Egy globális IT és üzleti tanácsadási szolgáltató szervezet részeként (i) a CGI IT Czech Republic s.r.o., Laurinova 2800/4, Praha 5, 155 00, Cseh Köztársaság; (ii) a CGI Slovakia s.r.o., Suché Mýto 1, 811 03 Bratislava, Szlovák Köztársaság és (iii) a CGI IT Consulting Hungary Kft., székhelye: CGI IT Consulting Hungary Kft: 1126 Budapest, Tartsay Vilmos u. 3. Magyarország, elkötelezettek a személyes adatok védelmének az iparág legjobb gyakorlataihoz igazodó szintjének fenntartása mellett, amely legalább az alkalmazandó adatvédelmi jogszabályok követelményeinek és a CGI szerződéses kötelezettségeinek megfelel. E kötelezettségvállalás részeként a CGI megköveteli tagjaitól és a CGI által megbízott vagy a CGI számára árut és/vagy szolgáltatást nyújtó harmadik felektől (beleértve a harmadik fél beszállítókat, alvállalkozókat és szabadúszókat), hogy feladataik ellátása során megfelelő intézkedéseket tegyenek a személyes adatok védelme érdekében.
Mivel a CGI átláthatóan kezeli az általunk használt adatokat, a jelen Adatvédelmi szabályzatot ("Szabályzat") azért adta ki, hogy tájékoztassa Önt arról, hogyan és miért gyűjtjük és kezeljük az Ön személyes adatait, a CGI adatvédelmi gyakorlatáról, valamint az Ön, mint Érintett jogairól az Ön személyes adatainak kezelésével kapcsolatban.
CGI Adatvédelmi szabályzat - Nyilvános verzió
- 1 - Fogalommeghatározások
-
E Szabályzat alkalmazásában a következő fogalommeghatározások alkalmazandók:
„Alkalmazandó adatvédelmi jogszabályok”: (i) a személyes adatok feldolgozására vonatkozó 2016/679 európai adatvédelmi rendeletet (GDPR) és (ii) az európai adatvédelmi rendelet bármely végrehajtási jogszabályát, valamint (iii) a személyes adatok feldolgozására vonatkozó bármely alkalmazandó helyi törvényt jelentik.
„CGI jogi személyek”: a CGI Inc. által közvetlenül vagy közvetve ellenőrzött valamennyi olyan jogi személy, amely személyes adatokat kezel, kivéve a CGI Federal működési körébe tartozó jogi személyeket.
„Adatkezelő”: minden olyan jogalany (azaz természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv), amely egyedül vagy más adatkezelőkkel együtt meghatározza a személyes adatok feldolgozásának céljait és eszközeit.
„Adatfeldolgozó”: minden olyan jogalany (azaz természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv), amely az adatkezelő vagy egy másik adatfeldolgozó nevében és utasításai alapján jár el a személyes adatok feldolgozása érdekében.
„Érintett”: az az azonosított vagy azonosítható természetes személy, akinek a személyes adatait feldolgozzák, amely lehet például CGI-tag vagy külső tanácsadó a CGI belső kontextusában, vagy egy ügyfél alkalmazottai vagy végfelhasználói üzleti összefüggésben.
„EGT”: az Európai Gazdasági Térséget jelenti, amely az Európai Unió (EU) tagországaiból, valamint Izlandból, Liechtensteinből és Norvégiából áll, a továbbiakban „tagállamok” néven is.
„Alkalmazott”: kizárólag a jelen Szabályzat alkalmazásában alkalmazottat, a személyzet tagját, dolgozót, egyéni tanácsadót, ügynököt, tisztviselőt vagy igazgatót jelent, és a „foglalkoztatás” fogalma ennek megfelelően értelmezendő. A CGI alkalmazottaira „tag” vagy „tagok” néven hivatkozunk.
„Helyi jogszabályok”: helyi rendeletek, jogszabályok, bírósági határozatok vagy kötelező előírások.
„Személyes adat”: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ, ahol azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen olyan azonosítók alapján, mint a természetes személy neve, azonosító száma, helymeghatározó adat, online azonosító vagy egy, vagy több, az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális identitására jellemző tényező. A személyes adatok közé tartoznak az érzékeny személyes adatok is.
„Feldolgoz”, „feldolgozás” vagy „feldolgozott” a személyes adatokon automatizált vagy nem automatizált eszközökkel végzett bármely művelet vagy műveletsorozat, mint például gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, adaptálás, módosítás, visszakeresés, betekintés (beleértve a távoli hozzáférést is), felhasználás, nyilvánosságra hozatal továbbítás útján, terjesztés vagy más módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés.
„Érzékeny személyes adatok”: a személyes adatok olyan különleges kategóriái, amelyekből kiderül a faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés vagy szakszervezeti tagság, valamint a genetikai vagy biometrikus adatok feldolgozása egy természetes személy egyedi azonosítása céljából, egészségügyi adatok, valamint a természetes személy szexuális életére vagy szexuális irányultságára vonatkozó adatok.
- 2 – Hatókör
-
Ez a Szabályzat meghatározza a CGI által a személyes adatok feldolgozása során alkalmazott általános szabványt. Ez a Szabályzat akkor alkalmazandó, ha a CGI adatkezelőként vagy adatfeldolgozóként jár el. A Szabályzat valamennyi személyes adat feldolgozására vonatkozik, függetlenül azok jellegétől vagy kategóriájától, és függetlenül attól, hogy milyen adathordozón tárolják az adatokat.
Az egyes adatkezelési tevékenységekre vonatkozó további részletek a vonatkozó adatvédelmi tájékoztatókban találhatók. Az ilyen információk kiterjedhetnek többek között az érintettek konkrét jogaira, a megosztott személyes adatokra, az adatmegőrzési időszakokra vagy a konkrét jogalapra.
A CGI elkötelezett amellett, hogy a személyes adatokat azonos szintű védelemben részesítse, függetlenül attól, hogy azokat saját, ügyfelei vagy harmadik fél igényei szerint dolgozza fel. A jelen Adatvédelmi szabályzat végrehajtása megköveteli, hogy a CGI minden jogi személy tagja és a CGI által megbízott harmadik fél teljes mértékben, kivétel nélkül részt vegyen annak alkalmazásában.
