Adatvédelem
2024.
ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT
1./ Adatkezelő szervezet adatai:
Adatkezelő neve: Lusták Dániel EV.
Adatkezelő székhelye: 1112, Budapest Királyleányka utca 4.
Adószáma: 68459741-1-51
Email: lustakdaniel@spacemarketing.hu
2./ A szabályzat megfelelősége
Jelen szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (továbbiakban: GDPR) valamint az információs önrendelkezési jogról és az információ szabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) rendelkezéseinek figyelembevételével, annak megfelelve szabályozza az adatkezelő által kezelt személyes adatok kezelésére, tárolására, továbbítására, védelmére vonatkozó eljárásokat.
3./ A szabályzat célja
Jelen szabályzat célja a személyes adatok kezelésével érintettek megfelelő tájékoztatása az adatkezelő által kezelt személyes adatok körének, az adatkezelés céljának, módjának meghatározásáról, az érintettek adatkezeléssel kapcsolatos jogainak és az adatkezelő ezzel kapcsolatos kötelezettségeinek rögzítése, összhangban a GDPR és Infotv. rendelkezésivel.
4./ A személyes adatok kezelésének jogalapja
A személyes adatok kezelésének jogalapja a GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett hozzájárulása személyes adatainak jelen szabályzatban meghatározott célból történő kezeléséhez, valamint 6. cikk (1) bekezdés b) pontja alapján az adatkezelés érintett és adatkezelő közötti partneri kapcsolat előmozdítására szolgáló szerződések megkötéséhez szükséges, amelyben az érintett az egyik fél.
Adatkezelő által kezelt személyes adatok köre teljes mértékben arányban áll az adatkezelés céljával, azon semmi esetre sem terjeszkedik túl.
5./ A kezelt adatok köre:
∙ az érintett neve,
∙ az érintett lakcíme, levelezési címe,
∙ az érintett telefonszáma,
∙ az érintett elektronikus elérhetősége,
1
6./ Az adatkezelés célja
Az adatkezelés céljai egyrészt az érintett azonosítása, valamint a kapcsolattartás, továbbá a felek közötti üzleti kapcsolat fenntartása, szolgáltatás nyújtás megvalósítása, másrészt az érintettek jogainak teljes körű védelme, harmadrészt az adatkezelőt érintő jogok gyakorlása és az őt terhelő kötelezettségek teljesítése.
Az adatkezelő a részére megadott személyes adatokat kizárólag jelen szabályzatban meghatározott célból kezeli. Adatkezelő köteles az adatkezelés minden szakaszában megfelelni a meghatározott adatkezelési céloknak. Adatkezelő minden esetben törekszik arra, hogy kizárólag olyan személyes adatot kezeljen, amely az adatkezelés céljának megvalósulásához elengedhetetlen és alkalmas az adatkezelési cél eléréséhez.
7./ Az adatkezelés időtartama
Adatkezelő a tudomására jutatott személyes adatokat a cél megvalósulásához szükséges mértékben és ideig kezeli, kizárólag a felek között fennálló jogviszony fennállásáig. Az érintett jogosult arra, hogy az általa megadott személyes adataira vonatkozó hozzájárulását bármikor írásban benyújtott nyilatkozatával visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Az üzleti partner hozzájárulásának visszavonásától kezdődően a személyes adatok nem kezelhetők.
8./ Tájékoztatás a személyes adatok eltérő célból történő felhasználásáról
Adatkezelő köteles minden olyan esetben tájékoztatni az érintettet, amennyiben az általa kezelt személyes adatokat az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni– törvényben meghatározott érdeksérelem fennállásának esetét leszámítva –. Ilyen esetben az adatkezelés a személyes adatok eltérő célból történő felhasználásához az érintett előzetes, kifejezett hozzájárulására van szükség, melyet adatkezelő köteles beszerezni, valamint köteles az érintettnek lehetőséget biztosítani arra, hogy az új felhasználási módot megtiltsa.
9./ A személyes adatok továbbítása harmadik személy részére
Adatkezelő az általa kezelt személyes adatokat harmadik személy részére nem adja át és nem továbbítja.
