Adatvédelmi információk a KiK-nél
KIK TEXTIL ÉS NON-FOOD KFT.
A FOGLALKOZTATÓ ÁLTAL LÉTREHOZOTT
BELSŐ VISSZAÉLÉS-BEJELENTÉSI RENDSZER
A BEJELENTŐK TÁJÉKOZTATÁSA A SZEMÉLYES ADATOK KEZELÉSÉRŐL ÉS VÉDELMÉRŐL
Bevezetés és alapfogalmak
A KiK Textil és Non-Food Kft. (a továbbiakban: társaság) belső visszaélés-bejelentési rendszert üzemeltet a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvényben foglaltak alapján.
A rendszer lehetővé teszi a törvényben rögzített bejelentők számára, hogy bejelentsék a társaságnál tapasztalt visszaéléseket. A belső visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek feltételezett cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenteni.
A belső visszaélés-bejelentési rendszert a társaság működteti.
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 (EU) RENDELET (a továbbiakban: GDPR) alapján:
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
A személyes adatok kezelésére vonatkozó elvek
A személyes adatok:
- kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
- gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
- az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
- tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
- kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
Az adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
Adatkezelő
A személyes adatok kezeléséért felelős adatkezelő (a továbbiakban: „Adatkezelő”):
KiK Textil és Non-Food Kft.
1117 Budapest, Hengermalom út 19-21.
Tel.: +36 (1) 433 1340
A visszaélés-bejelentési rendszer műszaki megvalósításáról a társaság megbízásából az EQS Group AG (a továbbiakban: EQS) gondoskodik.
Az adatvédelmi jogsértések, mint például a KiK Magyarország kapcsán felmerült GDPR 33. cikk szerinti adatvédelmi incidens esetén, kérjük a magyar adatvédelmi tisztviselővel, Dr. Hajdu Balázs ügyvéddel vegye fel a kapcsolatot, az erre szolgáló elérhetőségén keresztül: iroda.hajdu@t-online.hu
Adatbiztonság
Az Adatkezelő mindent megtesz az adatbiztonság terén annak érdekében, hogy figyelembe véve a tudomány és technológia mindenkori állását, a megvalósítás költségeit, továbbá az adatkezelés jellegét, valamint a természetes személyek jogaira és szabadságaira jelentett kockázat a megfelelő technikai és szervezési intézkedéseket hajtsuk végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljuk.
A visszaélés-bejelentési rendszer lehetővé teszi, hogy Ön titkosított csatornán keresztül, névtelenül kommunikáljon velünk. Amikor Ön a visszaélés-bejelentési rendszert használja, akkor sem az IP-címét, sem a jelenlegi tartózkodási helyét nem tároljuk. A bejelentést tartalmazó üzenet elküldését követően Ön megkapja a visszaélés-bejelentési rendszer postaládájához való hozzáférési adatokat, hogy biztonságos módon folytathassa velünk a kommunikációt.
Megfelelő technikai intézkedésekkel biztosítjuk a személyes adatok védelmét és az adatok bizalmas jellegének megőrzését. Az Ön által megadott adatokat egy speciális védelemmel ellátott EQS-adatbázisban tároljuk. Az EQS az adatbázisban tárolt összes adatot a legkorszerűbb technológiával titkosítja.
A belső visszaélés-bejelentési rendszer működtetése tekintetében szükséges személyes adatok
A belső visszaélés-bejelentési rendszer keretei között
a) a bejelentőnek,
b) annak a személynek, akinek a magatartása vagy mulasztása a bejelentésre okot adott, és
c) annak a személynek, aki a bejelentésben foglaltakról érdemi információval rendelkezhet,
a bejelentés kivizsgálásához elengedhetetlenül szükséges személyes adatai kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező magatartás orvoslása vagy megszüntetése céljából kezelhetők, és a bejelentés kivizsgálásában esetlegesen közreműködő bejelentővédelmi ügyvéd, illetve külső szervezet részére továbbíthatóak.
A belső visszaélés-bejelentési rendszer keretei között kezelt adatok közül haladéktalanul törölni kell a fenti körbe nem tartozó személyes adatokat.
A visszaélés-bejelentési rendszer alapvetően – a jogszabályok által megengedett mértékben – személyes adatok megadása nélkül is használható. Ön azonban a bejelentési folyamat részeként önkéntes jelleggel személyes adatokat közölhet velünk, ideértve különösen a személyazonosságára vonatkozó információkat, a vezeték- és keresztnevét, a lakóhelye szerinti országot, a telefonszámát és az e-mail címét.
Alapvetően nem kérünk és nem kezelünk a személyes adatok különleges kategóriáiba tartozó adatokat (pl. faji és/vagy etnikai hovatartozásra, vallási és világnézeti meggyőződésre, szakszervezeti tagságra vagy szexuális beállítottságra vonatkozó személyes adatok). A regisztrációs űrlapon található, szabadon kitölthető szöveges mezőkben azonban Ön önkéntes jelleggel a személyes adatok különleges kategóriáiba tartozó adatokat is megadhat, amennyiben ezt a bejelentés szempontjából szükségesnek tartja. Tájékoztatjuk, hogy a bejelentés kivizsgálásához nem elengedhetetlenül szükséges személyes adatokat kötelesek vagyunk haladéktalanul törölni.
