Adatvédelmi és adatkezelési tájékoztató

A Tájékoztató PDF formában letölthető innen.

Jelen Adatvédelmi és adatkezelési tájékoztató (a továbbiakban mint Tájékoztató) célja az érintett személyek tájékoztatása az (EU) 2016/679 európai parlamenti és tanácsi rendelet az általános adatvédelmi rendelkezésekről (a továbbiakban mint GDPR), valamint a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban mint Infotv.) rendelkezéseinek történő megfelelésről, illetve a GDPR 5. cikke szerinti elvek (jogszerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás, bizalmas jelleg, elszámoltathatóság) megvalósulásának biztosításáról a Taylor Fotó (Szabó Sándor fotográfus) részéről.

Tartalom

I. A tájékoztató hatálya 1. Személyi hatály 2. Tárgyi hatály 3. Idõbeli hatály II. Különös kategóriába tartozó személyes adatok kezelése III. Az Adatkezelés jogszerũsége IV. Az adatkezelés teljesítése 1. A szerzõdéses kötelezettséghez szükséges adatkezelés 2. A jogi kötelezettséghez szükséges adatkezelés 3. A hozzájáruláson alapuló adatkezelés 3.1 Ügyfélszolgálati tevékenység személyesen, telefonon, e-mailen keresztül 3.2 Hírlevél vagy marketing célú levél küldése 3.3 Visszajelzést, értékelést kezelõ elektronikus kérdõív használata 3.4 Közösségi oldalakon történõ jelenlét és marketing 3.5 Banki adatokkal kapcsolatos adatkezelés 3.6 Panaszkezelés V. Adatkezelés alkalmazása a honlapon VI. Az adatokhoz hozzáférõ személyek köre VII. más adatkezelõ számára végzett adatfeldolgozás VIII. Adatbiztonsági intézkedések IX. Intézkedés Adatvédelmi incidens esetén 1. Az adatvédelmi incidens megelõzésével kapcsolatos kötelezettségek 2. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak 3. Az Érintett tájékoztatása az adatvédelmi incidensrõl X. Az Érintettek jogai 1. Az Érintett joggyakorlásával kapcsolatos eljárás általános szabályai 2. Az Érintett elõzetes tájékoztatáshoz való joga 3. Az Érintett hozzáférési joga 4. Az Érintett helyesbítéshez való joga 5. Az Érintett törléshez való joga 6. Az Érintett adatkezelés korlátozásához való joga 7. Az Érintett adathordozhatósághoz való joga 8. Az Érintett tiltakozáshoz való joga 9. Automatizált döntéshozatal egyedi ügyekben 10. Korlátozások XI. Az Érintett jogainak érvényesítése

I. A tájékoztató hatálya

1. Személyi hatály

Az azonosított, vagy azonosítható természetes személy, a továbbiakban mint Érintett. az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó, egy vagy több tényező alapján azonosítható

Az a természetes vagy jogi személy, aki vagy amely a személyes adatok kezelésének céljait és eszközeit önállóan, vagy másokkal együtt meghatározza, a továbbiakban mint Adatkezelő. Jelen Tájékoztató vonatkozásában az Adatkezelő Szabó Sándor fotográfus (lakcíme: 8400 Ajka, Móricz Zsigmond utca 18. II/9.; anyja neve: dr. Balogh Mária; fotográfus bizonyítvány száma: CXB C 1303427; e-mail címe: szabo[pont]sandor[kukac]taylor[kötőjel]foto[pont]hu; telefonszáma: +36 20 254 8999).

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel, a továbbiakban mint Adatfeldolgozó. Jelen Tájékoztató vonatkozásában az Adatkezelő és az Adatfeldolgozó személye megegyezik, az Adatkezelő más Adatfeldolgozót nem vesz igénybe.

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az Adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy Adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak, a továbbiakban mint harmadik személy.

