Adatvédelmi nyilatkozat

I. Preambulum

Vasas Katalin egyéni vállalkozó (cím: 1015 Budapest, Ostrom utca 15.) (továbbiakban: Adatkezelő) „ARANYTALLÉR ÖRÖKJÁRADÉK Szolgáltatás” elnevezéssel tartási, életjáradéki és öröklési szerződések közvetítésével foglalkozik. Az ügyfelekkel kötött közvetítői szerződés alapján Adatkezelő tevékenységével igyekszik elősegíteni 65 év feletti, legalább 5 millió Forint forgalmi értékű saját tulajdonú, tehermentes lakással vagy házzal rendelkező nyugdíjasok mint járadékra jogosultak, továbbá járadékfizetésre kötelezettek közötti életjáradéki, tartási vagy öröklési szerződés megkötését.

Adatkezelő a fentiekben meghatározott tevékenysége körében és érdekében üzemelteti a www.aranytaller.hu internetes honlapot, valamint a tevékenységhez kapcsolódó esetleges Facebook, Instagram és Youtube oldalakat.

Az adatkezelés során irányadó jogszabályok:

  • az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.)
  • a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, az Európai Parlament és Tanács (EU) 2016/679 rendelete (továbbiakban: GDPR rendelet)
  • a Polgári Törvénykönyvről szóló 2013. évi V. tv. (továbbiakban: Ptk.).

Figyelemmel arra, hogy Adatkezelő, a jelen fejezetben meghatározott tevékenysége gyakorlása során az Infotv. és a GDPR rendelet szerinti adatkezelést végez, amely az érintettek hozzájárulásán alapuló adatkezelés, a GDPR rendelet 13-14. cikke alapján, Adatkezelő a jelen adatvédelmi szabályzat keretében, tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva tájékoztatja az érintetteket az adatkezeléssel összefüggő jogaikról és egyéb, az adatkezelésre vonatkozó szabályokról.

II. Értelmező rendelkezések, fogalmak

1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;

2. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

3. különleges adat:

  • a. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
  • b. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat, a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat.

4. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

5. érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

6. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

7. adatkezelő/szolgáltató: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját és eszközeit meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja – jelen adatvédelmi szabályzat vonatkozásában adatkezelőnek minősül Vasas Katalin egyéni vállalkozó, valamint a Preambulumban meghatározott tevékenység gyakorlása során vele munkaviszonyban, munkavégzésre irányuló egyéb jogviszonyban álló természetes és jogi személyek;

8. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, tagolása, átalakítása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, betekintése, közlés továbbítása, terjesztése, egyéb módon történő hozzáférhetővé tétele, korlátozása, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

9. adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

10. álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

11. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

12. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

13. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

14. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

15. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

16. adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

17. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

18. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;

19. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

20. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, aki vagy amely az adatkezelővel kötött szerződése alapján, adatkezelő nevében - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – személyes adatokat kezel, adatok feldolgozását végzi - jelen adatvédelmi szabályzat vonatkozásában adatfeldolgozónak minősül: Vasas Katalin. (informatikai rendszerek és honlap kezelését végző személy);

21. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;

22. adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatait honlapon közzéteszi;

23. adatállomány: az egy nyilvántartásban kezelt adatok összessége;

24. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

25. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

26. felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv – jelen esetben a Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c., tel.: +36 1 391 1400, e-mail: ugyfelszolgalat@naih.hu, képv.: dr. Péterfalvi Attila).

III. Személyes adatok kezelésére vonatkozó alapelvek, adatkezelés jogalapja

A személyes adatok kezelésére vonatkozó alapelvek:

a. kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b. gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR rendelet 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c. az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d. pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e. tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f. kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”);
g. az adatkezelő felelős az a-f) pontokban meghatározottaknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Adatkezelés jogalapja, jogszerűsége:

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (vagyis a különleges adatok) kezelése tilos, kivéve, ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az említett tilalom nem oldható fel az érintett hozzájárulásával; (…)

Adatkezelő a tevékenysége során tudomására jutott személyes és különleges adatokat az érintett személyes hozzájárulása, vagy a felek közötti szerződés, vagy az Adatkezelő jogos érdeke alapján kezeli. A jelen szabályzat 1. sz. mellékletét képező táblázatban valamennyi adatfajta mellett feltüntetésre került, hogy azokat az Adatkezelő milyen jogcímen kezeli.