- 3 – Az érintettek kategóriái
-
Működése során a CGI a következő személyekre vonatkozó személyes adatokat gyűjti és kezeli:
- foglalkoztatásra jelentkezők;
- alkalmazottak és volt alkalmazottak;
- köz- és magánügyfelek és érdeklődők;
- köz- és magánügyfelek és potenciális ügyfelek;
- részvényesek;
- szolgáltatók, szakmai tanácsadók, beszállítók, vállalkozók és alvállalkozók;
- bármely más harmadik fél.
- 4 – Az Ön mely személyes adatait kezeljük?
-
Az alkalmazandó adatvédelmi jogszabályok függvényében a CGI és a CGI által megbízott vagy a CGI számára árut és/vagy szolgáltatást nyújtó harmadik felek az alábbi személyes adatkategóriák bármelyikét vagy mindegyikét kezelhetik:
- személyazonossági és kapcsolattartási adatok (pl. keresztnév, vezetéknév, cím, felhasználónév vagy hasonló azonosító);
- szakmai/üzleti adatok (pl. e-mail cím, munkáltató, osztály, munkakör, telefonszámok, számlázási vagy szállítási cím);
- személyes adatok (pl. születési dátum, személyes elérhetőségek, életrajzok, tagságok, bejelentett összeférhetetlenségek, egészségügyi adatok, a sokszínűséggel kapcsolatos információk);
- gazdasági és pénzügyi adatok;
- helymeghatározással, naplózással, forgalommal és nyomon követéssel kapcsolatos adatok, valamint demográfiai adatok.
4.1 Tagjaink vagy volt alkalmazottaink személyes adatai
Tagjainkra vagy korábbi munkavállalóinkra vonatkozó személyes adatok feldolgozása során adatkezelőként eljárva betartjuk az alkalmazandó adatvédelmi törvényeket (beleértve szükség esetén az érintett vagy az illetékes munkavállalói képviseleti szerv – pl. üzemi tanács – hozzájárulásának beszerzésére vonatkozó követelményeket). A jelen Szabályzaton kívül a CGI szabványos munkaszerződései, az alkalmazandó szabályzatok és a tagokkal folytatott kommunikáció meghatározhatja azokat a pontos és részletes célokat, amelyek érdekében a CGI időről időre gyűjthet és feldolgozhat személyes adatokat.
A tagokra vonatkozó személyes adatok (beleértve az érzékeny személyes adatokat is) feldolgozásának fő céljai a következők lehetnek:
Bérszámfejtés, nyugdíj, pénzügyek és részvények – A CGI a vonatkozó személyes adatokat megoszthatja a nyugdíj- és részvényprogramok kezelőivel, programszolgáltatókkal, biztosítótársaságokkal, adóhatóságokkal és más hasonló szolgáltatókkal a foglalkoztatási kötelezettségekkel és a tagi juttatásokkal kapcsolatban. A CGI a tagok azonosítása és kifizetése céljából személyes adatokat, valamint érzékeny személyes adatokat is kezel, ha és amely esetben az alkalmazandó helyi jogszabályok ezt megkövetelik (pl. faji vagy etnikai származás, vallási vagy világnézeti meggyőződés vagy egészségügyi adatok).
Üzleti adminisztráció és menedzsment – A CGI személyes adatokat használhat fel üzleti tevékenységeinek menedzseléséhez, például számlák kifizetéséhez, üzleti partnereivel és potenciális üzleti partnereivel való kommunikációhoz, találkozók szervezéséhez, üzleti utazásokhoz, vízumkérelmekhez, vagyonkezeléshez, valamint az üzleti partnerek szerződéses kötelezettségeinek teljesítéséhez és kezeléséhez (beleértve a tagok elhelyezését/megbízását az ügyfeleknél).
Munkavállalói adminisztráció és menedzsment – A CGI a CGI-nél való foglalkoztatásukkal kapcsolatos célokból kezelhet személyes adatokat (beleértve adott esetben, valamint a jelen Szabályzat és a vonatkozó adatvédelmi jogszabályok értelmében az érzékeny személyes adatokat is) a tagokról és (adott esetben) eltartottjaikról és legközelebbi hozzátartozóikról. Ez magában foglalhatja a toborzást, az általános irányítást, a teljesítménymenedzsmentet, a karrierfejlesztést, az egészségügyi és biztonsági előírások betartását, az egészségbiztosítást, az életbiztosítást, a betegség nyomon követését és a megfelelőséget, a sokszínűség nyomon követését, a fegyelmi eljárásokat, a biztonsági ellenőrzéseket (ha és ahol szükséges), a vízumkérelmeket és egyéb bevándorlási követelményeket, a tagok felé irányuló és a tagoktól származó kommunikációt, a tagok kapcsolattartási jegyzékeit, az érzékeny/biztonságos területekhez való hozzáférés ellenőrzését, az IT-rendszerek adminisztrációját és kezelését, az adófizetést, a költségtérítés-feldolgozást és a tagi juttatásokat. Időről időre és a helyi követelmények függvényében a CGI számos olyan kedvezményt és engedményt kínálhat tagjainak, amelyeket más vállalatokkal egyeztetett, és a vonatkozó személyes adatokat gondosan ellenőrzött harmadik fél szervezeteknek adhatja át az ilyen kedvezmények felajánlása és biztosítása érdekében.