2. Tárgyi hatály

Az Érintettre vonatkozó bármely információ, a továbbiakban mint Személyes adat.

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, a továbbiakban mint Különös kategóriába tartozó személyes adat.

A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, beleértve, de nem korlátozva a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás, megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás, összekapcsolás, korlátozás, törlés, illetve megsemmisítés műveletét, a továbbiakban mint Adatkezelés.

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt Személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, a továbbiakban mint Adatvédelmi incidens.

3. Idõbeli hatály

Jelen Tájékoztató 2020. augusztus 15-től hatályos annak visszavonásáig, vagy újabb Tájékoztató hatályba lépéséig – mellyel jelen és ezt megelőző minden Tájékoztató hatályát veszti.

Az Adatkezelő fenntartja a jogot, hogy a Tájékoztatót módosítsa és újabb Tájékoztatót tegyen közzé a honlapján. Az új Tájékoztató közzétételével az azt megelőző Tájékoztatók hatályukat vesztik.

II. Különös kategóriába tartozó személyes adatok kezelése

Az Adatkezelő nem kér és nem kezel Különös kategóriába tartozó személyes adatokat, kivéve a munkaviszony esetén jogszabály által előírt egyes adatokat.

A bármely módon az Adatkezelő tudomására hozott vagy tudomására jutott Különös kategóriába tartozó adatot az Adatkezelő nem rögzíti. Ha az ilyen adat az Adatkezelő tudta nélkül került az Adatkezelő bármely rendszerébe, azt annak észlelését követően haladéktalanul törli a rendszeréből.

III. Az Adatkezelés jogszerũsége

Az Adatkezelés jogszerűségét az Adatkezelő és az Adatfeldolgozó a tevékenysége minden fázisában vizsgálja, csak olyan adatot és olyan időtartamban kezel, amelynek célját és jogalapját igazolni tudja. Valamely jogalap feltételének megszűnése esetén az Adatkezelés csak abban az esetben folytatható, ha az Adatkezelő megfelelő másik jogalapot tud igazolni.

Az Adatkezelés jogalapjai az Adatkezelő és az Adatfeldolgozó által:

  • az Adatkezelés az Érintett mint szerződéses felet érintő szerződéses kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés b) pont);
  • az Adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont);
  • az Adatkezelés az Adatkezelő jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) bekezdés f) pont);
  • az Érintett hozzájárulását adta a Személyes adatok kezeléséhez (GDPR 6. cikk (1) bekezdés a) pont).

A jogalapok igazolásának módja fő szabály szerint az írásbeliség. A szóbeli és a ráutaló magatartással létrejött jogalap esetén vizsgálni kell, hogy az utólag egyértelműen igazolható-e. Kétség esetén az észszerűség és gazdaságosság szempontjaira tekintettel törekedni kell arra, hogy a szóbeli és a ráutaló magatartással létrejött adatkezelési jogalap írásbeli megerősítése megtörténjen.

Fennálló érvényes szerződés szerződőjével kapcsolatosan az Adatkezelő a GDPR 6. cikk (1) bekezdés b) pontja alapján kezeli tovább a GDPR hatályba lépését követően is a szerződéses fél adatait a szerződés megszűnéséig.

A szerződés megszűnését követően az Adatkezelő a rá vonatkozó jogi kötelezettség, illetve az Adatkezelő jogos érdekének érvényesítése érdekében, annak igazolható fennállásáig végez Adatkezelést.

IV. Az Adatkezelés teljesítése

1. A szerzõdéses kötelezettséghez szükséges adatkezelés

Az Adatkezelés célja az Érintett számára megfelelő információ és támogatás nyújtása, valamint a kapcsolattartás biztosítása a szerződés előkészítése, megkötése, fenntartása, teljesítése és megszűnése vagy megszüntetése érdekében, valamint az Adatkezelő szerződéses jogviszonyból fakadó jogainak érvényesítése.