A személyes adatok harmadik személy részére történő továbbításához az érintett kifejezett hozzájárulása szükséges.
A személyes adatok továbbítása alól kivétel az érintettekhez nem köthető személyes adatok statisztikailag összetett formában történő felhasználása.
Adatkezelő hatósági, bírósági, büntetőeljárásban, illetve adóigazgatási eljárásokban történő megkeresés, illetve egyéb jogsértés esetén a megkereső szerv számára a szükséges mértékben hozzáférhetővé teszi az általa kezelt személyes adatokat.
Adatkezelő köteles az általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amennyiben a személyes adat továbbítására őt jogszabály vagy jogerős hatósági határozat kötelezi. Adatkezelő az általa továbbított adatokról eszközölt adattovábbítást dokumentálja, valamint arról nyilvántartást vezet.
2
10./ Az érintettet megillető jogosultságok
a) Az előzetes tájékozódáshoz való jog: Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
b) Hozzáféréshez való jog: Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon a személyes adatokhoz és tájékoztatást kapjon az adatkezelés céljáról; az érintett személyes adatok kategóriáiról; azon címzettek kategóriáiról, amelyekkel a személyes adatokat közölték; a személyes adatok tárolásának tervezett időtartamáról; továbbá azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; információt kapjon felügyeleti hatósághoz címzett panasz benyújtásának jogáról, ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról, továbbá automatizált döntéshozatal tényéről.
c) Helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok - egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését.
d) A törléshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben
-a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; vagy
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; továbbá
- amennyiben az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik az adatkezelés ellen; - a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
e.) Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
3
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Amennyiben az adatkezelő korlátozza az adatkezelést, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
11./ Az érintett jogai érvényesülésének biztosítása
Adatkezelő az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz.
Adatkezelő az érintettet a személyes adatainak rögzítésével egyidejűleg tájékoztatja a személyes adatok kezeléséről.
Az érintett bármikor jogosult arra, hogy személyes adatainak kezeléséről az adatkezelőtől tájékoztatást kérjen.
Adatkezelő az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti, melyet ingyenesen lát el.
Ha az érintett a folyó évben, azonos adatkörre vonatkozóan jogai érvényesítése iránt ismételten kérelmet nyújt be, és e kérelme alapján az adatkezelő által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az adatkezelő jogszerűen mellőzi, az adatkezelő az érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.
Az érintett kérheti adatkezelőtől a tévesen rögzített személyes adatainak helyesbítését, illetve a jogszabályban elrendelt személyes adatok kezelésén kívül kérheti a személyes adatainak törlését.
Ha az érintett kérelmét az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint az érintettet törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát az illetékes Hatóság közreműködésével is gyakorolhatja.
12./ Adatvédelmi nyilvántartás
Adatkezelő a személyes adatok tárolását elsősorban számítógépes hálózaton végzi. Papíralapon történő adattárolás kizárólag oly módon történhet, hogy a személyes adatokat tartalmazó dokumentumok megfelelően zárható helyiségben kerülnek elhelyezésre, biztosítva hogy azok illetéktelen személy által ne legyenek hozzáférhető vagy megismerhető.
4
13./ Adatvédelmi incidens
Adatkezelő a jelen szabályzat alapján, általa kezelt személyes adatokkal összefüggésben felmerült adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő hetvenkét órán belül bejelenti Nemzeti Adatvédelmi és Információszabadság Hatóság részére.
Az adatvédelmi incidens bejelentési kötelezettség keretei között az adatkezelő ∙ ismerteti az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges
mennyiségét,
∙ tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
∙ ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és ∙ ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett - az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb - intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja.
Adatkezelő nem köteles az érintett tájékoztatására, amennyiben
∙ az adatkezelő az adatvédelmi incidenssel érintett adatok tekintetében az adatvédelmi incidenst megelőzően megfelelő műszaki és szervezési védelmi intézkedéseket alkalmazott, ∙ az adatkezelő az adatvédelmi incidensről való tudomásszerzését követően alkalmazott intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
∙ az érintett közvetlen tájékoztatása csak az adatkezelő aránytalan erőfeszítésével lenne teljesíthető, ezért az adatkezelő az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
∙ törvény a tájékoztatást kizárja.