Vállalati biztonság és minőségellenőrzés – A CGI számítógépeket, laptopokat és (mobil)telefonokat biztosít tagjai számára, amelyek lehetővé teszik az internethez, az e-mailhez és a közösségi médiához, a CGI intranethez, valamint a különböző szoftveralkalmazásokhoz és eszközökhöz való hozzáférést. E digitális eszközök mellett a CGI gépkocsikat és fizikai munkaterületeket is biztosíthat (amelyek mindegyike a vállalat tulajdonát képezi). A CGI bízik abban, hogy minden tag felelősségteljesen és jogszerűen jár el a vállalati tulajdon használata során, és szigorúan betartja az összes vonatkozó, e tekintetben kiadott magatartási kódexet, így többek között az Etikai és üzleti magatartási kódexet, a Biztonsági és elfogadható használatra vonatkozó szabályzatot, valamint a Harmadik féltől származó szoftverek használatára vonatkozó szabályzatot. Kizárólag biztonsági okokból a CGI kamerákkal figyelheti telephelyeit. A CGI-nek jó és jogilag igazolható oka lehet arra, hogy a digitális berendezések/eszközök használatát és a tagok által használt berendezéseken és eszközökön keresztül folytatott digitális forgalmat figyelemmel kísérje, figyelembe véve a felügyelet szükségességét és a tagok magánéletének védelmét. Eseti vizsgálatokra csak alapos okokból, célzott helyzetekben kerül sor, és a CGI Global Security mindig részt vesz az ilyen vizsgálatokban, figyelembe véve a biztonsági incidensek kivizsgálási és jelentési eljárásait. A CGI egész szervezetre kiterjedő megfigyelése és az internethasználati előzmények és az e-mail levelezés rögzítése csak az üzemi tanáccsal folytatott kollektív konzultációs folyamatot követően kerül végrehajtásra.
Vállalati pénzügyek, fúziók és felvásárlások – A CGI időről időre vásárol, elad és/vagy átruház csoportvállalatokat, üzleti eszközöket, pénzügyi eszközöket/megállapodásokat és szerződéseket. Az ilyen lehetőségekkel, műveletekkel és megállapodásokkal kapcsolatban a CGI megoszthatja a vonatkozó személyes adatokat a potenciális vevőkkel, eladókkal, szakmai tanácsadókkal és szabályozó hatóságokkal (beleértve a megfelelő kormányzati hatóságoknál történő szabályozási bejelentéseket), a titoktartási kötelezettségek és a helyi jogi korlátozások betartásával.
Szabályozási, szakmai és tagsági követelmények – A CGI feldolgozhatja a tagok személyes adatait, és továbbíthatja a személyes adatokat az érintett szabályozó testületek, kormányzati hatóságok és szakmai/kereskedelmi/ipari szervezetek felé a tagsági kérelmekkel és megújításokkal, szabályozási követelményekkel (beleértve a biztonsági, szabályozási/jogi jelentéstételi követelményeket), szakmai szabványokkal stb. kapcsolatban.
Egészségügy, biztonság, jog és biztosítás – A CGI feldolgozhat és továbbíthat személyes adatokat megfelelő harmadik feleknek (beleértve a CGI létesítményeinek vezetőit, rendezvényszervezőket, biztosítókat, tanácsadókat és üzleti partnereket) az egészségügyi, biztonsági, jogi, biztosítási, utazási és vészhelyzeti követelményeknek való megfelelés érdekében.
Helyi jogi követelményeknek és bevált gyakorlatoknak való megfelelés – A CGI feldolgozhat és továbbíthat személyes adatokat a CGI Csoporton belüli más szervezeteknek és/vagy megfelelő harmadik feleknek, amennyiben a helyi jogszabályok ezt előírják vagy lehetővé teszik, vagy amennyiben a helyi gyakorlatokról a tagokkal, a munkavállalók képviselőivel, az adatvédelmi tisztviselőkkel és/vagy az adatvédelmi hatóságokkal/szabályozókkal megállapodtak.
4.2 Ügyfeleink személyes adatai
Ügyfeleink személyes adatainak feldolgozása során adatfeldolgozóként járunk el, az érintett ügyfelek megfelelően dokumentált utasításait követve, az általuk meghatározott célokat figyelembe véve, mint például:
Ügyfélprojektek és -szolgáltatások kezelése iparágakon átnyúlóan, például banki, közüzemi, gyártási, biztosítási, kormányzati, kiskereskedelmi, fogyasztói és szolgáltatási, egészségügyi és élettudományi, szállítási és logisztikai, olaj- és gázipari vagy kommunikációs és médiaágazatokban, beleértve a személyes adatok bevitelét, helyesbítését és konszolidálását, tárolását, nyilvántartását és biztonsági mentését, adatkezelést és -elemzést, egyedi megkeresések kezelését, alkalmazás- és infrastruktúra-kezelést, fejlesztést és tesztelést, levelezést, delegált/összevont/külső IT-rendszerek adminisztrációját, tárhelyet és kezelést, beleértve a hozzáférés ellenőrzését és auditálását, eszközkezelést, költségkezelés, marketing és kutatási elemzést.
Adatkezelőként eljárva az alábbi célokból kezeljük ügyfeleink személyes adatait:
Az ügyfélprojektek és -szolgáltatások irányításának, végrehajtásának és lezárásának irányítása, beleértve a toborzási műveleteket, a képzést, a beszállítók és alvállalkozók irányítását, a számlázást, a jelentéstételt és az ellenőrzési tevékenységeket;
A vállalati kommunikációnk részeként megjelenő sajtóközlemények vagy marketinginformációk, valamint a kapcsolódó levelezőlisták létrehozása és karbantartása a következő személyes adatok feldolgozását igényli: név, e-mail cím, cím és esetlegesen további információk, például telefonszámok. Ez a feldolgozás a GDPR (általános adatvédelmi rendelet, a továbbiakban GDPR) 6. cikk (1) a) és f) pontjain alapul, azaz az Ön hozzájárulásán és/vagy a CGI hatékony és megfelelő vállalati kommunikációhoz fűződő jogos érdekén. A személyes adatokat addig tároljuk, amíg a vállalati kommunikációhoz szükségesek, vagy ezt megelőzően töröljük, amennyiben Ön arról tájékoztatott minket, hogy nem kíván többé információkat kapni a CGI-től.
4.3 Más érintettekre vonatkozó személyes adatok
A CGI más érintettekre (pl. érdeklődők, weboldal látogatók, marketing/üzleti kapcsolatok, leendő jelöltek, a CGI irodák látogatói) vonatkozó személyes adatokat is kezelhet az alábbiakban ismertetett célokból:
- tervezés és adminisztráció;
- humánerőforrás és munkaerő-felvétel;
- pénzügyek;
- IT/biztonság;
- kommunikáció/marketing;
- üzleti tervezés és üzemeltetés;
- jogi ügyek.
- 5 – Miért használjuk az Ön személyes adatait?
