Kedves Ügyfeleink!

A DPD Hungária Kft. (cégjegyzékszáma: Cg.01-09-888141, adószáma: 13034283-2-41, székhelye: 1134 Budapest, Váci út 33. 2. emelet, továbbiakban: DPD HU) ügyfeleitől érkező adatfeldolgozói szerződések megkötésének igénye kapcsán -  figyelembe véve az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (továbbiakban: GDPR) 28. cikkét – az alábbi nyilatkozatot adja ki.  

A GDPR 28. cikke alapján adatfeldolgozói szerződést, a személyes adatokat kezelő és az adatokat feldolgozó között kell kötni, annak érdekében, hogy az adatfeldolgozó kötelezve legyen a személyes adatok feldolgozására vonatkozó szabályok tiszteletben tartására, megfelelő garanciák nyújtására a rendelet követelményeinek való megfelelés és az érintettek védelmét biztosító technikai és szervezési intézkedések végrehajtására.

A DPD HU futárpostai szolgáltatási tevékenységének ellátása során adatkezelőként és nem, mint adatfeldolgozóként van jelen. Az adatkezelésének jogalapja a GDPR 6. cikk (1) b) pontja szerinti szerződés teljesítéséhez szükséges adatkezelés.

A DPD HU a szolgáltatás nyújtása során önállóan határozza meg a személyes adatok kezelésének céljait és eszközeit. A személyes adatok gyűjtéséért, rendszerezéséért, kezeléséért és tárolásáért a DPD HU felelősséget vállal.

A DPD HU-nak joga van megőrizni a szerződés megszűnése után is az összegyűjtött adatokat (nem köteles az ügyfél utasítására törölni azokat) az esetleges jogi követelések teljesítéséhez és elbírálásához szükséges időtartamon belül (pl. elveszett, vagy megrongálódott csomagokkal kapcsolatos kártérítési igény elbírálása).

A fent említett esetben tehát, ahol a DPD HU kizárólag futárpostai szolgáltatást nyújt, az ügyfelekkel kapcsolatos személyes adatoknak nem mint a feldolgozója, hanem mint kezelője van jelen. Így ilyen esetben a rendelet nem írja elő az adatfeldolgozói szerződés megkötésének kötelezettségét.

A személyes adatok kezelésével kapcsolatos további információkért, kérjük tekintse meg weboldalunkon található adatvédelmi tájékoztatónkat.

Czifrik Szabolcs

ügyvezető, DPD Hungária Kft.

Adatkezelő megnevezése: DPD Hungária Kft.

Adatkezelő cégjegyzékszáma: Cg.01-09-888141

Adatkezelő adószáma: 13034283-2-41

Adatkezelő székhelye: 1134 Budapest, Váci út 33. 2. emelet

Adatkezelő e-elérhetősége: [email protected]

Adatkezelő képviselője: Czifrik Szabolcs (ügyvezető)

Adatvédelmi tisztviselő: Dr. Soltész Gergő

Adatvédelmi tisztviselő elérhetősége:  [email protected]

A papíralapon kezelt személyes adatok biztonsága érdekében a DPD az alábbi intézkedéseket alkalmazza:

• az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá

• a dokumentumokat jól zárható, száraz, tűz- és vagyonvédelmi berendezéssel ellátott helyiségben helyezzük el

• a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá

• a DPD adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja

• a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja

• amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság

Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy a Társaság intézkedik a papír megsemmisítéséről. Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy annak megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadóak.

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

• az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír

• a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen, illetve indokolt esetben gondoskodik

• az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül

• a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá

• amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető

• a Társaság a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el

• a lementett adatokat tároló adathordozó az erre a célra kialakított páncéldobozban, tűzbiztos helyen és módon tárolt

• a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik

• a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését

A személyes adatok tárolásának helyén, a szerverszobákban tárolt szerverek fizikai védelme érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

• a szerverszoba fizikai védelmét tűzgátló falak biztosítják

• a szerverszoba klimatizált és tűzjelző berendezéssel ellátott

• a szerverszobába csak a szerverszoba kulcsfelvételi engedéllyel rendelkező személy léphet be,

• a kulcsfelvételi engedéllyel rendelkezőkről nyilvántartást vezet az Adatkezelő

A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez.

A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:

• Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján az informatikus végzi

• A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat osztjuk ki

• El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek

• Adminisztrátori jogosultsággal rendelkező, nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő vezető tisztségviselője vagy akadályoztatása esetén a helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.

• Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkeznek.