Az Adatkezelés jogalapja a felek közötti szerződésből fakadó kötelezettségek teljesítése, a GDPR 6.cikk (1) bekezdés b) pontjának megfelelően.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, valamint jogi személy Érintett esetén az Érintett munkavállalói, akik a szerződés előkészítése, megkötése és teljesítése érdekében eljárnak.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes személy, aki saját nevében, vagy jogi személy képviselőjeként, megbízottjaként vagy kapcsolattartójaként eljár információ kérés, ajánlatkérés vagy szerződéskötés során.

A kezelt adatok köre és célja:

  • Természetes személy információ kérése vagy ajánlatkérése során azonosítási céllal: a természetes személy neve.
  • Jogi személy információ kérése vagy ajánlatkérése során azonosítási céllal: jogi személy neve és a jogi személy érdekében eljáró természetes személy neve.
  • Természetes személy szerződéskötése során azonosítási céllal: a természetes személy neve, születési neve, születési helye és ideje, lakcíme, anyja neve, személyi igazolványának száma.
  • Jogi személy szerződéskötése során azonosítási céllal: a jogi személy neve, cégjegyzék száma, székhelye, valamint képviselőjének neve, születési neve, születési helye és ideje, lakcíme, anyja neve, személyi igazolványának száma.
  • Jogi és természetes személy esetén kapcsolattartási céllal: a kapocslattartó természetes személy e-mail címe, illetve telefonszáma.

Az Adatkezelés időtartama az ajánlat vagy szerződés fennállásának ideje, illetőleg annak megszűnését követően az Adatkezelő jogos érdeke alapján a szerződésből fakadó jogok elévüléséig, valamint a számviteli szabályok szerinti iratmegőrzési idő leteltéig terjedő időtartam. Jogi személlyel fennálló üzleti kapcsolat esetén az Adatkezelés időtartama az üzleti kapcsolat megszűnését követő öt (azaz 5) évig terjedő időtartam, amennyiben az Adatkezelő jogos érdekéből fakadó jogok elévülése ennél rövidebb.

2. A jogi kötelezettséghez szükséges Adatkezelés

Az Adatkezelés célja az Adatkezelővel vevői, illetve szállítói kapcsolatba kerülő természetes és jogi személyek, valamint képviselőik személyes adatait tartalmazó dokumentumok (beleértve, de nem korlátozva a számlák, szállítólevelek) kezelése az ehhez kapcsolódó mindenkor hatályos jogszabályok alapján. Ilyen jogszabályhelyek különösen a 2017. évi CL. törvény az adózás rendjéről 50. §-a, a 2007. évi CXXVII. törvény az általános forgalmi adóról 169. §-a, valamint a 2000. évi C. törvény a számvitelről 167. §-a.

Az Adatkezelés jogalapja az Adatkezelőre vonatkozó jogi kötelezettség teljesítése.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik az adózási, könyvviteli adminisztrációt ellátják, valamint az ilyen szolgáltatást nyújtó Adatfeldolgozók és munkavállalóik, továbbá a munkáltató kifizetését utalványozó vezetője, és a fentiekre vonatkozó ellenőrzést végző munkavállaló, illetve Adatfeldolgozó.

Az Adatkezelés szempontjából Érintettnek minősül minden vevő és szállító, aki az Adatkezelővel ilyen minőségben kapcsolatba kerül.

A kezelt adatok köre és célja a jogszabályok által előírt adattartalom és az ennek teljesítéséhez kötelezően használt dokumentumok adatai a jogi kötelezettség teljesítése érdekében.

Az Adatkezelés időtartama a gazdasági eseményt követő nyolc (azaz 8) évig terjedő időtartam.

