ADATVÉDELMI SZABÁLYZAT
Adatvédelmi szabályzat
Ángyán Ramóna E.V., mint Adatkezelő (székhelye: 1114 Budapest, Villányi út 6. 4. em. 1.A., Nyilvántartási szám: 55295024, adószáma: 56628221-1-43) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló Európai Parlament és Tanács 2016/679 rendeletének (EU rendelet) megfelelően alábbi Adatvédelmi Szabályzatot hozza létre:
I. Bevezetés
-
A szabályzat célja
Az Adatkezelő jelen szabályzat rendelkezéseinek megalkotásával, betartásával és betartatásával olyan szervezési és technikai intézkedéseket hajt végre vállalkozásában, hogy a vele kapcsolatba kerülő természetes személyek személyes adatait a vonatkozó EU rendelettel összhangban kezelje. Az Adatkezelő kötelezi magát ezen szabályzat rendelkezéseinek egyoldalú betartására és kéri, hogy azokat ügyfelei, partnerei is fogadják el és tartsák be.
Az Adatkezelő tevékenysége során fokozottan ügyel a személyes adatok jogszerű beszerzésére, biztonságos tárolására, kezelésére, védelmére, valamint a vonatkozó hatályos jogszabályok betartására, a biztonságos és tisztességes adatkezelésre.
Az Adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése az EU rendelettel összhangban történik. Ezeket az intézkedéseket jelen szabályzat alapján az Adatkezelő folyamatosan felülvizsgálja, és szükség esetén módosítja.
Az Adatkezelő fenntartja a jogot, hogy az adatvédelmi szabályzatot egyoldalúan módosítsa.
2. Értelmező rendelkezések
A jelen szabályzatban használt fogalmakat az Adatkezelő az alábbiak szerint értelmezi és használja:
Személyes adat: Azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Érintett: Az a természetes személy, aki személyes adatát bocsátja, vagy akinek személyes adatát bocsátják a Társaság rendelkezésére.
Adatkezelés: A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelő: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Adatfeldolgozó: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik.
Adattovábbítás: Az adat meghatározott 3. személy számára történő hozzáférhetővé tétele.
Nyilvánosságra hozatal: Az adat bárki számára történő hozzáférhetővé tétele.
Adattörlés: Az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.
Adatmegsemmisítés: Az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.
Nyilvántartási rendszer: A személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
Érintett hozzájárulása: Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Címzett: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
Harmadik fél: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Adatvédelmi incidens: A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
II. Az adatkezelés alapelvei
Az Adatkezelő személyes adatot csak a jelen szabályzatban meghatározott célból, jogai gyakorlása és kötelezettségei teljesítése érdekében kezelhet. Csak olyan személyes adat kezelhető, amely az Adatkezelő által meghatározott adatkezelési célmegvalósulásához elengedhetetlen és a meghatározott cél elérésére alkalmas. A személyes adat csak a cél eléréséhez szükséges mértékben és ideig használható fel. Az adatkezelésnek, annak minden szakaszában meg kell felelnie ezen alapelvnek és az alábbi alapelvi szintű követelményeknek:
1. Jogszerűség, tisztességes eljárás és átláthatóság: A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
2. Célhoz kötöttség: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon.
3. Adattakarékosság: A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
4. Pontosság: A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
5. Korlátozott tárolhatóság: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
6. Integritás és bizalmas jelleg: A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
7. 16. életévét be nem töltött személy adatainak védelme: A 16. életévét be nem töltött személy érintett személyes adatai csak a törvényes képviselő hozzájárulása esetén kezelhetők.
III. Az adatkezelés célja, jogalapjai
-
Az adatkezelés célja, hogy az Adatkezelő létesítő okiratban meghatározott tevékenységi köreinek gyakorlása során vele jogviszonyba (polgári jogi, munkajogi, közigazgatási jogi stb.) kerülő természetes személyek adatait jogai gyakorlása során és kötelezettségei teljesítése érdekében, a szükséges mértékben kezelje. Az Adatkezelő törekszik arra, hogy csak olyan személyes adat kezelésére kerüljön sor, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés célja elsősorban az Adatkezelő szolgáltatásainak nyújtása, kereskedelmi és szerződéses kapcsolatainak létrejötte, teljesítése.