A DPD törekszik - a GDPR-nak való megfelelés érdekében - a személyes adatok kezelésének minimálisra csökkentésére, a személyes adatok mihamarabbi álnevesítésére, a személyes adatok funkcióinak és kezelésének átláthatóságára, valamint arra, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.  Bevezetésre került az ún. beépített adatvédelem (privacy by design), melynek következtében a Társaság már az adatkezelés tényleges megkezdése előtt – például már a projektelőkészítés időszakában – is figyelemmel van a GDPR előírásaira. A beépített adatvédelem a Társaság saját, olyan belső eljárásainak az összessége, amivel - a külső szabályozásoktól függetlenül is - igyekszik megfelelni annak, hogy az érintett magánszféráját minél jobban védje.

Adatait kizárólag az üzleti tevékenységünkhöz kapcsolódóan bejelentett célokra használjuk fel. Az általunk feldolgozott adatokat nem adjuk ki bárkinek és olyan célokra, amelyek nem kapcsolódnak közvetlenül szolgáltatásainkhoz, a következő esetektől eltekintve:

Jogszabályi előírások teljesítése

Vannak olyan esetek, amikor a jogszabályi előírásoknak megfelelően a Társaság köteles az általa kezelt adatokat az illetékes szervek kérésének megfelelően kiadni. Ilyen testületek például: az államigazgatási és hatósági szervek, társadalom- és egészségbiztosítási szervek, könyvvizsgálók stb.

Adatfeldolgozók

Azok a természetes vagy jogi személyek, közhatalmi szervek, ügynökségek vagy bármely egyéb szervek, amely az Adatkezelő nevében személyes adatokat kezelnek.

Ezek a feldolgozók (a teljesség igénye nélkül):

1. Alvállalkozó fuvarozók

Olyan vállalkozók, akik a DPD nevében felveszik és kiszállítják a csomagokat, szerződés alapján.

A feldolgozott adatok köre: a csomagok feladóinak és címzettjeinek azonosítói és elérhetősége

2. A DPD csoporttal együttműködő szervezetek és a szállításban résztvevő partnerek

A nemzetközi szolgáltatások keretében a csomagok külföldre szállítását / továbbítását a DPD Csoport azon szervezeti egységei vagy partnerei végzik, amelyek felelősek az adott országban nyújtott ilyen jellegű szolgáltatásokért.

A feldolgozott adatok köre: a csomagok feladóinak és címzettjeinek azonosítói és kapcsolattartáshoz szükséges adatai

3. Infokommunikációs szolgáltatók

Szükséges esetben az infokommunikációs szolgáltatókkal is közöl adatot a DPD, ellenőrzött keretek között. Ilyen eset például:

• a szolgáltatások hatékonyságának biztosítása érdekében (különösen a szállítási folyamatok optimalizálása céljából)

• értesítési szolgáltatások alkalmazása esetén (a csomagok adatainak átadása),

• az utánvétes szolgáltatások szolgáltatási díjával kapcsolatosan stb.

A feldolgozott adatok köre: a csomagok feladóinak és címzettjeinek azonosítói és kapcsolattartáshoz szükséges adatai, az online alkalmazások felhasználóinak azonosító adatai.

4. Szolgáltatók

Vannak olyan cégek, amelyek korlátozott mértékben részt vesznek a DPD egyes tevékenységeiben, amelynek során adatokkal kerülnek kapcsolatba. Ez alatt általában olyan alvállalkozókat értünk, amelyek alkalmazottai felelősek a csomagok berakodásáért és válogatásáért.

A feldolgozott adatok köre: a csomagok címkéjén lévő szállítási adatok

Ide tartozik a DPD részére karrierportált üzemeltető cég is. Az általuk biztosított felületre a DPD-hez meghirdetett pozícióra, vagy annak adatbázisába jelentkezők adatai és önéletrajza kerül feltöltésre.

A feldolgozott adatok köre:

kötelezően megadandó adatok: vezetéknév, keresztnév, e-mail cím, állandó és ideiglenes lakcím irányítószáma, e-mail cím, legmagasabb iskolai végzettség, idegennyelv-ismeret, munkahelyi releváns tapasztalat, preferált szakterület, munkavégzés helye, munkaidő, elvárt havi minimum nettó fizetés, munkába állási határidő, munkaidő, vezetői engedély, targonca jogosítvány

opcionális adatok: születési hely, születési évszám, neme, alternatív e-mail cím, telefonszám, profilkép, preferált tevékenységi szint, az érintett által megadott egyéb adatok

5. Hátralékkezelés

Amennyiben a DPD hátralékkezelési eljárása nem vezet eredményre, a megbízó adatait követeléskezelési céllal átadjuk megbízott ügyvéd, vagy követeléskezelő társaság részére.