3. A hozzájáruláson alapuló Adatkezelés

3.1 Ügyfélszolgálati tevékenység személyesen, telefonon, e-mailen keresztül

Az Adatkezelő ügyfélszolgálati jellegű tevékenységet végez személyesen, telefonon, illetve e-mailen keresztül. Amennyiben személyesen vagy telefonbeszélgetés során az Érintett minden kérdése kapcsán megfelelő szolgáltatást kap és az érintett személyes adatai nem kerülnek rögzítésre, úgy nem történik Adatkezelés. Amennyiben a szolgáltatás csak az Érintett visszahívása vagy e-mailen történő információ adás révén valósulhat meg és az általa megadott adatokat az Adatkezelő papír alapú hívásnaplóba vagy elektronikus felületen (a továbbiakban mint Hívásnapló) rögzíti, az Adatkezelés megvalósul, melyet az Adatkezelő az alábbiak szerint végez.

Az Adatkezelés célja az Érintett számára telefonon, illetve e-mailben nyújtott információszolgáltatás teljesítése.

Az Adatkezelés jogalapja az Érintett hozzájárulása. A hozzájárulást megadottnak kell tekinteni, ha az Érintett saját maga diktálja be a kapcsolatfelvételhez szükséges adatait az Adatkezelőnek, valamint, ha e-mailen keresztül fordul az Adatkezelőhöz.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik információ adással foglalkoznak.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes személy, aki telefonon, illetve e-mailben az Adatkezelővel, vagy az Adatkezelő ügyfélszolgálati tevékenységét ellátó munkavállalóival kapcsolatba lép.

A kezelt adatok köre és célja az Érintett neve, illetve a kapcsolatfelvétel ideje azonosítási céllal, valamint az Érintett telefonszáma, illetve e-mail címe kapcsolattartási céllal.

Az Adatkezelés időtartama a válaszadás napjától számított három (azaz 3) hónapig terjedő időtartam.

3.2 Hírlevél vagy marketing célú levél küldése

Az Adatkezelés célja a hírlevél, illetve marketing célú levél küldésével kapcsolatos Adatkezelés. A hírlevél, illetve a marketing célú levél rendeltetése a címzett teljes körű, általános vagy személyre szabott tájékoztatása az Adatkezelő honlapján megjelenő újdonságokról, akciókról, kedvezményekről, eseményekről, hírekről, valamint az értesítési szolgáltatások változásáról és elmaradásáról a vonatkozó és hatályos jogszabályoknak megfelelően. Ilyen jogszabályhely különösen a 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól 6. §-a.

Az Adatkezelés jogalapja a hírlevél, illetve marketing célú levél küldésére történő önkéntes feliratkozás és hozzájárulás.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik az ügyfélszolgálati és marketing tevékenységet ellátják, valamint az informatikai szolgáltatást, hírlevélküldő, illetve tárhelyszolgáltatást végző Adatfeldolgozók és munkavállalóik.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes személy, aki az Adatkezelő híreiről, akcióiról, kedvezményeiről rendszeresen értesülni kíván és emiatt Személyes adatainak megadásával a hírlevél, illetve marketing célú levél szolgáltatásra feliratkozik. A feliratkozás megerősítése az erre vonatkozó, előre be nem jelölt jelölőnégyzet vagy nyomógomb segítségével történhet.

A kezelt adatok köre és célja az Érintett neve azonosítási céllal, valamint az Érintett e-mail címe levélküldési céllal.

Az Adatkezelés időtartama az érintett kérésére történő törlésig (leiratkozásáig), vagy a hírlevélszolgáltatás, illetve a marketing célú levélküldő szolgáltatás megszűnéséig terjedő időtartam.

Az Érintett a hírlevélről, illetve a marketing célú levélről bármikor leiratkozhat, az elektronikus levelek alján lévő „Leiratkozás” link segítségével (a továbbiakban mint Azonnali leiratkozás); vagy a taylor[kötőjel]foto[kukac]taylor[kötőjel]foto[pont]hu e-mail címre küldött, „Leiratkozás@rdquo; tárgyú levéllel, melyben megjelöli, hogy a hírlevélszolgáltatás vagy a marketing célú levélküldő szolgáltatás törlését kéri; vagy postai úton a Taylor Fotó (Szabó Sándor), 1052 Budapest, Galamb u. 7. V/2. címre küldött, az e-mailben történő leiratkozással tartalmilag megegyező leiratkozási kérelem útján.