-
A CGI csak akkor kezeli a személyes adatokat, ha az feltétlenül szükséges, és további elveket alkalmaz aszerint, hogy a CGI adatkezelőként vagy adatfeldolgozóként jár-e el.
5.1 Alapelvek, amikor a CGI adatkezelőként jár el
Átláthatóság, méltányosság és jogszerűség: A CGI a személyes adatokat jogszerűen, tisztességesen és átlátható módon kezeli az érintett vonatkozásában, a jelen Szabályzat követelményeivel összhangban, olyan adatvédelmi tájékoztatók alkalmazásával, amelyek egyértelműen tartalmazzák az alkalmazandó adatvédelmi jogszabályoknak való megfeleléshez szükséges információkat.
A cél meghatározása: A személyes adatok CGI általi feldolgozását, különösen azok gyűjtését, megelőzi a feldolgozás konkrét céljának meghatározása. Ennek a célnak egyértelműnek és jogszerűnek kell lennie. A személyes adatokat nem lehet tovább feldolgozni olyan módon, amely nem egyeztethető össze az említett céllal.
Adatminimalizálás: A személyes adatok feldolgozási céljának meghatározását követően a CGI csak az adott cél eléréséhez szükséges mértékben gyűjt személyes adatokat. Az adatfeldolgozás minden egyes részletét a megoldás tervezésének korai fázisában felül kell vizsgálni, bevonva az adatvédelmi és biztonsági felülvizsgálati és jóváhagyási folyamatba, vagy más módon, annak biztosítása érdekében, hogy a személyes adatok megfelelőek és relevánsak legyenek, és a feldolgozás céljához képest szükséges mértékre korlátozódjanak.
A személyes adatok minősége: A CGI a személyes adatok feldolgozásának teljes életciklusa során biztosítja, hogy az összegyűjtött személyes adatok pontosak és naprakészek maradjanak. Minden ésszerű lépést megteszünk annak érdekében, hogy a pontatlan személyes adatokat haladéktalanul töröljük vagy helyesbítsük, beleértve, de nem kizárólagosan az érintettek önkiszolgálási lehetőségeit. A CGI megfelelő eszközöket biztosít az érintettek számára, hogy tájékoztassák a CGI-t a személyes adataikban bekövetkezett bármilyen változásról.
Az adatmegőrzés korlátozása: A CGI gondoskodik arról, hogy az Ön személyes adatait ne őrizze meg hosszabb ideig, mint amennyi feltétlenül szükséges a személyes adatok gyűjtésének céljához. Következésképpen a CGI a feldolgozás elvégzése előtt meghatározza a megfelelő megőrzési időszakot. Ennek során a CGI figyelembe veszi azt az időtartamot, amely alatt a személyes adatok szükségesek a feldolgozás céljának eléréséhez, figyelembe véve a következő tényezőket:
- azt az időszakot, amely után az ilyen személyes adatok fenntartása hatással lehet az érintettek elfeledtetéshez való jogára; és
Azért, hogy eleget tegyünk az elszámolási kötelezettségünknek a GDPR 5. cikk (2) bekezdésének megfelelően, az adatvédelmi hatásvizsgálati dokumentumokat legalább annak az adatkezelésnek az időtartamáig megőrizzük, amelyre vonatkoznak.
Amennyiben a fenti jogalapok egyike sem alkalmazható, a CGI a személyes adatok kezelése előtt kéri és megőrzi az érintett előzetes hozzájárulását (GDPR 6. cikk (1) bekezdés a) pont), azzal, hogy az érintett hozzájárulása akkor érvényes, ha (i) azt önként, egyértelmű megerősítő cselekedettel adta meg; és (ii) a hozzájárulás az érintett konkrét, tájékozott és egyértelmű jelzését képviseli arra vonatkozóan, hogy hozzájárul személyes adatai kezeléséhez.
Technikai és szervezési intézkedések: A CGI megfelelő technikai és szervezési intézkedéseket hajt végre a személyes adatokhoz való jogellenes hozzáférés és/vagy feldolgozás ellen, beleértve a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést. A CGI csak akkor biztosít hozzáférést a személyes adatokhoz, ha az a személyes adatok feldolgozásának céljával összhangban lévő feladatok elvégzéséhez szükséges. Amennyiben a CGI harmadik felet vesz igénybe a nevében történő feldolgozásra, szerződéses megállapodások révén biztosítja, hogy a harmadik fél egyenértékű intézkedéseket hozzon. Jogellenes hozzáférés és/vagy feldolgozás esetén a CGI betartja Információbiztonsági szabályzatát és a kapcsolódó eljárásokat.
Adatvédelmi hatásvizsgálat: A CGI felelős annak ellenőrzéséért, hogy az adatfeldolgozás az alkalmazandó adatvédelmi jogszabályoknak megfeleljen. Amennyiben az adatfeldolgozás típusa – különösen új technológiák felhasználása esetén, és figyelembe véve az adatfeldolgozás jellegét, hatályát, összefüggéseit és célját, vagy az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében említett különleges adatkategóriák nagymértékű feldolgozását – valószínűleg magas kockázattal jár az Ön adatainak védelmére nézve, a CGI adatvédelmi hatásvizsgálati eljárást hajt végre, amely lehetővé teszi a CGI számára, hogy:
- azonosítsa, hogy mely adatkezelések jelentenek konkrét kockázatot a személyes adatok védelmére nézve;
- értékelje az alkalmazandó adatvédelmi jogszabályoknak való megfelelés szintjét;
- értékelje az adatkezeléssel kapcsolatos kockázat súlyosságának vagy valószínűségének szintjét; és
- meghatározza a végrehajtandó korrekciós intézkedéseket annak biztosítása érdekében, hogy a személyes adatok feldolgozása olyan kockázatokkal történjen, amelyeket mérsékeltek, és azokat az alkalmazandó adatvédelmi jogszabályoknak megfelelően hajtsák végre. Ha a kockázatcsökkentést követően az érintetteket érintő kockázatok továbbra is jelentősek maradnak, és ha a vonatkozó adatvédelmi jogszabályok előírják, a tervezett adatkezelés megkezdése előtt konzultálni kell az illetékes adatvédelmi hatósággal.
