Tájékoztatjuk, hogy az Európai Parlament és Tanács (EU) 2016/679 Rendeletének (a továbbiakban GDPR vagy Rendelet) alkalmazására történő felkészülés során alulírott DPD Hungária Futárpostai Csomagküldő Szolgáltató Korlátolt Felelősségű Társaság (székhelye: 1134 Budapest, Váci út 33. 2. emelet, a továbbiakban: DPD) Rendelet hatálya alá eső személyes-adatkezelési folyamatok feltérképezését elvégeztük. A folyamatok során azonosított adatokról nyilvántartás készült, amelyek jogszerűen, az elvárt alapelvek betartásával működnek.
Rögzítésre kerültek az egyes adatkezelések céljai, jogalapjai, az adatkezelésbe bevont szemlyes adatok köre (érintetti kategóriák szerint), valamint az adatmegőrzés kritériumrendszere.
Az adatbiztonsági technikai és szervezési intézkedések elvégzése megtörtént. Kialakításra kerültek a papíralapon tárolt adatok és az informatikai eszközökön, hálózaton, szervereken tárolt adatok esetében a technikai szervezési intézkedések, mint pl. jogosultság kezelés folyamata, szerverek, szerverek biztonságának követelményei, álnevesítés lehetősége.
Társaságunknál Adatvédelmi Tisztviselő került kijelölésre. Az Adatvédelmi és Adatbiztonsági Szabályzatunkban kialakításra kerültek az adatvédelmi incidensek észlelésének és kezelésének, az adatvédelmi hatásvizsgálatok és érdekmérlegelések elvégzésének szabályai.
Rendelkezünk Adatvédelmi és Adatbiztonsági Szabályzattal, valamint Adattovábbítási Nyilvántartással és Adatvédelmi Incidens Nyilvántartással és ezeket hitelesen vezetjük.
Az egyes adatkezelések Nemzeti Adatvédelmi és Információszabadság Hatóság által vezetett adatvédelmi nyilvántartási regisztrációja megtörtént, ezek regisztrációs számát a vonatkozó szabályzat tartalmazza.
További feladatok kapcsán tisztában vagyunk azzal, hogy milyen céloknak kell megvalósulnia annak érdekében, hogy az érintetti jogok maradéktalanul teljesülhessenek. A személyes adatok maximális védelmére törekvés mellett tisztában tartjuk az információs önrendelkezés jogát. Az érintetteket tájékoztatjuk az őket megillető jogorvoslati lehetőségekről. A DPD-nél alkalmazott adatfeldolgozás útja mindenki számára követhető és ellenőrizhető.
Kijelentjük, hogy tevékenységünket a GDPR Rendeleten kívül a DPD tevékenységét szabályozó postai szolgáltatásokról szóló 2012. évi CLIX törvény rendelkezései, és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény rendelkezései alapján végezzük.
Valamennyi partnerünktől megköveteljük a jogszabályoknak való megfelelést, valamint tevékenységünk során csak olyan csak olyan partnereket és alvállalkozókat veszünk igénybe, akik megfelelnek a hatályos adatvédelmi rendelkezések követelményeinek.
Czifrik Szabolcs
ügyvezető, DPD Hungária Kft.
Adatkezelő megnevezése: DPD Hungária Kft.
Adatkezelő cégjegyzékszáma: Cg.01-09-888141
Adatkezelő adószáma: 13034283-2-41
Adatkezelő székhelye: 1134 Budapest, Váci út 33. 2. emelet
Adatkezelő e-elérhetősége: [email protected]
Adatkezelő képviselője: Czifrik Szabolcs (ügyvezető)
Adatvédelmi tisztviselő: Dr. Soltész Gergő
Adatvédelmi tisztviselő elérhetősége: [email protected]
Kedves Ügyfeleink!
A DPD Hungária Kft. (cégjegyzékszáma: Cg.01-09-888141, adószáma: 13034283-2-41, székhelye: 1134 Budapest, Váci út 33. 2. emelet, továbbiakban: DPD HU) ügyfeleitől érkező adatfeldolgozói szerződések megkötésének igénye kapcsán - figyelembe véve az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (továbbiakban: GDPR) 28. cikkét – az alábbi nyilatkozatot adja ki.