A leiratkozni kívánó Érintettnek tisztában kell lennie azzal, hogy az Azonnali leiratkozás kivételével a leiratkozás néhány napos átfutási idővel járhat, amely időszak alatt a rendszer még hírlevelet, illetve marketing célú levelet küldhet az Érintettnek, ami nem jelenti a jelen Tájékoztatóba foglalt Adatkezelés rendelkezéseinek megszegését.

Az Adatkezelő felhívja továbbá az Érintett figyelmét, hogy az azonos vagy közel azonos időben kiküldött hírlevél, illetve marketing célú levél és az Azonnali leiratkozási kérelem elkerülheti egymást technikai okokból, ezért a leiratkozást követően kapott hírlevél, illetve marketing célú levél nem jelenti a leiratkozási kérelem figyelembe vételének mellőzését.

3.3 Visszajelzést, értékelést kezelõ elektronikus kérdõív használata

Az Adatkezelés célja a szolgáltatás minőségének mérése, javítása, valamint az Érintettekkel történő kapcsolattartás abban az esetben, amennyiben a visszajelzés vagy értékelés nem anonim.

Az Adatkezelés jogalapja az elektronikus úton történő visszajelző vagy értékelő kérdőív önkéntes kitöltése. Az anonim módon történő visszajelzés során, amikor az értékelést adó személye nem azonosítható, nem történik Adatkezelés.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik a visszajelzést, illetve értékelést feldolgozzák, valamint az informatikai szolgáltatást, illetve tárhelyszolgáltatást végző Adatfeldolgozók és munkavállalóik.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes személy, aki az Adatkezelő szolgáltatásának igénybe vevője volt és a visszajelzésre, illetve értékelésre vonatkozó felhívásra értékelést ad.

A kezelt adatok köre és célja az Érintett neve azonosítási céllal, az Érintett e-mail címe, illetve telefonszáma kapcsolattartási céllal, valamint az igénybe vett szolgáltatás megnevezése és értékelése az Adatkezelési cél megvalósulása érdekében.

Az Adatkezelés időtartama a cél megvalósulásáig terjedő időtartam.

3.4 Közösségi oldalakon történõ jelenlét és marketing

Az Adatkezelés célja az Adatkezelő honlapján található tartalmak közösségi oldalakon történő megosztása, valamint az erre való figyelemfelhívás, illetve marketing.

Az Adatkezelés jogalapja az Adatkezelő közösségi oldalakon lévő profiljához kapcsolódó, Érintettek általi önkéntes hozzájárulás.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik a közösségi jelenlétet és marketinget támogatják, valamint az informatikai szolgáltatást, illetve tárhelyszolgáltatást végző Adatfeldolgozók és munkavállalóik.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes személy, aki az Adatkezelő közösségi oldalait látogatja, követi, az azon elhelyezett tartalmakhoz viszonyul (like, dislike), azokhoz hozzászól, azokat megosztja részben vagy teljes körűen.

A kezelt adatok köre és célja az Érintett neve azonosítási céllal, az Érintett által használt fotó (profilkép) azonosítási céllal, hozzászólás, vélemény, értékelés, hangulat kifejezése, kérdés vagy kérés tartalma az Adatkezelési cél megvalósulása érdekében.

Az Adatkezelés időtartama a közösségi oldalak és az Érintett által nyilvánosságra hozott adat nyilvános elérhetőségének végéig, illetve az Adatkezelő közösségi oldalainak működéséig terjedő időtartam.