A jogalap meghatározása: A fenti elveken túlmenően bármilyen adatkezelés csak akkor végezhető, ha az az alábbiak vagy a jelen Adatvédelmi szabályzat 5.3 pontjában meghatározott körülmények valamelyikének hatálya alá tartozik:
- a CGI-re vonatkozó jogi kötelezettség teljesítéséhez szükséges (pl. adatszolgáltatás az adóhatóságnak) (GDPR 6. cikk (1) bekezdés c) pont); vagy
- szerződés teljesítéséhez szükséges (pl. szolgáltatási megállapodás egy ügyféllel vagy üzemi tanácsi megállapodások) (GDPR 6. cikk (1) bekezdés b) pont és 88. cikk (1) bekezdés); vagy
- a CGI jogos érdeke miatt szükséges, azzal, hogy a CGI jogos érdekét az érintettek érdekeivel összevetve kell értékelni (GDPR 6. cikk (1) bekezdés f) pont):
- Az adatkezelés szükséges a CGI által követett érdek megvalósításához anélkül, hogy az érintett érdekeit és/vagy magánéletét hátrányosan érintené;
- a CGI érdekét nem írják felül az érintett alapvető jogai vagy érdekei; és
- a CGI érdekét a CGI alaptevékenységének fényében kell meghatározni, de átlátható módon meg kell felelnie az alkalmazandó adatvédelmi jogszabályoknak;
- az érintett létfontosságú érdeke miatt szükséges (GDPR 6. cikk (1) bekezdés d) pont), vagy
- közérdekű feladat végrehajtásához szükséges (GDPR 6. cikk (1) bekezdés e) pont).
- minden olyan jogi kötelezettséget, amely minimális adatmegőrzési időszakot ír elő, ahogyan azt a CGI Iratmegőrzési politikájában és Iratmegőrzési ütemtervében vagy más módon meghatározhatja.
5.2 Alapelvek, amikor a CGI adatfeldolgozóként jár el
A CGI biztosítja, hogy a személyes adatokat kizárólag az adatkezelő dokumentált utasításainak megfelelően kezeli.
Az ilyen feldolgozás különösen:
- az adatkezelő kizárólagos kifejezett céljaira történik;
- a CGI és az adatkezelő által elfogadott feltételek szerint történik;
- az adatkezelő által kifejezetten előírtnál nem tart hosszabb ideig; és
- az adatkezelő írásbeli utasításai szerint, a CGI és az adatkezelő között létrejött adatfeldolgozási megállapodásban foglaltak szerint történik.
Az adatkezelő továbbra is kizárólagosan felelős azért, hogy a CGI által végzett adatkezelésnek legyen érvényes jogalapja, és hogy a szükséges adatkezelés megfeleljen a vonatkozó adatvédelmi jogszabályoknak, beleértve az alkalmazandó megőrzési időszakot is. A CGI mindazonáltal haladéktalanul tájékoztatja az adatkezelőt, ha véleménye szerint az adatkezelő valamely utasítása sérti az alkalmazandó adatvédelmi jogszabályokat.
Ha az adatkezelő más utasítást nem ad, a CGI (legalább) ugyanazokat az alapvető biztonsági intézkedéseket alkalmazza, mint amikor adatkezelőként jár el.
A CGI ésszerű segítséget nyújt az adatkezelőnek, hogy támogassa őt a vonatkozó adatvédelmi jogszabályok szerinti kötelezettségeinek teljesítésében. A CGI által az adatkezelőnek a jelen szakasz szerinti megfelelési célokra nyújtott segítségre a CGI és az adatkezelő között a vonatkozó megállapodásban megállapított pénzügyi, technikai és szervezési feltételek vonatkoznak. A vonatkozó adatfeldolgozási megállapodás megszűnésekor a CGI és a CGI által megbízott bármely harmadik fél az ügyfél utasításainak és az alkalmazandó adatvédelmi jogszabályoknak megfelelően megsemmisíti vagy visszaadja az összes személyes adatot az ügyfélnek. Megsemmisítés esetén a CGI igazolja az adatkezelőnek, hogy a törlés megtörtént. Visszaszolgáltatás esetén a CGI az ügyfél utasításainak betartásával biztosítja az adatkezelőnek átadott személyes adatok bizalmas kezelését.
A kétségek elkerülése végett, a jelen Szabályzatban semmi sem korlátozza a CGI azon jogát, hogy megőrizze a személyes adatokat a folyamatban lévő peres ügyek, illetve a jövőbeni követelések előterjesztése vagy védelme céljából, a CGI-re vonatkozó elévülési jogszabálynak megfelelően.
5.3 Alapelvek, amikor a CGI érzékeny személyes adatokat kezel
Amikor a CGI adatkezelőként jár el, akkor és csak akkor kezeli az érzékeny személyes adatokat, ha ez feltétlenül szükséges. Ebben az esetben a CGI biztosítja, hogy az alábbi feltételek közül legalább az egyik teljesüljön:
- az érintett előzetes hozzájárulását adta (GDPR 9. cikk (2) bekezdés a) pont);
- az adatkezelésre az adatkezelő vagy az érintett foglalkoztatási, társadalombiztosítási és szociális védelemmel kapcsolatos kötelezettségeinek teljesítése és különleges jogainak gyakorlása céljából van szükség (GDPR 9. cikk (2) bekezdés b) pont);
- ha az érintett nincs abban a helyzetben, hogy hozzájárulását megadja (pl. egészségügyi okokból), az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelme érdekében szükséges (GDPR 9. cikk (2) bekezdés c) pont);
- az adatkezelésre a helyi jogszabályok alapján egészségügyi szakember által végzett megelőző gyógyítás vagy orvosi diagnózis keretében van szükség (GDPR 9. cikk (2) bekezdés h) pont);
- az érintett a szóban forgó érzékeny személyes adatokat már kifejezetten nyilvánosságra hozta (GDPR 9. cikk (2) bekezdés e) pont);
- az adatkezelés elengedhetetlen jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, feltéve, hogy nincs ok annak feltételezésére, hogy az érintettnek nyomós jogos érdeke fűződik ahhoz, hogy az ilyen érzékeny személyes adatokat ne kezeljék (GDPR 9. cikk (2) bekezdés f) pont); vagy
- az adatkezelést a helyi jogszabályok kifejezetten megengedik (GDPR 9. cikk (4) bekezdés, a vonatkozó helyi jogszabályokkal összefüggésben) (pl. kisebbségi csoportok nyilvántartása/védelme).