A GDPR 28. cikke alapján adatfeldolgozói szerződést, a személyes adatokat kezelő és az adatokat feldolgozó között kell kötni, annak érdekében, hogy az adatfeldolgozó kötelezve legyen a személyes adatok feldolgozására vonatkozó szabályok tiszteletben tartására, megfelelő garanciák nyújtására a rendelet követelményeinek való megfelelés és az érintettek védelmét biztosító technikai és szervezési intézkedések végrehajtására.
A DPD HU futárpostai szolgáltatási tevékenységének ellátása során adatkezelőként és nem, mint adatfeldolgozóként van jelen. Az adatkezelésének jogalapja a GDPR 6. cikk (1) b) pontja szerinti szerződés teljesítéséhez szükséges adatkezelés.
A DPD HU a szolgáltatás nyújtása során önállóan határozza meg a személyes adatok kezelésének céljait és eszközeit. A személyes adatok gyűjtéséért, rendszerezéséért, kezeléséért és tárolásáért a DPD HU felelősséget vállal.
A DPD HU-nak joga van megőrizni a szerződés megszűnése után is az összegyűjtött adatokat (nem köteles az ügyfél utasítására törölni azokat) az esetleges jogi követelések teljesítéséhez és elbírálásához szükséges időtartamon belül (pl. elveszett, vagy megrongálódott csomagokkal kapcsolatos kártérítési igény elbírálása).
A fent említett esetben tehát, ahol a DPD HU kizárólag futárpostai szolgáltatást nyújt, az ügyfelekkel kapcsolatos személyes adatoknak nem mint a feldolgozója, hanem mint kezelője van jelen. Így ilyen esetben a rendelet nem írja elő az adatfeldolgozói szerződés megkötésének kötelezettségét.
A személyes adatok kezelésével kapcsolatos további információkért, kérjük tekintse meg weboldalunkon található adatvédelmi tájékoztatónkat.
Czifrik Szabolcs
ügyvezető, DPD Hungária Kft.
Adatkezelő megnevezése: DPD Hungária Kft.
Adatkezelő cégjegyzékszáma: Cg.01-09-888141
Adatkezelő adószáma: 13034283-2-41
Adatkezelő székhelye: 1134 Budapest, Váci út 33. 2. emelet
Adatkezelő e-elérhetősége: [email protected]
Adatkezelő képviselője: Czifrik Szabolcs (ügyvezető)
Adatvédelmi tisztviselő: Dr. Soltész Gergő
Adatvédelmi tisztviselő elérhetősége: [email protected]
A Társaság fő tevékenysége: egyéb postai, futárpostai tevékenység.
A Társaság vállalja a küldemények felvételét, továbbításának megszervezését, szortírozását és kézbesítését belföldön és külföldön, annak a részére, akit a küldemény feladója címzettként megjelöl, biztosítva a küldeményeknek a feladó által is - interneten keresztül való - nyomon követhetőségét. A Társaság szolgáltatási tevékenységének ellátása céljából természetes személyek adataival is kapcsolatba kerül. Ezen adatok lehetnek név, lakcím, telefonszám és e-mail cím. Az adatok a futárpostai tevékenység ellátása céljából szükségesek.
adatkezelés célja: futárpostai tevékenység ellátása
kezelt adatok köre:
küldemény címzettje esetén: név, lakcím, telefonszám és e-mail cím
küldeményfeladó esetén: partner azonosító, partner neve, adószáma, székhely vagy lakcímadata, elektronikus levelezési cím, telefonszám, számla adatok, szerződéskötés dátuma
adatkezelés jogalapja: a GDPR 6. cikk (1) b) pontja szerint az adatkezelés a szerződés teljesítéséhez szükséges, valamint a GDPR 6. cikk (1) c) pontja szerinti jogi kötelezettség teljesítése
adattárolás határideje:
a telefonszám és az e-mail cím a szolgáltatás elvégzését követően haladéktalanul törlésre kerül,
a számlázáshoz szükséges adatok esetében (név, lakcím) a számla kiállításától számított 8 év
adattárolás módja: papíralapon és elektronikusan
Hátralékkezelés
A Társaság ügyfelei esetében előfordulhatnak hátralékot felhalmozó megbízók. Ilyen esetben a Társaság kintlévőség-kezelő csoportja megkezdi a hátralékkezelési eljárást. Amennyiben az eljárás nem vezet eredményre, a megbízó adatait követeléskezelési céllal átadjuk megbízott ügyvéd, vagy követeléskezelő társaság részére.