Adatkezelő a tájékoztatási kötelezettség keretei között világosan és közérthetően ismerteti az adatvédelmi incidens jellegét, valamint az érintettet informálja az adatvédelmi incidensből eredő, valószínűsíthető következményekről, valamint ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett intézkedéseket.
14./ Az adatvédelmi tisztviselő
Összhangban a GDPR adatvédelmi tisztviselőre vonatkozó rendelkezéseire adatkezelő nem köteles adatvédelmi tisztviselő kinevezésére.
15./ Alapvető fogalmak
személyes adat: az érintettre vonatkozó bármely információ;
5
érintett: bármely információ alapján azonosított vagy azonosítható természetes személy; azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
adatállomány: az egy nyilvántartásban kezelt adatok összessége;
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó
6
közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek; adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
profilalkotás: személyes adat bármely olyan - automatizált módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
16./ A személyes adatok kezelésére vonatkozó elvek
jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; adattakarékosság: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
pontosság: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék; korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
integritás és bizalmas jelleg: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
17./ Az adatvédelmi felügyeleti szerv
Adatvédelmi felügyeleti szerv neve: Nemzeti Adatvédelmi és Információszabadság Hivatala Székhelye: 1055 Budapest, Falk Miksa utca 9-11.
Elérhetőség: www.naih.hu
Email: ugyfelszolgalat@naih.hu
7
ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT
1./ Adatkezelő szervezet adatai:
Adatkezelő neve: Lusták Dániel EV.
Adatkezelő székhelye: 1112, Budapest Királyleányka utca 4.
Adószáma: 68459741-1-51
Email: lustakdaniel@spacemarketing.hu
2./ A szabályzat megfelelősége
Jelen szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (továbbiakban: GDPR) valamint az információs önrendelkezési jogról és az információ szabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) rendelkezéseinek figyelembevételével, annak megfelelve szabályozza az adatkezelő által kezelt személyes adatok kezelésére, tárolására, továbbítására, védelmére vonatkozó eljárásokat.
3./ A szabályzat célja
Jelen szabályzat célja a személyes adatok kezelésével érintettek megfelelő tájékoztatása az adatkezelő által kezelt személyes adatok körének, az adatkezelés céljának, módjának meghatározásáról, az érintettek adatkezeléssel kapcsolatos jogainak és az adatkezelő ezzel kapcsolatos kötelezettségeinek rögzítése, összhangban a GDPR és Infotv. rendelkezésivel.
4./ A személyes adatok kezelésének jogalapja
A személyes adatok kezelésének jogalapja a GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett hozzájárulása személyes adatainak jelen szabályzatban meghatározott célból történő kezeléséhez, valamint 6. cikk (1) bekezdés b) pontja alapján az adatkezelés érintett és adatkezelő közötti partneri kapcsolat előmozdítására szolgáló szerződések megkötéséhez szükséges, amelyben az érintett az egyik fél.
Adatkezelő által kezelt személyes adatok köre teljes mértékben arányban áll az adatkezelés céljával, azon semmi esetre sem terjeszkedik túl.
5./ A kezelt adatok köre:
∙ az érintett neve,
∙ az érintett lakcíme, levelezési címe,
∙ az érintett telefonszáma,
∙ az érintett elektronikus elérhetősége,
1
6./ Az adatkezelés célja
Az adatkezelés céljai egyrészt az érintett azonosítása, valamint a kapcsolattartás, továbbá a felek közötti üzleti kapcsolat fenntartása, szolgáltatás nyújtás megvalósítása, másrészt az érintettek jogainak teljes körű védelme, harmadrészt az adatkezelőt érintő jogok gyakorlása és az őt terhelő kötelezettségek teljesítése.
Az adatkezelő a részére megadott személyes adatokat kizárólag jelen szabályzatban meghatározott célból kezeli. Adatkezelő köteles az adatkezelés minden szakaszában megfelelni a meghatározott adatkezelési céloknak. Adatkezelő minden esetben törekszik arra, hogy kizárólag olyan személyes adatot kezeljen, amely az adatkezelés céljának megvalósulásához elengedhetetlen és alkalmas az adatkezelési cél eléréséhez.