Amennyiben a CGI-nek adatfeldolgozóként érzékeny személyes adatokat kell feldolgoznia, a CGI követi az adatkezelő írásbeli utasításait, és alkalmazza a felek között elfogadott intézkedéseket, amelyeknek legalább a CGI alapvető biztonsági intézkedéseivel egyenértékűnek kell lenniük.
Az adatkezelő biztosítja a CGI által végzett adatkezelés érvényes jogalapját.
A CGI az érzékeny személyes adatokat minden esetben az alkalmazandó adatvédelmi jogszabályokkal összhangban dolgozza fel, és betartja az esetleges kötelező egyedi tárhely- és feldolgozási feltételeket.
5.4 Beépített adatvédelem / alapértelmezett adatvédelem
Amint azt a jelen Szabályzatban tett kötelezettségvállalások is bizonyítják, a CGI elkötelezett az általa kezelt személyes adatok megfelelő szintű védelmének biztosítása mellett. Annak biztosítása érdekében, hogy a jelen Szabályzatban meghatározott elveket a CGI a személyes adatok feldolgozása során ténylegesen figyelembe vegye, a CGI egy új projekt kezdetén azonosítja és kezeli az adatvédelmi korlátokat, hogy a jelen Szabályzatban foglalt elveket a projekt tervezése során figyelembe vegyék és megfelelően végrehajtsák.
Amikor a CGI adatfeldolgozóként jár el, az adatvédelmi szervezet felülvizsgálja és jóváhagyja az ügyfél számára kidolgozott ajánlat és/vagy szolgáltatás adatvédelmi szempontjait. Amennyiben a CGI adatkezelőként jár el, az adatvédelmi szervezetnek minden új CGI belső projektet jóvá kell hagynia a fejlesztés megkezdése és a későbbi végrehajtás előtt.
- 6 – Adatvédelmi incidensek és adatszivárgások kezelése
-
6.1 Incidensek kezelése
A CGI rendelkezik egy kiforrott, szabványokon alapuló biztonsági incidensekre való reagálási és kezelési folyamattal, amelyet a biztonsági incidensek minden fázisának kezelésére terveztek. A tagok felelőssége minden szinten világosan meghatározott. Az incidensek értékelésére és rangsorolására vonatkozó szabványokat a megfelelő elkötelezettségi szintek és az időben történő megoldás biztosítása érdekében követik. Az incidensekről nyilvántartást vezetnek, és szükség szerint jelentést tesznek a felső vezetésnek. A magas prioritású incidenseket a CGI 24x7-es globális biztonsági műveleti központja (SOC) kezeli, ahol magasan képzett, teljes munkaidős incidenskezelési szakemberek koordinálják a válaszadási erőfeszítéseket. A CGI adatvédelmi csoportját azonnal bevonják az incidenskezelési folyamatba, ha felmerül a személyes adatok érintettségének gyanúja.
6.2 Értesítés személyes adatok megsértéséről
Akár adatkezelőként, akár adatfeldolgozóként jár el, ha a CGI ésszerűen úgy véli, hogy a biztonság megsértése a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan nyilvánosságra hozatalához vagy az azokhoz való jogosulatlan hozzáféréshez vezetett, a CGI a biztonsági incidensről értesítést és állapotfrissítést küld az illetékes adatvédelmi hatóságnak, az érintetteknek és/vagy az adatkezelőnek, a vonatkozó adatvédelmi jogszabályokkal vagy bármely más helyi alkalmazandó jogszabállyal összhangban.
Hasonlóképpen, és az egyértelműség kedvéért, amennyiben a CGI által megbízott harmadik fél azonosítja a személyes adatok megsértését, a harmadik félnek a vonatkozó megállapodásban foglaltak szerint tájékoztatnia kell a CGI-t. Minden más harmadik fél személyes adatok megsértésének gyanúját a következőhöz címen jelentheti: cseeprivacy@cgi.com.
- 7 – Kivel osztjuk meg az Ön személyes adatait?
-
A CGI műveleteinek részeként gyűjthetjük az Ön személyes adatait, és továbbíthatjuk azokat:
- CGI jogi személyeknek, amely esetben globális szolgáltatási modellünk részeként Ön teljes körű megoldásaink és szolgáltatásaink előnyeit élvezheti;
- a CGI által megbízott harmadik feleknek, akik árukat szállítanak a CGI-nek vagy szolgáltatásokat nyújtanak a nevünkben (pl. beszállítók, alvállalkozók és szabadúszók);
- egyes szabályozás alá eső szakembereknek (pl. bankok, ügyvédek, közjegyzők és könyvvizsgálók).
A CGI nyilvánosságra hozza az Ön személyes adatait, ha a CGI jogainak védelme és a rendelkezésre álló jogorvoslatok gyakorlása, a CGI általános szerződési feltételeinek érvényesítése, csalás kivizsgálása, illetve a CGI működésének vagy felhasználóinak védelme érdekében a nyilvánosságra hozatal ésszerűen szükséges.
A CGI az Ön személyes adatait közigazgatási, bírósági vagy kormányzati hatóságok, állami szervek vagy közintézmények számára is nyilvánosságra hozhatja, szigorúan az alkalmazandó adatvédelmi jogszabályokkal és a helyi jogszabályokkal összhangban, valamint az adatok nyilvánosságra hozatalára vonatkozó bármely határozat jogszerűségének gondos vizsgálatát követően. Ha a CGI a célország joga alapján erre okot talál, a határozatot megtámadja, és a helyi jogszabályokkal összhangban tájékoztatja Önt az esetleges döntésről.
- 8 – Személyes adatok továbbítása
-
Az uniós személyes adatok továbbítása az EU-ban lakóhellyel rendelkező személyek vagy az EU-ban található érintettek személyes adatainak az EGT-n kívüli harmadik országban történő feldolgozására (pl. hozzáférés, küldés, felhasználás, megtekintés, másolás, törlés) vonatkozik.