Adatkezelő az érintett adatait kizárólag az alábbi esetekben kezelheti (jogalapok):
a) az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő intézkedések megtételéhez szükséges;
3) az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
4) az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
5) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
6) az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
2. Adatkezelő kizárólag az Érintettek, vagy az Adatkezelő szolgáltatását igénybe vevő jogalanyok által, a megrendelt szolgáltatás teljesítése érdekében megadott személyes adatokat kezeli, adatokat más forrásból nem gyűjt. Az adatok megadása az Érintett regisztrációja, illetőleg a szolgáltatás megrendelése során e-mailben történik. Bármely Érintett e-mail címének valamint a regisztráció során megadott adatainak (pl. felhasználó név, azonosító, jelszó stb.) megadásakor egyben felelősséget vállal azért, hogy a megadott e-mail címről, illetőleg az általa megadott adatok felhasználásával kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen és/vagy adatokkal történt belépésekkel összefüggő mindennemű felelősség kizárólag azt az Érintettet terheli, aki az e-mail címet regisztrálta és az adatokat megadta.
3. Adatkezelő az alábbi esetekben kezel adatot:
a) Munkavállaló adatainak rögzítése a munkaviszony létesítésével, módosításával, megszüntetésével kapcsolatban – GDPR 6. cikk (1) bek. b), c)
b) Munkavállaló adatainak rögzítése cafeteria juttatás céljából (Erzsébet-utalvány, Egészségpénztár) – GDPR 6. cikk (1) bek. a)
c) Munkavállaló adatainak rögzítése adókedvezmények igénybevétele céljából – GDPR 6. cikk (1) bek. a)
d) Munkavállaló adatainak rögzítése üzemorvosi vizsgálat céljából – GDPR 6. cikk (1) bek. c)
e) Munkavállaló adatainak rögzítése Adatkezelő informatikai rendszeréhez történő hozzáférés céljából – GDPR 6. cikk (1) bek. a)
f) Partnercégek által alkalmazott kapcsolattartók adatainak kezelése a partnercégekkel való ügyintézés céljából – GDPR 6. cikk (1) bek. a)
g) Megrendelők adatainak rögzítése az inverzyoga.hu-n elérhető szolgáltatások igénybevétele illetőleg a szolgáltatás igénybevételével kapcsolatos számlázás céljából – GDPR 6. cikk (1) bek. a)
h) Megrendelőkről fénykép-, illetőleg videó felvétel készítése biztonsági-, oktatási-, illetőleg reklám célból – GDPR 6. cikk (1) bek. a)
4. Adatkezelő által kezelt adatok köre:
a) Munkavállalók (név, születési név, születés helye és ideje, anyja neve, lakcíme, állampolgársága, személyazonosító igazolvány száma, adóazonosító jele, TAJ száma, bankszámlaszáma, iskolai végzettségre vonatkozó adatok, házastárs neve és adóazonosító jele, gyermek neve és adóazonosító jele, egészségügyi kiskönyv, e-mail cím)
b) Partnercégek által alkalmazott kapcsolattartók (név, cím, telefonszán, fax, mobiltelefonszám, beosztás, e-mail cím)
c) Megrendelők (név, törvényes képviselő neve, életkora, telefonszám, e-mail cím, lakcím, fényképfelvétel, videófelvétel)
5. Címzettek kategóriái:
a) Munkavállalók esetében az Adatkezelő könyvelője, könyvvizsgálója, Nemzeti Adó- és Vámhivatal, Erzsébet-kártya kibocsátó, Egészségpénztár, Adatkezelő jogásza, Adatkezelő informatikusa.
b) Partnercégek által alkalmazott kapcsolattartók adatait Adatkezelő csak belső használatra gyűjti.
c) Megrendelők adatait Adatkezelő belső használatra gyűjti azzal, hogy a Megrendelő részére kiállított számlát köteles könyvelés céljából a könyvelő részére átadni, illetőleg jogvita esetén jogosult Megrendelők adatait ügyvéd részére átadni.
d) Megrendelőkről készült fényképfelvételeket, videófelvételeket kifejezett hozzájárulás esetén a honlapján, közösségi oldalán közzé teszi.