adatkezelés célja: hátralék behajtása
kezelt adatok köre:
partner azonosító
partner neve
adószáma
székhely vagy lakcím adata
elektronikus levelezési cím
telefonszám
első, második felszólítás dátuma
számla adatok
szerződéskötés dátuma
adatkezelés jogalapja: a Társaság a GDPR 6. cikk (1) f) pont szerinti jogos érdekének érvényesítése
adattárolás határideje: a hátralék kiegyenlítése, illetve a hátralékkezeléssel kapcsolatos polgári jogi igények elévülése (5 év)
Panaszkezelés
A Társaság a beérkező panaszokat ingyenes, egyszerű, átlátható és megkülönböztetéstől mentes eljárás keretében vizsgálja ki és a panaszokról, kezelésük módjáról nyilvántartást vezet. A panaszkezelés ügyfeleket érintő szabályait a Társaság ÁSZF-e tartalmazza.
adatkezelés célja: panaszok rögzítése, kivizsgálása, elbírálása
kezelt adatok köre:
a küldemény felvételének időpontja
a küldemény csomagcímkéjén szereplő csomagszám
az igényérvényesítő (Ügyfél/Címzett) adatai (név, székhely/lakcím, azonosítószám - csomagszám, referenciaszám -, adószám, esetlegesen bankszámlaszám) és cégszerű, illetve sajátkezű aláírása, vagy fax-szám, vagy e-mail cím, vagy levelezési cím, amelyre a Társaság írásos válaszát megküldheti
a panasz leírása, a küldemény vagy a szolgáltatás esetleges hibájának és a hiba feltehető okának megjelölése és leírása
a kár megjelölése, leírása és a kártérítési igény mértékének meghatározása
az érintett hangja (a telefonbeszélgetés rögzítésre kerül)
a panasz megalapozottságának igazolásául szolgáló, továbbá a kárigény ellenőrzését lehetővé tevő dokumentumok, így például a küldemény tartalmáról szóló okmányt (szállítólevél, beszerzési számla, fénykép-felvételek stb.)
a küldemény megszerzését és beszerzési árát, esetleg termelési költségeit igazoló okmányok
a futárral közösen felvett jegyzőkönyv
indokolt esetben a kár meghatározásához szükséges szakértői nyilatkozatot.
adatkezelés jogalapja: a GDPR 6. cikk (1) c) szerinti jogi kötelezettség teljesítése, 1997. évi CLV. törvény 17/A. § (6)-(7) szerint
adattárolás határideje: a Társaság a panaszról felvett jegyzőkönyvet és a válasz másolati példányát öt évig köteles megőrizni, és azt az ellenőrző hatóságoknak kérésükre bemutatni [fogyasztóvédelmi törvény 17/A. § (7)]
adattárolás módja: papíralapon és elektronikusan
Telefonbeszélgetések rögzítésével összefüggő adatkezelés
A fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/B. § (3) bekezdése alapján a DPD-vel folytatott beszélgetése rögzítésre kerül, a beszélgetést egyedi azonosító számmal látjuk el, személyes adatait az alábbiak szerint kezeljük:
adatkezelés célja: panaszok, ügyfél igények, jogvita eldöntését szolgáló bizonyítékok rögzítése, hibabejelentések rögzítése, kivizsgálása, elbírálása, megállapodás bizonyítása, behajthatatlanság igazolása, minőségbiztosítás
kezelt adatok köre:
a küldemény felvételének időpontja
a küldemény csomagcímkéjén szereplő csomagszám
az igényérvényesítő (Ügyfél/Címzett) adatai (név, székhely/lakcím, azonosítószám - csomagszám, referenciaszám -, adószám, esetlegesen bankszámlaszám) és cégszerű, illetve sajátkezű aláírása, vagy fax-szám, vagy e-mail cím, vagy levelezési cím, amelyre a Társaság írásos válaszát megküldheti
a panasz leírása, a küldemény vagy a szolgáltatás esetleges hibájának és a hiba feltehető okának megjelölése és leírása
a kár megjelölése, leírása és a kártérítési igény mértékének meghatározása
az érintett hangja
a panasz megalapozottságának igazolásául szolgáló, továbbá a kárigény ellenőrzését lehetővé tevő dokumentumok, így például a küldemény tartalmáról szóló okmányt (szállítólevél, beszerzési számla, fénykép-felvételek stb.)