8.1 A CGI-n belül
Az adatkezelőként vagy adatfeldolgozóként eljáró CGI a vonatkozó adatvédelmi jogszabályokkal és a CGI kötelező erejű vállalati szabályaival (Binding Corporate Rules – BCR) összhangban továbbítja az uniós személyes adatokat, amelyeket a francia felügyeleti hatóság 2021. július 22-én a GDPR alapján hagyott jóvá. Ez azt jelenti, hogy az Ön mint érintett jogai ugyanazok maradnak, függetlenül attól, hogy a személyes adatok feldolgozása hol történik.
Amennyiben a CGI Kötelező erejű vállalati szabályaival (BCR) kapcsolatban bármilyen információra van szüksége, kérjük, tekintse meg a Kötelező erejű vállalati szabályokat vagy az Európai Adatvédelmi Testület nyilvántartását.
Amikor a CGI adatfeldolgozóként jár el, az adattovábbítás megkezdése előtt az adatkezelőtől írásban előzetes külön vagy általános hozzájárulás szükséges az adott adattovábbításra vonatkozóan (GDPR 44. és azt követő cikkek).
Az EU-n kívüli személyes adatok továbbítása az alkalmazandó adatvédelmi jogszabályokkal összhangban történik.
8.2 Harmadik felek felé
Amikor a CGI harmadik feleket vesz igénybe a személyes adatok feldolgozásához, biztosítja, hogy ezek a harmadik felek az alkalmazandó adatvédelmi jogszabályok alapján megfelelő szintű védelmet nyújtsanak az általuk feldolgozott személyes adatoknak. A CGI rendszeresen elvégezteti az átvilágítást és a harmadik felek adatvédelmi és biztonsági kockázatainak értékelését a CGI által megbízott harmadik felekkel, hogy megállapítsa a vállalati képességeket és érettséget a biztonság és az adatvédelem tekintetében, mielőtt a CGI adatfeldolgozási megállapodást kötne a CGI által a GDPR 28 (3) cikke vagy 26. cikke alapján, amennyiben szükséges. Ha az ilyen adatkezelés az EU-n vagy az EGT-n kívüli országokat érint, a megfelelő adattovábbítási mechanizmusra vonatkozó megállapodásokat kell alkalmazni (GDPR 44. és azt követő cikkei).
- 9 – Milyen jogai vannak Önnek, és hogyan gyakorolhatja azokat?
-
Az érintetteknek a vonatkozó adatvédelmi jogszabályok értelmében számos joguk van arra, hogy hozzáférést kérjenek a CGI által tárolt személyes adataikhoz és/vagy tájékoztatást kérjenek arról, hogy a CGI hogyan kezeli személyes adataikat. Ha bármilyen kérdése van a személyes adatai feldolgozásával kapcsolatban, kérjük, küldje hivatalos kérelmét a cseeprivacy@cgi.com címre.
Adatfeldolgozóként eljárva a CGI kérésre az ügyfelei rendelkezésére bocsátja a vonatkozó információkat, amelyek lehetővé teszik az ügyfelek számára, hogy eleget tegyenek az érintettekkel szemben fennálló kötelezettségeiknek. Hacsak a szerződéses megállapodás másként nem rendelkezik, a CGI nem köteles az érintetteket közvetlenül tájékoztatni, mivel ez továbbra is az adatkezelő felelőssége.
Az alkalmazandó adatvédelmi jogszabályok értelmében, amennyiben a CGI adatkezelőként jár el, Önt általában a következő jogok illetik meg:
- a személyes adatokhoz való hozzáférés és azok másolatának megszerzése;
- a pontatlan vagy hiányos személyes adatok helyesbítése vagy törlése;
- jogos okokból bármikor tiltakozhat személyes adatainak feldolgozása ellen, kivéve, ha az ilyen feldolgozást az alkalmazandó adatvédelmi jogszabályok vagy bármely helyi jogszabály előírja;
- az Ön személyes adatai feldolgozásának korlátozása, ha az már nem pontos vagy nem szükséges;
- hogy személyes adatait strukturált, általánosan használt és géppel olvasható formátumban kapja meg;
- személyes adatai feldolgozásához adott hozzájárulásának visszavonása;
- panasz benyújtása az illetékes felügyeleti hatóságnál:
a CGI IT Czech Republic s.r.o. esetében az elsődleges illetékes felügyeleti hatóság: Úřad pro ochranu osobních údajů a CGI Slovakia s.r.o. esetében az elsődleges illetékes felügyeleti hatóság: Úrad na ochranu osobných údajov a CGI IT Consulting Hungary Kft. esetében az elsődleges illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság.
A CGI a GDPR 22. cikke alapján általában nem alkalmazza az Ön személyes adatait profilalkotásra.
A CGI a vonatkozó személyes adatok felkutatása és rendelkezésre bocsátása során a vonatkozó adatvédelmi jogszabályoknak és egyéb vonatkozó jogi és szerződéses kötelezettségeknek megfelelően jár el. A CGI a személyes adatokat feldolgozó adatfeldolgozóktól ugyanezt fogja megkövetelni. Lehetséges, hogy a CGI-nek további kérdéseket kell feltennie Önnek az Ön személyes adataival kapcsolatban, vagy személyazonosságának ellenőrzése céljából.
A munkaszerződések bármilyen okból történő megszűnése esetén a CGI a korábbi alkalmazottak személyes adatait addig őrzi meg, ameddig az alkalmazandó törvények és rendeletek megengedik, és ameddig az a megfelelő folyamatos juttatások és szolgáltatások (például a tagi részvényprogramok és a nyugdíjkezelés) biztosításához szükséges.
- 10 – A Szabályzatnak való megfelelés
-
10.1 Tagok általi megfelelés
A tagok tudomásul veszik a követelményeket, és évente megerősítik e Szabályzat elfogadását. A jelen Szabályzaton kívül a tagoknak egyéb vonatkozó titoktartási és adatvédelmi kötelezettségeknek is meg kell felelniük, beleértve az alkalmazandó adatvédelmi jogszabályokban, a munkaszerződésekben, valamint a CGI szabályzataiban, folyamataiban és szabványaiban vagy az ügyfél utasításaiban foglaltakat.