IV. Adatgyűjtés ténye, kezelt adatok köre

Adatkezelő az adatkezeléssel és gyűjtéssel összefüggésben az alábbiakról köteles tájékoztatni az érintetteket:

  1. Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
    a. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
    b. az adatvédelmi tisztviselő elérhetőségei;
    c. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
    d. a GDPR rendelet 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
    e. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
    f. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

    A fentiekben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
    a. a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
    b. az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
    c. a GDPR rendelet 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
    d. a felügyeleti hatósághoz (NAIH) címzett panasz benyújtásának jogáról;
    e. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
    f. a GDPR rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
  2. Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
    a. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei; b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
    b. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
    c. az érintett személyes adatok kategóriái;
    d. a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
    e. adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

    Fenti információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
    a. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
    b. ha az adatkezelés a GDPR rendelet 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
    c. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
    d. a GDPR rendelet 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
    e. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
    f. a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
    g. a GDPR rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Adatkezelő a fentiekben meghatározott, tájékoztatás tárgyát képező információkról átlátható és egyszerű formában, a jelen szabályzat mellékletét képező összefoglaló táblázatban tájékoztatja az érintetteket akként, hogy az érintettel való első kapcsolatfelvétel alkalmával a jelen szabályzatot teljes terjedelmében az érintett számára hozzáférhetővé teszi.

Az érintettek vállalják, hogy adataikban bekövetkező változásokról haladéktalanul, írásban tájékoztatják az Adatkezelőt. A tájékoztatás elmaradásából eredő károkért Adatkezelő nem felel.

Adatkezelő tájékoztatja az érintetteket, hogy a tőlük gyűjtött, vagy vonatkozásukban mástól megkapott adatokat kizárólag az adatkezelés céljával összhangban, annak megfelelő ideig, a vonatkozó jogszabályi előírásoknak megfelelően kezeli és/vagy dolgozza fel, esetlegesen továbbítja.

V. Az érintettek adatkezeléssel kapcsolatos jogai

1. Az érintett hozzáférési joga:

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a. az adatkezelés céljai;
b. az érintett személyes adatok kategóriái;
c. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen (lsd. 2. pont);
f. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga (lsd. 3. pont);
g. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h. a GDPR rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat (1.000,- Ft) számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

2. Helyesbítéshez való jog:

Az érintett jogosult arra, hogy kérésére Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

3. Törléshez való jog („elfeledtetéshez való jog”):

Az érintett jogosult arra, hogy kérésére Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c. az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d. a személyes adatokat jogellenesen kezelték;
e. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f. a személyes adatok gyűjtésére a GDPR rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha Adatkezelő nyilvánosságra hozta a személyes adatot, és azt a fentiek alapján törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A törlés nem alkalmazandó, amennyiben az adatkezelés szükséges:

a. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c. a GDPR rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d. közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

4. Korlátozáshoz való jog:

Az érintett jogosult arra, hogy kérésére Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d. az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Adatkezelő az adatok helyesbítéséről, törléséről, korlátozásáról tájékoztatja azokat a címzetteket, akikkel a személyes adatot közölte, kivéve, ha ez aránytalanul nagy erőfeszítést igényelne vagy lehetetlen lenne. Az érintett kérésére az adatkezelő tájékoztatja ezekről a címzettekről.

5. Adathordozhatósághoz való jog:

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a. az adatkezelés hozzájáruláson vagy szerződésen alapul; és
b. az adatkezelés automatizált módon történik.

Az adatok hordozhatóságához való jog fentiek szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.

VI. Honlapok, internetes közösségi oldalak adatkezelése, cookie-k, direkt marketing

Adakezelő kezeli és üzemelteti a www.aranytaller.hu honlapot, továbbá Aranytallér Örökjáradék Facebook, Instagram és Youtube közösségi oldalakat. Nevezett honlapokon és közösségi oldalakon az Adatkezelő kizárólag a saját tevékenységével összefüggésben gyűjtött, kapott és kezelt adatokat kizárólag tájékoztatás, népszerűsítés céljából, az érintett személy hozzájárulása alapján teszi közzé egészen addig, ameddig az adott honlap tartalmának archiválásról nem dönt az Adatkezelő, vagy ameddig az adott közösségi oldal létezik és az Adatkezelő nem törli onnan a tárgybeli személyes adatot saját döntése, az érintett személy kérése vagy hatóság, bíróság erre vonatkozó kötelezése alapján.

Adatkezelő felhívja az Érintettek figyelmét, hogy a Facebook, a Youtube és az Instagram saját adatkezelési és adatvédelmi szabályzattal rendelkezik, az Érintettek által az egyes, Adatkezelő tevékenységével kapcsolatos és általa üzemeltetett közösségi oldalakon elhelyezett tartalmakért adatkezelői és/vagy feldolgozói felelősséget nem vállal.