a küldemény megszerzését és beszerzési árát, esetleg termelési költségeit igazoló okmányok
a futárral közösen felvett jegyzőkönyv
indokolt esetben a kár meghatározásához szükséges szakértői nyilatkozatot.
adatkezelés jogalapja: a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A-C. §-ban meghatározottak, GDPR rendelet 6. cikk (1) bek. c) pont (jogi kötelezettség teljesítése, tekintettel a Postatörvény 57.§(1) bekezdése és a Fogyasztóvédelmi törvény 17/B.§ (3) bekezdése)
adattárolás határideje: a Társaság a panaszról felvett jegyzőkönyvet és a válasz másolati példányát öt évig köteles megőrizni, és azt az ellenőrző hatóságoknak kérésükre bemutatni [fogyasztóvédelmi törvény 17/A. § (7)]
adattárolás módja: papíralapon és elektronikusan
Ajánlatkérés
A weboldalon a Kapcsolat és a Csomagfeladás menüpontban van lehetősége a látogatónak ajánlatkérésre.
adatkezelés célja: a honlapon kapcsolatfelvételt kezdeményező látogatók azonosítása, számukra az elektronikus szolgáltatások elérhetővé tétele
kezelt adatok köre:
Cég neve *
Utca, házszám *
Irányítószám *
Település *
Kapcsolattartó:
Neve *
E-mail címe *
Telefonszáma *
Átlagos havi csomagmennyiség (db)? *
Átlagosan milyen súlyúak ezek a küldemények? *
Az áru megnevezése *
Van Önnek utánvétes csomagja? A csomagok hány százaléka utánvétes?
Mekkora az átlagosan beszedendő utánvét összeg?
Megjegyzés
adatkezelés jogalapja: a GDPR 6. cikk (1) a) szerinti érintteti hozzájárulás
adattárolás határideje: az adatközléstől számított 2 év
adattárolás módja: elektronikus
Honlapüzemeltetés
A Társaság saját honlapot üzemeltet, amely a https://www.dpd.com/hu címen érhető el. A honlapon automatikus adatgyűjtés (cookie/sütik, Google Analytics stb.) valósul meg. A honlapra való be- és kilépést a látogatók számára kis adatcsomagok, ún. sütik (angol nevükön, illetve a továbbiakban: „cookie”-k) segítik elő, amelyeket a látogatók informatikai eszközén a honlap helyez el, illetve olvas arról vissza. A cookie-k a honlap megfelelő működését, a hatékonyabb kiszolgálást, valamint statisztikai jellegű, anonimizált adatgyűjtés célját szolgálják. A cookie-kat a látogató törölni tudja az informatikai eszközéről, illetve azok a böngésző bezárásával automatikusan törlődnek, valamint a látogató manuálisan beállíthatja böngészőjét úgy is, hogy az a cookie-k alkalmazását tiltsa. A honlapot a látogató abban az esetben is használni tudja, ha egyébként a cookie-k alkalmazását a böngészője beállításai között manuálisan letiltja.