A feldolgozott adatok köre: a hátralék behajtáshoz szükséges adatok

A DPD megköti az adatfeldolgozó szerződéseket minden adatfeldolgozóval. Ezekben mindkét fél vállalta, hogy az adatvédelmi jogszabályoknak és a DPD követelményei szerinti adatbiztonsági követelményeknek megfelelnek.

A DPD eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

A DPD által kezelt személyes adatok magáncélra való felhasználása tilos, valamint az adatkezelésünk mindenkor megfelel a célhoz kötöttség alapelvének: azaz személyes adatot csak meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében kezelünk, a cél eléréséhez szükséges minimális mértékben és ideig.

Amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek.

A DPD személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel, valamint az adat felvétele előtt minden esetben közöljük az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni.

Amennyiben a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes, vagy jogi személyekkel, illetve jogi személyiséggel nem rendelkező szervezetekkel adatfeldolgozói szerződéseket kötünk.

A vonatkozó jogszabályok értelmében az Érintettnek számos joga van, melyet a személyes adataival kapcsolatosan gyakorolhat. Amennyiben ezen jogaikat kívánják gyakorolni, kérjük jelezzék azt az [email protected] email címen.

Hozzáférési jog

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz hozzáférést kapjon.

Helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

Törléshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje meghatározott feltételek esetén.

Az elfeledtetéshez való jog

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy törölje a személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

• az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ha a személyes adatok kezelésére az adatkezelő jogos érdeke miatt kerül sor.

Az automatizált döntéshozatallal kapcsolatos jog

Az érintett jogosult arra, hogy ne terjedjen ki rá az automatizált döntéshozatal - ideértve a profilalkotást is -, amely az érintettre nézve joghatással járna, vagy hasonlóképpen jelentős mértékben érintené. Ha mégis automatizált döntéshozatal alanya volt, és nem ért egyet a kimenetellel, kérheti a döntés felülvizsgálatát.

Az érintettek jogának gyakorlása előtti ellenőrzés:

Nagy hangsúlyt fektetünk az érintettek jogainak védelmére ezért maximális figyelmet fordítunk arra, hogy meggyőződjünk arról, hogy adatkezelést érintő kérelmek, illetve egyéb, a rendeletben meghatározott kérések a jogosult személytől érkeznek. Az érintett személyazonosságának ellenőrzése nem érinti az általános kérdésekre vonatkozó érdeklődést. 

Fenntartjuk a jogot, hogy ellenőrizzük az Ön személyazonosságát a kérelme jogosságának megállapítása érdekében.

Amennyiben az Ön személyazonosságát nem sikerült kétséget kizáróan megállapítani, a kért adatokat nem áll módunkban a rendelkezésére bocsátani, illetve az Ön által kért műveleteket végrehajtani.

A DPD a szolgáltatás nyújtása során önállóan határozza meg a személyes adatok kezelésének céljait és eszközeit. A személyes adatok gyűjtéséért, rendszerezéséért, kezeléséért és tárolásáért a DPD felelősséget vállal.

Néhány esetben azonban a DPD felelőssége kizárható, például:

• amennyiben a keletkezett kár az Ön, e rendeletet sértő adatkezelése miatt keletkezett

• az adatkezelő hibájából továbbításra került részünkre, annak ellenére, hogy egyes adatokat nem kértünk vagy ahol nem értettünk egyet az adatszolgáltatóval a vonatkozó adatok átadásával kapcsolatban

• ha az érintett adatihoz az ügyfeleink azok hozzájárulása nélkül jutottak hozzá és azokat így továbbították részükre

• amennyiben a gyermekek részére szolgáltatásokat nyújtó ügyfeleink, a szülői felügyeleti jogot gyakorló személy engedélyének beszerzése nélkül, gyermekek személyes adatait továbbítják a DPD részére

Az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával (GDPR 12. cikk (4) bekezdés).

Felügyeleti hatóság:

megnevezése: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

címe: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

postacíme: 1530 Budapest, Pf.: 5.

telefon: (06 1) 391 1400

fax: (06 1) 391 1410

e-mail: [email protected]

honlap: www.naih.hu

Kártérítés

Aki a GDPR megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől, vagy az adatfeldolgozótól kártérítésre jogosult (GDPR 82. cikk (1) bekezdés). Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a GDPR-t sértő adatkezelés okozott. Az adatfeldolgozó csak akkor felelős az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el (GDPR 82. cikk (2) bekezdés). Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség (GDPR 82. cikk (3) bekezdés). Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért (GDPR 82. cikk (4) bekezdés).