Érintettek a fentiekben megadott honlapokra és közösségi oldalakra történő belépéssel, továbbá ez utóbbiak esetén vélemény, bejegyzés közzétételével a jelen adatkezelési szabályzat rendelkezéseit magukra nézve kötelezőnek fogadják el.

COOKIE-K (SÜTIK) KEZELÉSE

A jelen fejeztben meghatározott honlapok érintettek általi látogatása során az érintettek számítógépén az alábbi cookie-k (sütik) keletkezhetnek, tárolódhatnak, amelyek célja, hogy az adott weboldal mindig felismerje az érintett személy böngészőjét. A cookie-k (sütik) kisméretű fájlok, amelyeket a böngésző az érintett számítógépének merevlemezén tárol.

A cookie-k funkciójuk, időtartamuk és az őket elhelyező fél szempontjából az alábbiak lehetnek:

a) Technikai cookie: ezekre azért van szükség, hogy egy weboldal és annak adott funkciói (műszakilag) működjenek az érintettek számítógépén. Ilyen eset lehet például egy weboldal zárt vagy védett részeihez történő hozzáférés. Az ilyen típusú cookie nélkül egyes szolgáltatások, például a bejelentkezés nem működhet. Ezek a cookie fajták az adott weboldal látogatásának idejére korlátozódnak, a weboldal elhagyását követően törlődnek az érintett számítógépéről.
b) Elemző cookie: információkat gyűjt arról, hogy az érintettek hogyan használják a weboldalt. Például: melyik oldalt látogatják a leggyakrabban, és mi a hibaüzenetek megjelenésének oka. Az ilyen típusú cookie-k célja, hogy megmutassák a weboldal tulajdonosának a weboldal működését és segítséget nyújtsanak annak javítása során. A cookie ezzel ahhoz is hozzájárul, hogy az érintettek kényelmesebben tudják használni a weboldalt. Ezek az elemző cookie-k a weboldal elhagyását követően sem törlődnek az érintett személy számítógépéről.
c) Funkcionális cookie: feladata, hogy megjegyezze a felhasználó különböző döntéseit: például a kívánt felhasználónevet, a pénznemet, az alkalmazni kívánt nyelvet vagy régiót. A felhasználónak így nem kell minden alkalommal újból beírnia az adatait és az általa előnyben részesített beállításokat. A funkcionális cookie ezzel hozzájárul, hogy a látogatók kényelmesebben tudják használni a weboldalt. Ezek a funkcionális cookie-k a weboldal elhagyását követően sem törlődnek az érintett személy számítógépéről.
d) Reklámcélú cookie: céljuk, hogy a hirdetéseket lehetőség szerint a weboldal használójához illesszék, így biztosítva, hogy ne mindig ugyanaz a reklám jelenjen meg a felületen. Ezen kívül segítségükkel a reklámkampányok eredményessége is vizsgálható. A hirdető hálózatok ezeket általában a weboldal kezelőjének jóváhagyásával helyezik el. Ezek a cookie-k regisztrálják, hogy a felhasználó ellátogat egy adott weboldalra. A reklámcélú cookie-k a weboldal elhagyása után sem törlődnek az érintett személy számítógépéről.

A böngésző (például Internet Explorer, Safari, Firefox, Mozilla vagy Chrome) beállításainál az érintett megadhatja, hogy elfogadja-e a cookie-kat, és ha igen, melyeket. Ezek a beállítások az egyes böngészők esetében más-más helyen találhatók. Böngészője Súgó funkcióján belül megtalálhatja ezek pontos helyét és az eljárás módját. Amennyiben az érintett (egyes) cookie-kat nem kíván elfogadni, akkor előfordulhat, hogy a fentiekben megjelölt weboldalak bizonyos funkcióit nem, vagy nem teljes mértékben tudja használni.
Ha nem szeretne reklám cookie-kat fogadni, akkor böngészőjében állítsa be a „do not track” (Ne kövessen) funkciót.

Sütiket kezel még továbbá:
Google: https://policies.google.com/technologies/cookies
Facebook: https://hu-hu.facebook.com/policies/cookies/

Direkt Marketing – hírlevél

Adatkezelő tájékoztató és reklámcélú hírleveleket küldhet az érintett személyeknek elektronikus úton (e-mail).

Hírlevélküldés körében az adatkezelés jogalapja: az Adatkezelő jogos érdeke (ügyfél – szolgáltató kapcsolat), valamint az érintett előzetes hozzájárulása.