A bejelentése emellett a bejelentésben hivatkozott harmadik személyekre vonatkozó személyes adatokat is tartalmazhat. Ezen érintett személyek lehetőséget kapnak arra, hogy közöljék a bejelentéssel kapcsolatos észrevételeiket. Ebben az esetben az érintett személy(eke)t tájékoztatjuk a bejelentésről és az abban közöltekről. Az Ön személyes adatainak bizalmas jellegét ebben az esetben is megőrizzük, mivel az érintett személlyel – a jogszabályok által lehetővé tett mértékig – nem közlünk az Ön személyazonosságával kapcsolatos adatot, és az adatainak felhasználása során nem veszélyeztetjük a névtelenségét.
Az adatkezelés jogalapja
Az adatkezelés jogalapja jogi kötelezettség teljesítése a GDPR és a törvény alábbi rendelkezései szerint.
A visszaélés-bejelentési rendszer lehetővé teszi, hogy Ön kapcsolatba lépjen velünk, és bejelentést tegyen a szabályzatok vagy jogszabályok bármiféle megsértéséről. A személyazonosításra alkalmas adatait az Ön által a visszaélés-bejelentési rendszeren keresztül tett bejelentések, valamint a szabályzatok, illetve jogszabályok megsértésének gyanúját eredményező helyzetek kivizsgálása érdekében kezeljük. Ezzel kapcsolatban időről időre megkereshetjük Önt. E célból kizárólag a visszaélés-bejelentési rendszeren keresztül lépünk kapcsolatba Önnel. Az Ön által megadott információk bizalmas jellegének megőrzése a legfontosabb prioritásunk.
Személyes adatait az Ön hozzájárulása alapján kezeljük, amelyet akkor ad meg nekünk, amikor bejelenti azokat a visszaélés-bejelentési rendszeren keresztül (az európai általános adatvédelmi rendelet, azaz a GDPR 6. cikk (1) bekezdésének a) pontja).
Emellett akkor is kezeljük a személyes adatait, ha az a jogszabályi kötelezettségeink teljesítéséhez szükséges. Ide tartoznak különösen a büntetőjogi, versenyjogi, illetve munkajogi szempontból lényeges tényekre vonatkozó bejelentések (GDPR 6. cikk, (1) bekezdés c) pont).
A társaság vezető tisztségviselőjének cselekményével vagy mulasztásával összefüggő bejelentés esetén a bejelentett felügyelőbizottságának, könyvvizsgálójának, továbbá a társaság legfőbb döntéshozó szervének vagy a tulajdonosi jogok gyakorlójának értesítése tekintetében a jogalap jogi kötelezettség teljesítése a törvény 52. § (3) bekezdése alapján (GDPR 6. cikk (1) bek. c) pont).
Végül, akkor is kezeljük a személyes adatait, ha ez a társaság vagy valamely harmadik személy jogos érdekeinek védelméhez szükséges (GDPR 6. cikk (1) bekezdés f) pont). A személyes adatok kezelését megalapozó jogos érdekünk, hogy megelőzhessük és észlelhessük az esetleges szabálysértéseket a társaságon belül, ellenőrizhessük belső folyamataink jogszerűségét, valamint garantálhassuk a társaság integritását.
Ha a személyes adatok különleges kategóriáiba tartozó személyes adatot bocsát a rendelkezésünkre, azt az Ön hozzájárulása alapján kezeljük (GDPR 9. cikk (2) bekezdés a) pont).
Ezenfelül a személyes adatait anonimizált formában statisztikai célokra is felhasználjuk.
A fentieken kívül egyéb célokból nem kívánjuk felhasználni a személyes adatait. Ha ez mégis szándékunkban állna, úgy arra az Ön előzetes hozzájárulása, avagy a GDPR 6. cikk (4) bekezdése alapján kerülhet sor.
Nyilvánvalóan rosszhiszemű bejelentés esetén a bejelentő adatainak az eljárás lefolytatására jogosult szerv részére történő továbbítása tekintetében a jogalap jogi kötelezettség teljesítése a törvény 6. § (4) bekezdése alapján (GDPR 6. cikk (1) bek. c) pont).
Az adatkezelés célja
Az adatkezelés célja a fentiek alapján kizárólag a bejelentés kivizsgálása és a bejelentés tárgyát képező visszaélés orvoslása vagy az eljárás megszüntetése.