A tagok kötelesek részt venni a CGI kötelező adatvédelmi képzéseiben és tudatossági programjaiban. Ezek közé tartoznak többek között a kötelező webes adatvédelmi, információbiztonsági, korrupcióellenes és nyilvántartáskezelési képzések, kommunikációs kampányok és a szervezeten belüli különböző funkciókhoz igazított speciális képzések.
Ezeket a képzéseket és tudatosságnövelő programokat rendszeresen frissítjük az alkalmazandó adatvédelmi jogszabályok változásainak tükrözése érdekében.
10.2 A CGI által megbízott harmadik fél általi megfelelés
Abban az esetben, ha harmadik fél a CGI nevében személyes adatokat dolgoz fel, az ilyen harmadik fél köteles:
- biztosítani, hogy a CGI bizalmas információihoz hozzáférő és a személyes adatokat a CGI nevében feldolgozó munkatársai a CGI és a harmadik fél között aláírt megállapodás hatálybalépését követő 30 napon belül elvégeznek minden, a CGI által előírt kötelező képzést (beleértve a biztonsági és adatvédelmi tudatossági elektronikus képzéseket);
- a CGI és ügyfelei és/vagy partnerei közötti szerződéses megállapodásokban foglalt egyéb biztonsági ellenőrzéseken túlmenően betartani a jelen Szabályzatot és a CGI biztonsági irányelveit és szabványait;
- a személyes adatokat a CGI dokumentált utasításainak megfelelően és kizárólag a CGI által kifejezetten és írásban meghatározott célokból feldolgozni, kivéve, ha erre bármely kötelező jogszabály kötelezi. Ebben az esetben a harmadik fél a feldolgozás előtt haladéktalanul tájékoztatja a CGI-t erről a jogi kötelezettségről;
- megfelelő technikai, szervezeti és szerződéses intézkedéseket végrehajtani és fenntartani a személyes adatok megfelelő szintű védelmének biztosítása, valamint a személyes adatok jogosulatlan vagy jogellenes feldolgozásának, illetve a személyes adatok véletlen elvesztésének, megsemmisülésének vagy károsodásának megakadályozása érdekében. Ezeknek az intézkedéseknek (i) figyelembe kell venniük a legmagasabb szintű előírásokat és az adatkezelési tevékenységek által jelentett kockázatokat; (ii) azokat úgy kell kialakítani, hogy az adatvédelmi elveket hatékonyan alkalmazzák, és az adatkezelési tevékenységeket ellássák a szükséges biztosítékokkal az alkalmazandó adatvédelmi jogszabályok követelményeinek teljesítése érdekében.
- a törvény által megengedett mértékben értesíteni a CGI-t minden olyan, a CGI személyes adatainak nyilvánosságra hozatalára vonatkozó kérésről, amelyet harmadik féltől, hatóságtól vagy bíróságtól kap, valamint minden olyan, a CGI személyes adatainak feldolgozásával kapcsolatos cselekményről és/vagy intézkedésről, amelyet a hatóságok vizsgálnak;
- teljesíteni a CGI által a CGI személyes adatokhoz való hozzáférésre, helyesbítésre, zárolásra, helyreállításra, törlésre és tiltakozásra irányuló bármely kérést, valamint biztosítja a CGI személyes adatok hordozhatóságát és az elfeledtetéshez való jogot;
- haladéktalanul értesíteni a CGI-t minden olyan változásról, amely hatással lehet a CGI személyes adatainak feldolgozására;
- aktívan együttműködni a CGI-vel a személyes adatok CGI általi feldolgozása megfelelőségének értékelése és dokumentálása érdekében, beleértve a CGI számára minden olyan információt, amelyre a CGI-nek szüksége van, vagy amelyet a CGI az alkalmazandó adatvédelmi jogszabályoknak való megfeleléshez kérhet (beleértve az adattovábbítási hatásvizsgálathoz szükséges információkat);
- haladéktalanul írásban tájékoztatni a CGI-t, ha véleménye szerint a CGI bármely, a CGI személyes adatainak feldolgozására vonatkozó utasítása sérti az alkalmazandó adatvédelmi jogszabályokat.
- 11 – Feldolgozási tevékenységek nyilvántartása
-
A CGI nyilvántartást vezet az adatkezelőként vagy adatfeldolgozóként végzett adatkezelési tevékenységekről. Gondoskodik arról, hogy a személyes adatok minden új feldolgozását rögzítsék az adatkezelési nyilvántartásban, az egyes személyes adatok feldolgozásának kontextusára vonatkozó releváns információkkal együtt. A CGI a felügyeleti hatóság kérésére annak rendelkezésére bocsátja az adatkezelésről készült nyilvántartás(oka)t.
- 12 – A jelen Szabályzat módosításai
-
Ez a Szabályzat időről időre módosítható, hogy megfeleljen az alkalmazandó adatvédelmi előírásoknak és helyi jogszabályoknak. A CGI gondoskodik arról, hogy az érintetteket a CGI.com oldalon megjelenő “frissítés”, e-mail vagy más megfelelő kommunikációs módszer útján haladéktalanul értesítse a Szabályzat lényeges változásairól. Amennyiben Önnek állapotfrissítésre van szüksége, a cseeprivacy@cgi.com címre küldött e-mailben kérheti ezt.
- 13 – Adatvédelmi szervezet – Kérdések
-
A CGI adatvédelmi főtisztviselőt nevezett ki, aki felügyeli a CGI globális adatvédelmi stratégiáját, a vállalati szintű adatvédelmi irányelveket és eljárásokat, valamint az adatvédelmi jogszabályoknak való megfelelést, továbbá az adatvédelmi üzleti partnerek hálózatát.
A CGI IT Czech Republic s.r.o., Laurinova 2800/4, Praha 5, 155 00, Csehország, az alkalmazandó adatvédelmi jogszabályoknak megfelelően adatvédelmi üzleti partnert is kinevezett a Cseh Köztársaság, Szlovákia és Kelet-Európa számára.
A jelen Szabályzat értelmezésével vagy működésével kapcsolatos kérdések vagy aggályok esetén kérjük, küldjön e-mailt a következő címre: cseeprivacy@com vagy vegye fel a kapcsolatot az adatvédelmi tisztviselővel az IT Czech Republic s.r.o., Laurinova 2800/4, Praha 5, 155 00 Cseh Köztársaság címen.