7./ Az adatkezelés időtartama
Adatkezelő a tudomására jutatott személyes adatokat a cél megvalósulásához szükséges mértékben és ideig kezeli, kizárólag a felek között fennálló jogviszony fennállásáig. Az érintett jogosult arra, hogy az általa megadott személyes adataira vonatkozó hozzájárulását bármikor írásban benyújtott nyilatkozatával visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Az üzleti partner hozzájárulásának visszavonásától kezdődően a személyes adatok nem kezelhetők.
8./ Tájékoztatás a személyes adatok eltérő célból történő felhasználásáról
Adatkezelő köteles minden olyan esetben tájékoztatni az érintettet, amennyiben az általa kezelt személyes adatokat az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni– törvényben meghatározott érdeksérelem fennállásának esetét leszámítva –. Ilyen esetben az adatkezelés a személyes adatok eltérő célból történő felhasználásához az érintett előzetes, kifejezett hozzájárulására van szükség, melyet adatkezelő köteles beszerezni, valamint köteles az érintettnek lehetőséget biztosítani arra, hogy az új felhasználási módot megtiltsa.
9./ A személyes adatok továbbítása harmadik személy részére
Adatkezelő az általa kezelt személyes adatokat harmadik személy részére nem adja át és nem továbbítja.
A személyes adatok harmadik személy részére történő továbbításához az érintett kifejezett hozzájárulása szükséges.
A személyes adatok továbbítása alól kivétel az érintettekhez nem köthető személyes adatok statisztikailag összetett formában történő felhasználása.
Adatkezelő hatósági, bírósági, büntetőeljárásban, illetve adóigazgatási eljárásokban történő megkeresés, illetve egyéb jogsértés esetén a megkereső szerv számára a szükséges mértékben hozzáférhetővé teszi az általa kezelt személyes adatokat.
Adatkezelő köteles az általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amennyiben a személyes adat továbbítására őt jogszabály vagy jogerős hatósági határozat kötelezi. Adatkezelő az általa továbbított adatokról eszközölt adattovábbítást dokumentálja, valamint arról nyilvántartást vezet.
2
10./ Az érintettet megillető jogosultságok
a) Az előzetes tájékozódáshoz való jog: Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
b) Hozzáféréshez való jog: Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon a személyes adatokhoz és tájékoztatást kapjon az adatkezelés céljáról; az érintett személyes adatok kategóriáiról; azon címzettek kategóriáiról, amelyekkel a személyes adatokat közölték; a személyes adatok tárolásának tervezett időtartamáról; továbbá azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; információt kapjon felügyeleti hatósághoz címzett panasz benyújtásának jogáról, ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról, továbbá automatizált döntéshozatal tényéről.
c) Helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok - egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését.
d) A törléshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben
-a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; vagy
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; továbbá
- amennyiben az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik az adatkezelés ellen; - a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
e.) Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
3
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Amennyiben az adatkezelő korlátozza az adatkezelést, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
11./ Az érintett jogai érvényesülésének biztosítása
Adatkezelő az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz.
Adatkezelő az érintettet a személyes adatainak rögzítésével egyidejűleg tájékoztatja a személyes adatok kezeléséről.
Az érintett bármikor jogosult arra, hogy személyes adatainak kezeléséről az adatkezelőtől tájékoztatást kérjen.
Adatkezelő az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti, melyet ingyenesen lát el.
Ha az érintett a folyó évben, azonos adatkörre vonatkozóan jogai érvényesítése iránt ismételten kérelmet nyújt be, és e kérelme alapján az adatkezelő által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az adatkezelő jogszerűen mellőzi, az adatkezelő az érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.
Az érintett kérheti adatkezelőtől a tévesen rögzített személyes adatainak helyesbítését, illetve a jogszabályban elrendelt személyes adatok kezelésén kívül kérheti a személyes adatainak törlését.
Ha az érintett kérelmét az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint az érintettet törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát az illetékes Hatóság közreműködésével is gyakorolhatja.