Az Adatkezelő közösségi oldalain a látogatók által közzétett Személyes adatokat az Adatkezelő nem kezeli. Bármely jogellenes, vagy sértő tartalom esetén az Adatkezelő jogosult törölni az adott tartalmat. Az Adatkezelő közösségi oldalainak használatáról további információk a következő helyeken érhetők el:

3.5 Banki adatokkal kapcsolatos adatkezelés

Az Adatkezelés célja az Érintett részéről történő pénzügyi teljesítés elősegítése.

Az Adatkezelés jogalapja a banki átutalással kapcsolatos adatok önkéntes megadása.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik a számviteli feladatokkal foglalkoznak, valamint a könyvelési, számviteli szolgáltatást nyújtó Adatfeldolgozók és munkavállalóik.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes és jogi személy, aki banki átutalási móddal kíván fizetni.

A kezelt adatok köre és célja az Érintett (számlabirtokos) neve, bankszámlaszáma és az átutalás közleménye azonosítási céllal, az Érintett e-mail címe, illetve postai címe a díjbekérő és számla küldése érdekében, az átutalás összeg a teljesítés érdekében.

Az Adatkezelés időtartama a hatályos számviteli szabályoknak megfelelő időtartam.

3.6 Panaszkezelés

Az Adatkezelés célja a panasz közlésének lehetővé tétele, az Érintett és panasza azonosítása, valamint a jogszabályok szerint kötelezően rögzítendő adatok felvétele, illetve a panasz kivizsgálása, rendezés kapcsán szükséges kapcsolattartás.

Az Adatkezelés jogalapja a panasz önkéntes megtétele, azonban a megtett panasz esetén a kezelt adatok vonatkozásában az 1997. évi CLV. törvény a fogyasztóvédelemről (a továbbiakban mint Fgy. tv.) kötelező rendelkezése.

A Személyes adatok címzettjei az Adatkezelő és munkavállalói, akik panaszkezeléssel foglalkoznak.

Az Adatkezelés szempontjából Érintettnek minősül minden természetes személy, aki megrendelt, igénybe vett szolgáltatásra, illetve az Adatkezelő magatartására, tevékenységére vagy mulasztására vonatkozó panaszát szóban vagy írásban közölni kívánja.

A kezelt adatok köre és célja a panasz azonosítója, beérkezésének ideje, az Érintett neve azonosítási céllal, az Érintett postai címe, e-mail címe vagy telefonszáma kapcsolattartási céllal, a panaszolt szolgáltatás vagy magatartás megnevezése, oka, az ahhoz kapcsolódó dokumentumok a panasz kivizsgálásának érdekében.

Az Adatkezelés időtartama az Fgy. tv. 17/A. § (7) bekezdése alapján a panaszról felvett jegyzőkönyv és a válasz másolati példányának tekintetében öt (azaz 5) év időtartam.

Az Érintett panaszt a taylor[kötőjel]foto[kukac]taylor[kötőjel]foto[pont]hu e-mail címre küldött, „Panasz@rdquo; tárgyú levéllel, melyben megjelöli a panasszal kapcsolatos releváns információkat; vagy postai úton a Taylor Fotó (Szabó Sándor), 1052 Budapest, Galamb u. 7. V/2. címre küldött, az e-mailben történő panasszal tartalmilag megegyező levél útján tehet az Adatkezelő felé.

Személyesen, szóban megtett panaszról az Adatkezelő jegyzőkönyvet köteles felvenni.

A Fgy. tv. rendelkezésének megfelelően az írásbeli panaszt az Adatkezelő a panasz beérkezését követő harminc (azaz 30) napon belül, vagy ha jogszabály ennél rövidebb határidőt állapít meg, annak lejártáig köteles írásban érdemben megválaszolni és intézkedni annak közlése iránt. A panaszt elutasító álláspontját az Adatkezelő indokolni köteles.