Az adatkezelés időtartama
Személyes adatait csak addig tároljuk, ameddig az a bejelentése feldolgozásához szükséges, illetve ameddig ahhoz jogos érdekünk fűződik. Ezen felül a személyes adatait akkor is tárolhatjuk, ha ez az európai vagy nemzeti jogszabályok szerinti kötelezettségeink – például megőrzési kötelezettség – teljesítéséhez szükséges. Ezt követően az összes személyes adatot töröljük, zároljuk vagy anonimizáljuk.
Adattovábbítás, hozzáférés, adatfeldolgozás
A bejelentő személyes adatai csak a bejelentés alapján kezdeményezett eljárás lefolytatására, ill. a hatáskörrel rendelkező állami szerv és hatóság részére adhatók át, ha ezen állami szerv és hatóság annak kezelésére törvény alapján jogosult vagy az adatai továbbításához a bejelentő hozzájárult. A bejelentő személyes adatai hozzájárulása nélkül nem hozhatóak nyilvánosságra. Ha nyilvánvalóvá vált, hogy a bejelentő rosszhiszeműen, valótlan adatot vagy információt közölt, a személyes adatait az erre vonatkozó eljárás kezdeményezésére, illetve lefolytatására jogosult szervnek vagy személynek kérelmére át kell adni.
A KiK vállalatcsoport nemzetközi szinten folytatja tevékenységét, és mind az Európai Unión belül, mind azon kívül számos országban rendelkezik telephelyekkel. A tárolt adatokhoz kizárólag a társaság külön felhatalmazással rendelkező munkatársai tekinthetik meg. Amennyiben az a fenti célból szükséges, anyavállalatunk és leányvállalatai külön felhatalmazással rendelkező munkatársai is engedélyt kaphatnak az adatok megtekintésére. Erre különösen akkor kerülhet sor, ha a bejelentését az érintett országban vizsgálják ki. A bejelentés megtekintésére feljogosított személyeket kifejezett titoktartási kötelezettség terheli.
A fenti cél megvalósítása érdekében szükség lehet arra is, hogy személyes adatait akár az Európai Unión belüli, akár azon kívüli külső szervek (pl. ügyvédi irodák, illetve bűnügyi vagy versenyjogi hatóságok) rendelkezésére bocsátsuk.
Ha a személyes adatait akár a cégcsoporton belül, akár azon kívül továbbítjuk, akkor az adatvédelem egységes szintjét belső adatvédelmi szabályozásokkal, illetve azoknak megfelelő szerződéses megállapodásokkal biztosítjuk. Az adatkezelésért minden esetben a társaság felel.
Végül, személyes adatait a műszaki megvalósítás érdekében az EQS részére is továbbítjuk a fentiekben meghatározott módon. Erre tekintettel az adatvédelem biztosítása érdekében adatfeldolgozói szerződést kötöttünk az EQS-sel.
A bejelentők jogai
Az adatkezeléssel kapcsolatos jogainak érvényesítése során tájékoztatást kérhet a személyes adatainak kezeléséről, adathelyesbítést kérhet, kérhet személyes adatai törlését, kérheti, hogy korlátozzuk az adatkezelést.
A jogainak érvényesítésére vonatkozó kérése teljesítése előtt minden esetben azonosítanunk kell az Ön személyazonosságát, ellenkező esetben nem teljesíthetjük a kérését.
Az azonosítást követően írásban, email útján vagy ha kéri szóban nyújtunk tájékoztatást a jogérvényesítési igényével kapcsolatban.
Legkésőbb a kérés beérkezésétől számított egy hónapon belül tájékoztatjuk Önt a kérése nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható, amiről még az egy hónapos ügyintézési határidőn belül tájékoztatást adunk. Egyúttal kötelesek vagyunk az intézkedés elmaradásáról is tájékoztatást adni az egy hónapos ügyintézési határidőn belül, amely ellen panasszal élhet a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnál, ill. bírósági jogorvoslatot kezdeményezhet.
A kért tájékoztatás és intézkedés díjmentes, kivéve, ha a kérése egyértelműen megalapozatlan vagy pl. a különösen ismétlődő jellege miatt eltúlzott.
Kártérítés, sérelemdíj
Ha az Adatkezelő az Ön, mint érintett adatainak jogellenes kezelésével kárt okoz vagy az érintett személyiségi jogát megsérti, sérelemdíj követelhető.
Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
Jogorvoslati jogok
Amennyiben igénybe kívánja venni a jogszabály adta jogorvoslati lehetőségeket, úgy panaszt tehet a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnál (levelezési cím: 1363 Budapest, Pf. 9., cím: 1055 Budapest, Falk Miksa utca 9-11., telefon: +36 (1) 391-1400, fax: +36 (1) 391-1410, http://naih.hu, e-mail: ugyfelszolgalat@naih.hu, vagy bírósághoz fordulhat.
A per elbírálása a törvényszék hatáskörébe tartozik.
A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.
A perbe a Nemzeti Adatvédelmi és Információbiztonsági Hatóság az érintett pernyertessége érdekében beavatkozhat.
Egyebekben a GDPR, a törvény, és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény irányadó.