A honlap egyrészt az egyedi, ideiglenes jelleggel elhelyezett „spublic” cookie-t alkalmazza a munkafolyamatok azonosítására, azaz annak megállapítására, hogy a látogató be van-e jelentkezve a honlapon vagy sem. A „spublic” cookie tehát a látogatók számára a honlapra való belépést, illetve az onnan történő kilépés segíti elő. A „spublic” cookie egy ideiglenes cookie, amely a böngésző bezárásával automatikusan törlődik a látogató informatikai eszközéről, illetve azt a látogató a böngészője beállításai között manuálisan maga is törölni tudja. Az alábbi cookie-k abból a célból kerülnek alkalmazásra, hogy segítségükkel megállapíthatóak legyenek a honlap látogatására és látogatottságára vonatkozó alábbi statisztikai jellegű, és ilyen célra gyűjtött adatok: - a látogató keresőmotor, kulcsszó vagy link révén jutott a honlapra („utmz”cookie), - a látogató hányszor látogatta meg a honlapot („utmb” cookie), - a látogató mennyi ideig tartózkodott a honlapon („utma” és az „utmv” cookie), - a látogató mikor látogatta meg először a honlapot („utma” és „utmv” cookie), illetve - a látogató mikor látogatta meg utoljára a honlapot („utmc” és „utmv” cookie). A fentiek mellett egyes cookie-k óvják a honlapot a túlterheléstől („utmt” cookie), továbbá egyes, a Google Analytics által alkalmazott cookie-k analitikai, statisztikai, illetve biztonsági célból rögzítik a látogató által használt informatikai eszköz IP-címét is. Az adattárolás a látogató informatikai eszközén valósul meg. A honlap látogatottsági és egyéb webanalitikai adatainak független mérését és auditálását tehát külső szolgáltatóként a Google Analytics szerverei segítik a fent felsorolt cookie-k segítségével. A mérési adatok kezeléséről ezen adatok adatkezelője a https://www.google.com/analytics/ weboldalon nyújt részletes felvilágosítást, a Google adatvédelmi elveiről pedig itt érhető el bővebb információ: http://www.google.hu/intl/hu/policies/privacy/. A honlapról a Google Analytics szerverei felé továbbításra kerülő adatok az érintett látogató személyazonosságának kizárólagos azonosítására közvetlenül nem alkalmasak, azok alapján kizárólag az informatikai eszköz IP címe azonosítható.
adatkezelés célja: a honlap látogatása során a szolgáltató a szolgáltatás működésének ellenőrzése és a visszaélések megakadályozása érdekében rögzíti a látogatói adatokat
kezelt adatok köre: dátum, időpont, a felhasználó számítógépének IP címe, a meglátogatott oldal címe, az előzőleg meglátogatott oldal címe, a felhasználó operációs rendszerével és böngészőjével kapcsolatos adatok
adatkezelés jogalapja: a GDPR 6. cikk (1) a) szerinti érintetti hozzájárulás és az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése
adattárolás határideje: a honlap megtekintésétől számított 30 nap
adattárolás módja: elektronikus
Kamerás megfigyelő rendszer általi adatrögzítés
Ahol kép és videorögzítésre alkalmas elektronikus megfigyelőrendszer működik, ott a kamerák pontos elhelyezkedéséről szóló, és a rögzítés tényét ismertető táblák kihelyezésre kerültek.
A kamerás megfigyelőrendszerrel kapcsolatos személyes adatokat az alábbiak szerint kezeljük:
adatkezelés célja: jelentős értékű raktárkészlet biztonságos tárolása, kezelése, szállítása, a raktárból történő hiánytalan és épségben történő kiszállítás dokumentálása
kezelt adatok köre: az érintett képmása, a kameraképpel megszerezhető adatok (tartózkodási hely, tartózkodási idő)
adatkezelés jogalapja: GDPR 6. cikk (1) f), azaz a Társaság jogos érdeke
adattárolás határideje: a cél eléréséig, maximum 30 nap
adattárolás módja: elektronikusan
DPD karrierportál
A DPD az üres álláshelyei betöltésére karrierportált üzemeltet a https://dpd.karrierportal.hu/allasok oldalon. Lehetőség van meghirdetett állásokra jelentkezni, valamint a későbbi együttműködés reményében önéletrajzi adatok feltöltésére.