A GDPR rendelet preambulumának (47) bekezdése alapján az érintett és az Adatkezelő között fennálló ügyfél kapcsolat megteremti a jogalapot (jogos érdeken alapuló adatkezelés) a hasonló termékre, szolgáltatásra vonatkozó reklám- és/vagy tájékoztatási célú hírlevél küldésére. Adatkezelő minden esetben biztosítja az érintettek részére a hírlevélről történő leiratkozás lehetőségét.

A hírlevélküldés során az adatkezelés időtartamát, célját, jogalapját, az érintettek körét a jelen szabályzat mellékletét képező táblázatban Adatkezelő feltüntette.

VII. Előzetes hatásvizsgálat

Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel - valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően az Adatkezelő hatásvizsgálatot folytat le arra vonatkozóan, hogy a tervezett adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlen egy hatásvizsgálat keretében is elvégezhetők.

A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. Az Adatkezelő szükség szerint, de legalább a kockázatok változása esetén ellenőrzést folytat le annak értékelésére, hogy a személyes adatok kezelése a hatásvizsgálatnak megfelelően történik-e.

A hatásvizsgálat kiterjed legalább:

a. a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
b. az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
c. az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
d. a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

VIII. Érdekmérlegelési teszt

Amennyiben a személyes adatok kezelésének jogalapját a GDPR 6. cikk (1) bekezdés f) pontja jelenti, az adatkezelési folyamat akkor és annyiban lesz jogszerű, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

Az adatkezelés jogszerűségének vizsgálatához az Adatkezelő elvégez egy érdekmérlegelési tesztet, amely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja és megfelelően alátámasztja. Az érdekmérlegelési teszt során az Adatkezelő azonosítja jogos érdekét az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel kell vizsgálni. Adatkezelő a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát stb. Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is el kell végezni, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradni. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére. Ennek eredményeként Adatkezelő megállapítja, hogy az érintett személyes adatai kezelhetők-e. A teszt eredményéről az érintetteket az Adatkezelő köteles tájékoztatni, amelyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, hogy az Adatkezelő az érintett beleegyezése nélkül kezeli a személyes adatot.

Az érdekmérlegelési teszt alkalmazása során az Adatkezelő különösen az alábbi szempontokat köteles vizsgálni:

1. lépés: Adatkezelő a tervezett adatkezelés megkezdése előtt áttekinti, hogy a célja elérése érdekében feltétlenül szükséges-e az adott személyes adat kezelése: rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.
2. lépés: Adatkezelő a jogos érdekét a lehető legpontosabban meghatározza.
3. lépés: Adatkezelő meghatározza, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek.
4. lépés: Adatkezelő meghatározza, hogy az érintetteknek mik lehetnek az érdekeik az adott adatkezelés vonatkozásában (például azok a szempontok, amelyeket az érintettek felhozhatnának az adatkezeléssel szemben).
5. lépés: Adatkezelő elvégzi jogos érdekeinek és az érintettek érdekeinek, alapjogainak súlyozását és ez alapján megállapítja, hogy a személyes adat kezelhető-e. Adatkezelő meghatározza, hogy miért korlátozza arányosan a saját jogos érdeke – és az ennek alapján végzett adatkezelés – a 4. lépésben meghatározott érdekelti jogokat, várakozásokat.
6. lépés: Adatkezelő meghatározza, mely garanciák biztosíthatják az adatkezelés szükségességét-arányosságát (természetesen más garanciális intézkedések is alkalmazhatók).

IX. Adatkezelő nyilvántartási kötelezettsége

Adatkezelő és adatfeldolgozó az általa végzett adatkezelési tevékenységekről a GDPR rendelet 30. cikke alapján nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a. az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
b. az adatkezelés céljai;
c. az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
d. olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
e. adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR rendelet 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
f. ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
g. ha lehetséges, az adatbiztonság körében említett technikai és szervezési intézkedések általános leírása.

A nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is. Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást. A nyilvántartás vezetésére vonatkozó kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

Adatkezelő a jelen szabályzat mellékletét képező táblázatban foglaltak szerinti tartalommal elektronikus nyilvántartást vezet.

X. Adatbiztonság

Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy biztosítsa az érintettek magánszférájának védelmét. Ennek érdekében Adatkezelő:

  1. személyes adatokat bizalmasan kezeli, szükség esetén álnevesítését elvégzi;
  2. a személyes adatok kezelésére (tárolás, rögzítés, továbbítás stb.) használt rendszerek és szolgáltatások vonatkozásában azok bizalmas jellegét, integritását, rendelkezésre állását, ellenálló képességét és védelmét biztosítja a műszaki vezetői munkakörben foglalkoztatott munkavállalója útján, továbbá ennek érdekében Adatkezelő a Craft Factory Kft. (székhely: 1078 Budapest, Marek József utca 16. fszt. 5.) szolgáltatásait is igénybe veszi;
  3. fizikai vagy műszaki incidens esetén Adatkezelő biztosítja a személyes adatokhoz való hozzáférés és rendelkezésre állás mielőbbi visszaállítását;
  4. Adatkezelő az adatbiztonság érdekében garantált eszközöket, foganatosított intézkedéseket rendszeresen felülvizsgálja, biztosítva ezzel a személyes adatok lehető legmagasabb biztonságát.