Az Adatkezelő az általa kezelt személyes adatokat a jelen pontban meghatározott címzetteken kívül harmadik félnek nem adja át. Az Adatkezelő bizonyos esetekben – hivatalos bírósági, rendőrségi megkeresés, jogi eljárás szerzői-, vagyoni- illetőleg egyéb jogsértés vagy ezek alapos gyanúja miatt a Társaság érdekeinek sérelme, a szolgáltatás biztosításának veszélyeztetése stb. – harmadik személyek számára hozzáférhetővé teszi az Érintett elérhető személyes adatait.
6. Különböző adatkategóriák törlésére előirányzott határidők:
a) Munkavállalók adatait Adatkezelő a vonatkozó jogszabályokban meghatározott ideig tárolja.
b) Partnercégek által alkalmazott kapcsolattartók adatait Adatkezelő legfeljebb a szerződéses jogviszony megszűnéséig tárolja.
c) Megrendelők adatait Adatkezelő legfeljebb 12 hónapig tárolja.
IV. Adatkezelés
1. Adattovábbítás: Az Adatkezelő személyes adatot csak akkor továbbít harmadik személy részére, ha ahhoz az Érintett egyértelműen hozzájárult, vagy az adattovábbításra jogszabály felhatalmazást ad.
Adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt Személyes adatot az illetékes hatóságoknak továbbítani, amely Személyes adat továbbítására őt jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen Adattovábbítás, valamint az ebből származó következmények miatt az Adatkezelő nem tehető felelőssé. Az Adatkezelő az adattovábbításokat minden esetben dokumentálja, és az adattovábbításokról nyilvántartást vezet.
2. Adatfeldolgozás: Az Adatkezelő tevékenysége ellátásához jogosult adatfeldolgozót igénybe venni. Az adatfeldolgozók önálló döntést nem hoznak, kizárólag az Adatkezelővel kötött szerződés, és a kapott utasítások szerint jogosultak eljárni. Az Adatkezelő ellenőrzi az adatfeldolgozók munkáját. Az adatfeldolgozók további adatfeldolgozó igénybevételére csak az Adatkezelő hozzájárulásával jogosultak. Az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik, vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. Az adatfeldolgozó az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az Adatkezelő minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az Adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
3. Külső szolgáltatók: Az Adatkezelő külső szolgáltatókat vesz igénybe, akikkel az Adatkezelő együttműködik. A külső szolgáltatók rendszereiben kezelt személyes adatok tekintetében a külső szolgáltatók saját adatvédelmi szabályzatában foglaltak az irányadók. Az Adatkezelő minden tőle telhetőt megtesz annak érdekében, hogy a külső szolgáltató a részére továbbított személyes adatokat a jogszabályoknak megfelelőn kezelje, és azokat kizárólag az Érintett által meghatározott vagy a Tájékoztatóban alább rögzített célra használja fel.
V. Az Érintett jogai
1. Hozzáférési jog/tájékoztatáshoz való jog: Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon.
2. Helyesbítéshez való jog: Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az Érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
3. Törléshez való jog: Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje a jogszabály által meghatározott esetekben.
4. Az adatkezelés korlátozásához való jog: Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.
5. Tiltakozáshoz való jog: Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
6. Az Érintett az adatokat önállóan adja meg, az Adatkezelő erre vonatkozóan semmilyen kötelező iránymutatást nem ad, tartalmi elvárásokat nem támaszt. Az Érintett az általa megadott adatok kezeléséhez kifejezetten hozzájárul. Az Érintett az Adatkezelő által kért adatokon kívül jogosult más adatok megadására, az adatok kezelésének jogalapja ebben az esetben is az Érintett önkéntes hozzájárulása. Az Adatkezelő az Érintett által az egyes honlapokra történő belépéskor az Érintett IP címét a szolgáltatás nyújtásához kapcsolódóan, az Adatkezelő jogos érdekére tekintettel és a szolgáltatás jogszerű biztosítása okán (pl. jogellenes felhasználás, illetőleg jogellenes tartalmak kiszűrése érdekében), az Érintett külön hozzájárulása nélkül is rögzíti.
VI. Az Adatkezelő kötelezettségei
Adatkezelőt az Érintett V. pontban meghatározott jogai érvényesülésének elősegítése érdekében az alábbi kötelezettségek terhelik:
1. Az Adatkezelő az Érintett részére az e törvényben meghatározott esetekben nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti.