12./ Adatvédelmi nyilvántartás
Adatkezelő a személyes adatok tárolását elsősorban számítógépes hálózaton végzi. Papíralapon történő adattárolás kizárólag oly módon történhet, hogy a személyes adatokat tartalmazó dokumentumok megfelelően zárható helyiségben kerülnek elhelyezésre, biztosítva hogy azok illetéktelen személy által ne legyenek hozzáférhető vagy megismerhető.
4
13./ Adatvédelmi incidens
Adatkezelő a jelen szabályzat alapján, általa kezelt személyes adatokkal összefüggésben felmerült adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő hetvenkét órán belül bejelenti Nemzeti Adatvédelmi és Információszabadság Hatóság részére.
Az adatvédelmi incidens bejelentési kötelezettség keretei között az adatkezelő ∙ ismerteti az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges
mennyiségét,
∙ tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
∙ ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és ∙ ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett - az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb - intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja.
Adatkezelő nem köteles az érintett tájékoztatására, amennyiben
∙ az adatkezelő az adatvédelmi incidenssel érintett adatok tekintetében az adatvédelmi incidenst megelőzően megfelelő műszaki és szervezési védelmi intézkedéseket alkalmazott, ∙ az adatkezelő az adatvédelmi incidensről való tudomásszerzését követően alkalmazott intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
∙ az érintett közvetlen tájékoztatása csak az adatkezelő aránytalan erőfeszítésével lenne teljesíthető, ezért az adatkezelő az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
∙ törvény a tájékoztatást kizárja.
Adatkezelő a tájékoztatási kötelezettség keretei között világosan és közérthetően ismerteti az adatvédelmi incidens jellegét, valamint az érintettet informálja az adatvédelmi incidensből eredő, valószínűsíthető következményekről, valamint ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett intézkedéseket.
14./ Az adatvédelmi tisztviselő
Összhangban a GDPR adatvédelmi tisztviselőre vonatkozó rendelkezéseire adatkezelő nem köteles adatvédelmi tisztviselő kinevezésére.
15./ Alapvető fogalmak
személyes adat: az érintettre vonatkozó bármely információ;
5
érintett: bármely információ alapján azonosított vagy azonosítható természetes személy; azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
adatállomány: az egy nyilvántartásban kezelt adatok összessége;
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó
6
közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek; adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
profilalkotás: személyes adat bármely olyan - automatizált módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
16./ A személyes adatok kezelésére vonatkozó elvek
jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; adattakarékosság: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
pontosság: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék; korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
integritás és bizalmas jelleg: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
17./ Az adatvédelmi felügyeleti szerv
Adatvédelmi felügyeleti szerv neve: Nemzeti Adatvédelmi és Információszabadság Hivatala Székhelye: 1055 Budapest, Falk Miksa utca 9-11.
Elérhetőség: www.naih.hu
Email: ugyfelszolgalat@naih.hu
7
ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT
1./ Adatkezelő szervezet adatai:
Adatkezelő neve: Lusták Dániel EV.
Adatkezelő székhelye: 1112, Budapest Királyleányka utca 4.
Adószáma: 68459741-1-51
Email: lustakdaniel@spacemarketing.hu
2./ A szabályzat megfelelősége
Jelen szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (továbbiakban: GDPR) valamint az információs önrendelkezési jogról és az információ szabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) rendelkezéseinek figyelembevételével, annak megfelelve szabályozza az adatkezelő által kezelt személyes adatok kezelésére, tárolására, továbbítására, védelmére vonatkozó eljárásokat.
3./ A szabályzat célja
Jelen szabályzat célja a személyes adatok kezelésével érintettek megfelelő tájékoztatása az adatkezelő által kezelt személyes adatok körének, az adatkezelés céljának, módjának meghatározásáról, az érintettek adatkezeléssel kapcsolatos jogainak és az adatkezelő ezzel kapcsolatos kötelezettségeinek rögzítése, összhangban a GDPR és Infotv. rendelkezésivel.
4./ A személyes adatok kezelésének jogalapja
A személyes adatok kezelésének jogalapja a GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett hozzájárulása személyes adatainak jelen szabályzatban meghatározott célból történő kezeléséhez, valamint 6. cikk (1) bekezdés b) pontja alapján az adatkezelés érintett és adatkezelő közötti partneri kapcsolat előmozdítására szolgáló szerződések megkötéséhez szükséges, amelyben az érintett az egyik fél.
