, a
Társaság üzleti tevékenységével összefüggésben kezelt személyes adatok,
valamint a könyveléssel, számlázással összefüggésben kezelt személyes adatok egymástól
elkülönülő adatbázisokban kerüljenek rendszerezésre.

6.5. 
A
Társaság munkaeszközein tárolt magánjellegű személyes adatokat a Társaság
tevékenységével összefüggésben kezelt személyes adatoktól elkülönülten kell
tárolni. Munkáltatói ellenőrzés során a Társaság nevében eljáró személy
kizárólag a munkaviszonnyal összefüggő adatokba tekinthet bele. Az ellenőrzést
az ellenőrzést elszenvedő személy jelenlétében kell elvégezni, az ellenőrzésről
jegyzőkönyvet kell felvenni.

6.6. 
A
kezelt személyes adatokhoz munkakörüknek megfelelően, feladataik elvégzéséhez
szükséges mértékben a Társaság munkavállalói férhetnek hozzá, akik kötelesek
gondoskodni arról, hogy az adatkezelés során a személyes adatok jogosulatlan
személyekhez ne kerüljenek, kötelesek tartózkodni a személyes adatok bármilyen
módon történő közzétételéről. Személyes adatokhoz a Társaság szerződés
partnerei is hozzáférhetnek kötelezettségeik teljesítéséhez szükséges
mértékben. E partnerek a Társaság munkavállaóival azonos módon kötelesek
eljárni az adatkezelés során.

7.    
Az adatkezelés biztonsága

7.1. 
A
Társaság a kezelt személyes adatok biztonságát az alábbi fizikai intézkedésekkel
biztosítja:

a.        
a
Társaság minden olyan helyisége, ahol bármilyen formában személyes adatot kezelnek,
megfelelő mechanikai védelemmel kerül ellátásra (biztonsági zár, riasztó,
zárható szekrények és fiókok),

b. a
Társaság minden olyan helyiségeben, ahol személyes adatot kezelnek, olyan
személy, aki e személyes adatokhoz hozzáférési jogosultsággal nem rendelkezik,
csak felügyelet mellett tartózkodhat,

c. a
Társaság tevékenysége során fokozottan ügyel a „clean desk policy” megtartására,

d. a
papíralapon tárolt személyes adatok megsemmisítése során olyan iratmegsemmisítő
gépet kell alkalmazni, amely garantálja, hogy a megsemmisített adatok fizikai
vagy bárminemű visszaállítása lehetetlen.

7.2. 
A
Társaság a kezelt személyes adatok biztonságát az alábbi számítástechnikai
intézkedésekkel biztosítja:

a.  a
Társaság tulajdonát képező, a Társaság tevékenysége során használt
számítástechnikai eszközök (továbbiakban: számítástechnikai eszközök) jelszavas
védelemmel vannak ellátva,

b. a
számítástechnikai eszközökön kizárólag jogtiszta, megbízható forrásból származó
szoftverek kerülnek telepítésre,

c.  a
számítástechnikai eszközök vírusvédelemmel vannak ellátva,

d.  valamennyi
tevékenység során használt szoftverhez, felhőalapú szolgáltatáshoz kapcsolódó,
a Társaság kezelésében álló felhasználói fiók jelszavas védelemmel rendelkezik,

e. a
Társaság által kezelt elektronikus személyes adatok adathordozóra történő
mentése esetén kizárólag olyan adathordozó kerül felhasználásra, amely
megfelelő titkosítással, jelszavas védelemmel rendelkezik.

f. a
Társaság gondoskodik arról, hogy a számítástechnikai eszközök rendeltetésszerű
használatra alkalmasak legyenek, a hibaelhárítást, karbantartást a Társaság a
kellő gondosság tanúsítása mellett szervezi meg,

g.
a
számítástechnikai eszközök selejtezése során a Társaság gondoskodik arról, hogy
az azokon tárolt adatok olyan módon kerüljenek törlésre, hogy azok későbbi
visszaállítása ne legyen lehetséges. Ez történhet fizikai megsemmisítés vagy
olyan szoftver alkalmazása útján, amely megfelelő minősétessel rendelkező
adattörlési módszert használ. Az adatok törlésére a Társaság speciálisan ezzel
foglalkozó, Társaságon kívüli személynek is adhat megbízást a 3. pontban
foglalt eljárás rend alkalmazásával.

8.    
Adatvédelmi incidensek

8.1. 
A
GDPR. 33. cikkében foglaltakra figyelemmel a társaság nevében eljáró személy az
adatvédelmi incidens ismertté válását követően haladéktalanul elvégzi az
incidens kockázati szempontú elemzését. Az elemzés eredményéről a társaság
vezető tisztségviselőit írásban rövid úton tájékoztatni kell, és a
tájékoztatásban az eredménytől függően meg kell tenni az intézkedési
javaslatokat.

8.2. 
Az
elemzésben ismertetni kell az adatvédelmi incidens jellegét, fokozottan
vizsgálni kell az adatvédelmi incidensből eredő, valószínűsíthető
következményeket.

8.3. 
Amennyiben
az elemzés alapján szükségesnek mutatkozik, a vezető tisztségviselő
haladéktalanul megteszi az incidensről szóló bejelentést a GDPR. 33. cikk (3)
bekezdésben foglalt tartalommal a Nemzeti Adatvédelmi és Információszabadság
Hatóság felé.

8.4. 
Ha
az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóság
felé a Társaság köteles bejelenteni, úgy a bejelentéssel egyidejűleg az
érintettet a Társaság az adatvédelmi incidensről tájékoztatja a GDPR. 34. cikk
(2) bekezdésben foglalt tartalommal. Amennyiben a tájékoztatás aránytalan
erőfeszítést tenne szükségessé, úgy a Társaság tájékoztatási kötelezettségének
akként tesz eleget, hogy a tájékoztatást nyilvánosan elérhető felületein teszi
közzé.

8.5. 
Az
adatvédelmi incidensekről minden esetben nyilvántartás kell vezetni a GDPR. 33.
cikk (5) bekezdése szerinti tartalommal.

Újlengyel,
2025.08.20.