Az oldalon a kiválasztáshoz feltétlenül szükséges információk kerülnek tárolásra.
adatkezelés célja: üres álláshelyek betöltése, munkaerő toborzás
kezelt adatok köre: kötelezően megadandó adatok: vezetéknév, keresztnév, e-mail cím, állandó és ideiglenes lakcím irányítószáma, e-mail cím, legmagasabb iskolai végzettség, idegennyelv-ismeret, munkahelyi releváns tapasztalat, preferált szakterület, munkavégzés helye, munkaidő, elvárt havi minimum nettó fizetés, munkába állási határidő, munkaidő, vezetői engedély, targonca jogosítvány
opcionális adatok: neme, alternatív e-mail cím, telefonszám, profilkép, preferált tevékenységi szint, az érintett által megadott egyéb adatok
adatkezelés jogalapja: a GDPR 6. cikk (1) a) szerinti érintteti hozzájárulás
adattárolás határideje: az adatközléstől számított 2 év
adattárolás módja: elektronikusan
A jelen tájékoztatóban esetleg fel nem sorolt adatkezelésről a személyes adat felvételekor adunk tájékoztatást.
A papíralapon kezelt személyes adatok biztonsága érdekében a DPD az alábbi intézkedéseket alkalmazza:
az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá
a dokumentumokat jól zárható, száraz, tűz- és vagyonvédelmi berendezéssel ellátott helyiségben helyezzük el
a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá
a DPD adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja
a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja
amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság
Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy a Társaság intézkedik a papír megsemmisítéséről. Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy annak megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadóak.
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír
a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen, illetve indokolt esetben gondoskodik
az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül
a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá
amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető
a Társaság a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el
a lementett adatokat tároló adathordozó az erre a célra kialakított páncéldobozban, tűzbiztos helyen és módon tárolt
a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik
a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését
A személyes adatok tárolásának helyén, a szerverszobákban tárolt szerverek fizikai védelme érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
a szerverszoba fizikai védelmét tűzgátló falak biztosítják
a szerverszoba klimatizált és tűzjelző berendezéssel ellátott
a szerverszobába csak a szerverszoba kulcsfelvételi engedéllyel rendelkező személy léphet be,
a kulcsfelvételi engedéllyel rendelkezőkről nyilvántartást vezet az Adatkezelő
A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez.
A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:
Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján az informatikus végzi
A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat osztjuk ki
El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek
Adminisztrátori jogosultsággal rendelkező, nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő vezető tisztségviselője vagy akadályoztatása esetén a helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkeznek.
A DPD törekszik - a GDPR-nak való megfelelés érdekében - a személyes adatok kezelésének minimálisra csökkentésére, a személyes adatok mihamarabbi álnevesítésére, a személyes adatok funkcióinak és kezelésének átláthatóságára, valamint arra, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. Bevezetésre került az ún. beépített adatvédelem (privacy by design), melynek következtében a Társaság már az adatkezelés tényleges megkezdése előtt – például már a projektelőkészítés időszakában – is figyelemmel van a GDPR előírásaira. A beépített adatvédelem a Társaság saját, olyan belső eljárásainak az összessége, amivel - a külső szabályozásoktól függetlenül is - igyekszik megfelelni annak, hogy az érintett magánszféráját minél jobban védje.
Adatait kizárólag az üzleti tevékenységünkhöz kapcsolódóan bejelentett célokra használjuk fel. Az általunk feldolgozott adatokat nem adjuk ki bárkinek és olyan célokra, amelyek nem kapcsolódnak közvetlenül szolgáltatásainkhoz, a következő esetektől eltekintve:
Jogszabályi előírások teljesítése
Vannak olyan esetek, amikor a jogszabályi előírásoknak megfelelően a Társaság köteles az általa kezelt adatokat az illetékes szervek kérésének megfelelően kiadni. Ilyen testületek például: az államigazgatási és hatósági szervek, társadalom- és egészségbiztosítási szervek, könyvvizsgálók stb.