Adatkezelő a személyes adatokat kezelő, feldolgozó munkavállalókat, megbízottakat, külsős személyeket folyamatosan ellenőrzi és gondoskodik róla, hogy a személyes adatokra vonatkozó titoktartási kötelezettségüket betartsák, ennek megsértése esetén megfelelő szankciót helyez kilátásba velük szemben.

Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

Adatkezelőnél az adattárolás elektronikus formában történik a saját adattároló eszköze segítségével. A saját adattároló eszköz saját szoftvere csak a jogosultak (adott munkakört betöltő munkavállalók) részére történő hozzáférést biztosít. Adatkezelőnél az adattárolás egy része papír alapon is történik, amely esetben az irattárolás helyszíne az Adatkezelő székhelye.

XI. Adatvédelmi incidens, jogorvoslati jog

A.) Adatvédelmi incidens

Adatkezelő minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles az általa észlelt adatvédelmi incidenst haladéktalanul jelenteni Adatkezelőnek. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e az Adatkezelő informatikai rendszerét.

A bejelentés Adatkezelőhöz érkezését követően haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

Az Adatkezelő megvizsgálja a bejelentést és amennyiben szükséges, a bejelentőtől további adatokat kér az incidensre vonatkozóan. Az Adatkezelő felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását. A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 2 munkanapon belül teljesíti az Adatkezelő részére.

A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is. A vizsgálat alapján a megvalósítandó további intézkedésekről az Adatkezelő dönt. A vizsgálatot legkésőbb a bejelentés érkezésétől számított három munkanapon belül be kell fejezni.

Az adatvédelmi incidensről az Adatkezelő nyilvántartást vezet. A nyilvántartás tartalmazza:

i. az érintett személyes adatok körét,
ii. az adatvédelmi incidenssel érintettek körét és számát,
iii. az adatvédelmi incidens időpontját,
iv. az adatvédelmi incidens körülményeit, hatásait,
v. az elhárítására megtett intézkedéseket és
vi. egyéb jogszabályban előírt adatokat.

Az adatvédelmi incidensnyilvántartás pontos vezetéséről, aktualizálásáról az Adatkezelő gondoskodik.

Az Adatkezelő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 72 órán belül bejelenti a felügyeleti hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az Adatkezelő köteles ennek okát igazolni a felügyeleti hatóság részére. A bejelentésnek tartalmaznia kell:

i. az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
ii. az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
iii. az adatvédelmi incidens jellegét, körülményeit,
iv. az adatvédelmi incidens valószínűsíthető következményeit és
v. az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, Adatkezelő haladéktalanul értesíti az érintetteket. Nem kell az érintetteket tájékoztatni:

i. ha Adatkezelő olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét;
ii. ha az adatvédelmi incidens bekövetkezését követően Adatkezelő olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg;
iii. ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

B.) Jogorvoslat

Érintett tiltakozhat személyes adatának kezelése ellen, ha

a) a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
b) a személyes felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
c) törvényben meghatározott egyéb esetben.

Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha Adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben Érintett az Adatkezelő meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - bírósághoz fordulhat. A bíróság soron kívül jár el.

Az adatkezelő esetleges jogsértése ellen panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:

Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Levelezési cím: 1530 Budapest, Postafiók: 5.
Telefon: +36 -1-391-1400
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu

C.) Bírósági jogérvényesítés

Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani. Az adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.

A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a felügyeleti hatóság az érintett pernyertessége érdekében beavatkozhat.

Ha a bíróság a kérelemnek helyt ad, az Adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az adatátvevő által kért adat kiadására kötelezi.

Ha a bíróság az adatátvevő kérelmét elutasítja, az Adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az Adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a meghatározott határidőn belül nem fordul bírósághoz.

A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett védett jogai megkövetelik.

D.) Kártérítés

Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet. Az érintettel szemben az Adatkezelő felel az adatfeldolgozó által okozott kárért is. Az Adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a GDPR rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

A jelen adatvédelmi tájékoztató 2018. november 1. visszavonásig érvényes

Adatkezelés típusai