2. Az Adatkezelő az Érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja és döntéséről az érintettet írásban, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti. Az Adatkezelő ezen jogok érvényesülésével kapcsolatban e törvényben meghatározott feladatait ingyenesen látja el.
3. Az előzetes tájékozódáshoz való jog érvényesülése érdekében az Adatkezelő az általa, illetőleg a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek megkezdését megelőzően vagy legkésőbb az elsőadatkezelési művelet megkezdését követően haladéktalanul azérintett számára hozzáférhetővé teszi
a) az adatkezelő és az adatfeldolgozó megnevezését és elérhetőségeit;
b) az adatvédelmi tisztviselő elérhetőségeit;
c) a tervezett adatkezelés célját;
d) az érintettet e törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését.
4. Az Adatkezelő az érintett számára tájékoztatást nyújt továbbá
a) az adatkezelés jogalapjáról;
b) a kezelt személyes adatok megőrzésének időtartamáról, ezen időtartam meghatározásának szempontjairól;
c) a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek köréről;
d) a kezelt személyes adatok gyűjtésének forrásáról;
e) az adatkezelés körülményeivel összefüggő minden további érdemi tényről.
5. A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére az adatkezelő tájékoztatja arról, hogy személyes adatait maga az Adatkezelő, illetőleg a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e.
6. A helyesbítéshez való jog érvényesülése érdekében az adatkezelő, ha az általa, illetőleg a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek, vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja vagy helyesbíti, illetőleg ha az az adatkezelés céljával összeegyeztethető, az Érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti.
7. Az Adatkezelő az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Az Adatkezelő a szerver üzemeltetőivel együtt olyan technikai, szervezési és szervezeti intézkedésekkel gondoskodik az adatok biztonságáról, ami az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
8. Az Adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Az Adatkezelő gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az irányadó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
9. A szervezeti intézkedések magukban foglalják az épületekben a fizikai hozzáférések ellenőrzését, a munkavállalók oktatását, a papír alapú akták elzárását megfelelő helyiségekbe. A technikai intézkedések magukban foglalják a rendszerekhez történő hozzáféréshez kapcsolódó titkosítást, jelszóvédelmet és a vírusírtó szoftverek használatát.
10. Adatkezelő nem köteles adatvédelmi tisztviselő kijelölésére, ugyanis az Adatkezelő nem minősül közhatalmi szervnek vagy közfeladatot ellátó szervnek, az adatkezelő tevékenységei nem foglalnak magukban olyan műveletet, amely az Érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, továbbá az Adatkezelő nem kezel különleges adatot, illetőleg büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményre vonatkozó személyes adatot.
VII. Adatvédelmi biztonság sérülése (adatvédelmi incidens)
1. Az adatvédelmi biztonság sérülése a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
2. Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
3. A fent írtakra figyelemmel Adatkezelő a tudomására jutott adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
4. Amennyiben a bejelentés 72 órán belül nem tehető meg, abban az esetben az Adatkezelőnek meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
5. Az adatvédelmi incidensről szóló bejelentésben az Adatkezelő:
-
ismerteti az adatvédelmi incidens jellegét, beleértve az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
-
közöli az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
-
ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
-
ismerteti az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
VIII. Az Érintett jogorvoslati lehetőségei
1. A felügyeleti hatóságnál történő panasztételhez való jog
Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden Érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti az EU rendeletet.
2. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
3. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak az EU rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
4. A kártérítéshez való jog és a felelősség
Minden olyan személy, aki az EU rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az EU rendeletet sértő adatkezelés okozott.
Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
5. Jogorvoslati tájékoztatás
-
Magyarországon az adatvédelmi felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhelye: 1125 Budapest, Szilágyi Erzsébet fasor 22/C
Elérhetősége: ugyfelszolgalat@naih.hu
-
A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
-
Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
IX. Alkalmazandó jogszabályok
-
Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)
-
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.);
-
1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről (Katv.);
-
2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (Eker. tv.);
-
2003. évi C. törvény az elektronikus hírközlésről (Eht.);
-
2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.);
-
2013. évi V. törvény a Polgári Törvénykönyvről (Ptk.);
-
1997. évi CLV. törvény a fogyasztóvédelemről.