Azok a természetes vagy jogi személyek, közhatalmi szervek, ügynökségek vagy bármely egyéb szervek, amely az Adatkezelő nevében személyes adatokat kezelnek.
Ezek a feldolgozók (a teljesség igénye nélkül):
1. Alvállalkozó fuvarozók
Olyan vállalkozók, akik a DPD nevében felveszik és kiszállítják a csomagokat, szerződés alapján.
A feldolgozott adatok köre: a csomagok feladóinak és címzettjeinek azonosítói és elérhetősége
2. A DPD csoporttal együttműködő szervezetek és a szállításban résztvevő partnerek
A nemzetközi szolgáltatások keretében a csomagok külföldre szállítását / továbbítását a DPD Csoport azon szervezeti egységei vagy partnerei végzik, amelyek felelősek az adott országban nyújtott ilyen jellegű szolgáltatásokért.
A feldolgozott adatok köre: a csomagok feladóinak és címzettjeinek azonosítói és kapcsolattartáshoz szükséges adatai
3. Infokommunikációs szolgáltatók
Szükséges esetben az infokommunikációs szolgáltatókkal is közöl adatot a DPD, ellenőrzött keretek között. Ilyen eset például:
a szolgáltatások hatékonyságának biztosítása érdekében (különösen a szállítási folyamatok optimalizálása céljából)
értesítési szolgáltatások alkalmazása esetén (a csomagok adatainak átadása),
az utánvétes szolgáltatások szolgáltatási díjával kapcsolatosan stb.
A feldolgozott adatok köre: a csomagok feladóinak és címzettjeinek azonosítói és kapcsolattartáshoz szükséges adatai, az online alkalmazások felhasználóinak azonosító adatai.
4. Szolgáltatók
Vannak olyan cégek, amelyek korlátozott mértékben részt vesznek a DPD egyes tevékenységeiben, amelynek során adatokkal kerülnek kapcsolatba. Ez alatt általában olyan alvállalkozókat értünk, amelyek alkalmazottai felelősek a csomagok berakodásáért és válogatásáért.
A feldolgozott adatok köre: a csomagok címkéjén lévő szállítási adatok
Ide tartozik a DPD részére karrierportált üzemeltető cég is. Az általuk biztosított felületre a DPD-hez meghirdetett pozícióra, vagy annak adatbázisába jelentkezők adatai és önéletrajza kerül feltöltésre.
A feldolgozott adatok köre:
kötelezően megadandó adatok: vezetéknév, keresztnév, e-mail cím, állandó és ideiglenes lakcím irányítószáma, e-mail cím, legmagasabb iskolai végzettség, idegennyelv-ismeret, munkahelyi releváns tapasztalat, preferált szakterület, munkavégzés helye, munkaidő, elvárt havi minimum nettó fizetés, munkába állási határidő, munkaidő, vezetői engedély, targonca jogosítvány
opcionális adatok: születési hely, születési évszám, neme, alternatív e-mail cím, telefonszám, profilkép, preferált tevékenységi szint, az érintett által megadott egyéb adatok
5. Hátralékkezelés
Amennyiben a DPD hátralékkezelési eljárása nem vezet eredményre, a megbízó adatait követeléskezelési céllal átadjuk megbízott ügyvéd, vagy követeléskezelő társaság részére.
A feldolgozott adatok köre: a hátralék behajtáshoz szükséges adatok
A DPD megköti az adatfeldolgozó szerződéseket minden adatfeldolgozóval. Ezekben mindkét fél vállalta, hogy az adatvédelmi jogszabályoknak és a DPD követelményei szerinti adatbiztonsági követelményeknek megfelelnek.
A DPD eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
A DPD által kezelt személyes adatok magáncélra való felhasználása tilos, valamint az adatkezelésünk mindenkor megfelel a célhoz kötöttség alapelvének: azaz személyes adatot csak meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében kezelünk, a cél eléréséhez szükséges minimális mértékben és ideig.
Amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek.
A DPD személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel, valamint az adat felvétele előtt minden esetben közöljük az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.
A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni.
Amennyiben a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes, vagy jogi személyekkel, illetve jogi személyiséggel nem rendelkező szervezetekkel adatfeldolgozói szerződéseket kötünk.
A vonatkozó jogszabályok értelmében az Érintettnek számos joga van, melyet a személyes adataival kapcsolatosan gyakorolhat. Amennyiben ezen jogaikat kívánják gyakorolni, kérjük jelezzék azt az [email protected] email címen.
Hozzáférési jog
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz hozzáférést kapjon.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Törléshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje meghatározott feltételek esetén.
Az elfeledtetéshez való jog
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy törölje a személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ha a személyes adatok kezelésére az adatkezelő jogos érdeke miatt kerül sor.
Az automatizált döntéshozatallal kapcsolatos jog
Az érintett jogosult arra, hogy ne terjedjen ki rá az automatizált döntéshozatal - ideértve a profilalkotást is -, amely az érintettre nézve joghatással járna, vagy hasonlóképpen jelentős mértékben érintené. Ha mégis automatizált döntéshozatal alanya volt, és nem ért egyet a kimenetellel, kérheti a döntés felülvizsgálatát.
Nagy hangsúlyt fektetünk az érintettek jogainak védelmére ezért maximális figyelmet fordítunk arra, hogy meggyőződjünk arról, hogy adatkezelést érintő kérelmek, illetve egyéb, a rendeletben meghatározott kérések a jogosult személytől érkeznek. Az érintett személyazonosságának ellenőrzése nem érinti az általános kérdésekre vonatkozó érdeklődést.
Fenntartjuk a jogot, hogy ellenőrizzük az Ön személyazonosságát a kérelme jogosságának megállapítása érdekében.
Amennyiben az Ön személyazonosságát nem sikerült kétséget kizáróan megállapítani, a kért adatokat nem áll módunkban a rendelkezésére bocsátani, illetve az Ön által kért műveleteket végrehajtani.
A DPD a szolgáltatás nyújtása során önállóan határozza meg a személyes adatok kezelésének céljait és eszközeit. A személyes adatok gyűjtéséért, rendszerezéséért, kezeléséért és tárolásáért a DPD felelősséget vállal.
Néhány esetben azonban a DPD felelőssége kizárható, például:
amennyiben a keletkezett kár az Ön, e rendeletet sértő adatkezelése miatt keletkezett
az adatkezelő hibájából továbbításra került részünkre, annak ellenére, hogy egyes adatokat nem kértünk vagy ahol nem értettünk egyet az adatszolgáltatóval a vonatkozó adatok átadásával kapcsolatban
ha az érintett adatihoz az ügyfeleink azok hozzájárulása nélkül jutottak hozzá és azokat így továbbították részükre
amennyiben a gyermekek részére szolgáltatásokat nyújtó ügyfeleink, a szülői felügyeleti jogot gyakorló személy engedélyének beszerzése nélkül, gyermekek személyes adatait továbbítják a DPD részére
Az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával (GDPR 12. cikk (4) bekezdés).
Felügyeleti hatóság:
megnevezése: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
címe: 1055 Budapest, Falk Miksa utca 9-11.
postacíme: 1363 Budapest, Pf.: 9.
telefon: (06 1) 391 1400
fax: (06 1) 391 1410
e-mail: [email protected]
honlap: www.naih.hu
Kártérítés
Aki a GDPR megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől, vagy az adatfeldolgozótól kártérítésre jogosult (GDPR 82. cikk (1) bekezdés). Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a GDPR-t sértő adatkezelés okozott. Az adatfeldolgozó csak akkor felelős az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el (GDPR 82. cikk (2) bekezdés). Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség (GDPR 82. cikk (3) bekezdés). Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért (GDPR 82. cikk (4) bekezdés).
Utolsó frissítés: 2020.05.18.
DPD / Adatvédelem