Adatkezelő által kezelt személyes adatok köre teljes mértékben arányban áll az adatkezelés céljával, azon semmi esetre sem terjeszkedik túl.
5./ A kezelt adatok köre:
∙ az érintett neve,
∙ az érintett lakcíme, levelezési címe,
∙ az érintett telefonszáma,
∙ az érintett elektronikus elérhetősége,
1
6./ Az adatkezelés célja
Az adatkezelés céljai egyrészt az érintett azonosítása, valamint a kapcsolattartás, továbbá a felek közötti üzleti kapcsolat fenntartása, szolgáltatás nyújtás megvalósítása, másrészt az érintettek jogainak teljes körű védelme, harmadrészt az adatkezelőt érintő jogok gyakorlása és az őt terhelő kötelezettségek teljesítése.
Az adatkezelő a részére megadott személyes adatokat kizárólag jelen szabályzatban meghatározott célból kezeli. Adatkezelő köteles az adatkezelés minden szakaszában megfelelni a meghatározott adatkezelési céloknak. Adatkezelő minden esetben törekszik arra, hogy kizárólag olyan személyes adatot kezeljen, amely az adatkezelés céljának megvalósulásához elengedhetetlen és alkalmas az adatkezelési cél eléréséhez.
7./ Az adatkezelés időtartama
Adatkezelő a tudomására jutatott személyes adatokat a cél megvalósulásához szükséges mértékben és ideig kezeli, kizárólag a felek között fennálló jogviszony fennállásáig. Az érintett jogosult arra, hogy az általa megadott személyes adataira vonatkozó hozzájárulását bármikor írásban benyújtott nyilatkozatával visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Az üzleti partner hozzájárulásának visszavonásától kezdődően a személyes adatok nem kezelhetők.
8./ Tájékoztatás a személyes adatok eltérő célból történő felhasználásáról
Adatkezelő köteles minden olyan esetben tájékoztatni az érintettet, amennyiben az általa kezelt személyes adatokat az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni– törvényben meghatározott érdeksérelem fennállásának esetét leszámítva –. Ilyen esetben az adatkezelés a személyes adatok eltérő célból történő felhasználásához az érintett előzetes, kifejezett hozzájárulására van szükség, melyet adatkezelő köteles beszerezni, valamint köteles az érintettnek lehetőséget biztosítani arra, hogy az új felhasználási módot megtiltsa.
9./ A személyes adatok továbbítása harmadik személy részére
Adatkezelő az általa kezelt személyes adatokat harmadik személy részére nem adja át és nem továbbítja.
A személyes adatok harmadik személy részére történő továbbításához az érintett kifejezett hozzájárulása szükséges.
A személyes adatok továbbítása alól kivétel az érintettekhez nem köthető személyes adatok statisztikailag összetett formában történő felhasználása.
Adatkezelő hatósági, bírósági, büntetőeljárásban, illetve adóigazgatási eljárásokban történő megkeresés, illetve egyéb jogsértés esetén a megkereső szerv számára a szükséges mértékben hozzáférhetővé teszi az általa kezelt személyes adatokat.
Adatkezelő köteles az általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amennyiben a személyes adat továbbítására őt jogszabály vagy jogerős hatósági határozat kötelezi. Adatkezelő az általa továbbított adatokról eszközölt adattovábbítást dokumentálja, valamint arról nyilvántartást vezet.
2
10./ Az érintettet megillető jogosultságok
a) Az előzetes tájékozódáshoz való jog: Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
b) Hozzáféréshez való jog: Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon a személyes adatokhoz és tájékoztatást kapjon az adatkezelés céljáról; az érintett személyes adatok kategóriáiról; azon címzettek kategóriáiról, amelyekkel a személyes adatokat közölték; a személyes adatok tárolásának tervezett időtartamáról; továbbá azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; információt kapjon felügyeleti hatósághoz címzett panasz benyújtásának jogáról, ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról, továbbá automatizált döntéshozatal tényéről.
c) Helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok - egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését.
d) A törléshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben
-a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; vagy
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; továbbá
- amennyiben az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik az adatkezelés ellen; - a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
e.) Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
3
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Amennyiben az adatkezelő korlátozza az adatkezelést, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
11./ Az érintett jogai érvényesülésének biztosítása
Adatkezelő az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz.
Adatkezelő az érintettet a személyes adatainak rögzítésével egyidejűleg tájékoztatja a személyes adatok kezeléséről.
Az érintett bármikor jogosult arra, hogy személyes adatainak kezeléséről az adatkezelőtől tájékoztatást kérjen.
Adatkezelő az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti, melyet ingyenesen lát el.
Ha az érintett a folyó évben, azonos adatkörre vonatkozóan jogai érvényesítése iránt ismételten kérelmet nyújt be, és e kérelme alapján az adatkezelő által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az adatkezelő jogszerűen mellőzi, az adatkezelő az érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.
Az érintett kérheti adatkezelőtől a tévesen rögzített személyes adatainak helyesbítését, illetve a jogszabályban elrendelt személyes adatok kezelésén kívül kérheti a személyes adatainak törlését.
Ha az érintett kérelmét az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint az érintettet törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát az illetékes Hatóság közreműködésével is gyakorolhatja.
12./ Adatvédelmi nyilvántartás
Adatkezelő a személyes adatok tárolását elsősorban számítógépes hálózaton végzi. Papíralapon történő adattárolás kizárólag oly módon történhet, hogy a személyes adatokat tartalmazó dokumentumok megfelelően zárható helyiségben kerülnek elhelyezésre, biztosítva hogy azok illetéktelen személy által ne legyenek hozzáférhető vagy megismerhető.
4
13./ Adatvédelmi incidens
Adatkezelő a jelen szabályzat alapján, általa kezelt személyes adatokkal összefüggésben felmerült adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő hetvenkét órán belül bejelenti Nemzeti Adatvédelmi és Információszabadság Hatóság részére.
Az adatvédelmi incidens bejelentési kötelezettség keretei között az adatkezelő ∙ ismerteti az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges
mennyiségét,
∙ tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
∙ ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és ∙ ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett - az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb - intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja.
Adatkezelő nem köteles az érintett tájékoztatására, amennyiben
∙ az adatkezelő az adatvédelmi incidenssel érintett adatok tekintetében az adatvédelmi incidenst megelőzően megfelelő műszaki és szervezési védelmi intézkedéseket alkalmazott, ∙ az adatkezelő az adatvédelmi incidensről való tudomásszerzését követően alkalmazott intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
∙ az érintett közvetlen tájékoztatása csak az adatkezelő aránytalan erőfeszítésével lenne teljesíthető, ezért az adatkezelő az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
∙ törvény a tájékoztatást kizárja.
Adatkezelő a tájékoztatási kötelezettség keretei között világosan és közérthetően ismerteti az adatvédelmi incidens jellegét, valamint az érintettet informálja az adatvédelmi incidensből eredő, valószínűsíthető következményekről, valamint ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett intézkedéseket.
14./ Az adatvédelmi tisztviselő
Összhangban a GDPR adatvédelmi tisztviselőre vonatkozó rendelkezéseire adatkezelő nem köteles adatvédelmi tisztviselő kinevezésére.
15./ Alapvető fogalmak
személyes adat: az érintettre vonatkozó bármely információ;
5
érintett: bármely információ alapján azonosított vagy azonosítható természetes személy; azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
adatállomány: az egy nyilvántartásban kezelt adatok összessége;
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó
6
közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek; adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
profilalkotás: személyes adat bármely olyan - automatizált módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
16./ A személyes adatok kezelésére vonatkozó elvek
jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; adattakarékosság: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
pontosság: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék; korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
integritás és bizalmas jelleg: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
17./ Az adatvédelmi felügyeleti szerv
Adatvédelmi felügyeleti szerv neve: Nemzeti Adatvédelmi és Információszabadság Hivatala Székhelye: 1055 Budapest, Falk Miksa utca 9-11.
Elérhetőség: www.naih.hu
Email: ugyfelszolgalat@naih.hu
7