V. Adatkezelés alkalmazása a honlapon

Az Adatkezelő honlapján a bárki számára hozzáférhetően közzétett tartalmak megtekintése Személyes adatok megadása nélkül lehetséges. A honlap a látogatókról automatikusan az alábbi adatokat rögzíti: a látogató IP-címe, a látogatás időpontja, a weboldalon megtekintett oldalak és tartalmak. Ezeket az adatokat az Adatkezelő kizárólag a honlappal kapcsolatos elemzésre, a honlap biztonságos működésének az ellenőrzésére használja fel.

A honlapon úgynevezett „cookie”-k (sütik) működnek, melyek a honlap használatával kapcsolatos információkat őriznek meg. A sütikben tárolt adatok kezelésének célja a felhasználói élmény növelése és a honlap online szolgáltatásainak fejlesztése. A honlapon használt sütik személy szerinti beazonosításra alkalmas információt nem tárolnak.

A honlap látogatása során a számítógépre elhelyezett sütiket a felhasználó a saját számítógépéről bármikor eltávolíthatja, illetve letilthatja böngészőjében a sütik alkalmazását.

VI. Az adatokhoz hozzáférõ személyek köre

Az Érintett által megadott Személyes adatokhoz az Adatkezelő és az Adatfeldolgozók férhetnek hozzá a feladataik ellátása érdekében. Személyes adatok feldolgozását alapvetően az Adatkezelő látja el, illetőleg az egyes kiszervezett tevékenységek kapcsán azt az Adatfeldolgozók látják el. Ebben az esetben az Adatkezelő az Adatfeldolgozók felé ad át adatot, illetve azok tevékenységük jellege folytán hozzáférhetnek adatokhoz. Az Adatkezelő felel az Adatfeldolgozók tevékenységéért.

Az Adatkezelő képviseletét ellátó jogi képviselő szintén megismerheti az Érintett Személyes adatait, ha az Érintett beadványa alapján bírósági eljárás indul.

Az Adatkezelő csak a következő kivételes esetekben adja át az Érintett Személyes adatait más állami szerveknek:

  • Amennyiben az Adatkezelő az irattározásra vonatkozó jogszabályok és saját belső szabályzata alapján az Érintett Személyes adatait tartalmazó ügyet átadja a Levéltár számára.
  • Amennyiben az Érintettel kapcsolatos ügyben bírósági eljárás indul és az eljáró bíróság számára szükséges az Érintett Személyes adatait tartalmazó iratok átadása.
  • Amennyiben a nyomozó hatóság megkeresi az Adatkezelőt és a folyamatban lévő nyomozáshoz az Érintett Személyes adatait tartalmazó iratok továbbítását kéri.

VII. más adatkezelõ számára végzett adatfeldolgozás

Az Adatkezelő harmadik személlyel létrejött szerződés szabályai szerint (a továbbiakban mint Megbízott) más adatkezelő számára végezhet adatfeldolgozói tevékenységet.

A fentiek vonatkozásában a GDPR 28. cikke által előírtak szerint a Megbízott garantálja, hogy

  • a más Adatkezelő számára végzett Adatfeldolgozás a GDPR követelményeinek megfelelően, az Érintettek jogainak védelmét biztosító megfelelő technikai és szervezési intézkedések végrehajtásával történik;
  • a más Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további Adatfeldolgozót nem vesz igénybe;
  • amennyiben a más Adatkezelő felhatalmazásával igénybe vett további Adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, a Megbízott teljes felelősséggel tartozik a más Adatkezelő felé a további Adatfeldolgozó kötelezettségeinek teljesítéséért.

A Megbízott a felek között létrejött szerzõdés szabályai szerint

  • a Személyes adatokat kizárólag a más Adatkezelő írásbeli utasításai alapján kezeli;
  • biztosítja, hogy a Személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak;
  • a GDPR adatkezelés biztonságára vonatkozó rendelkezései szerint megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ilyen intézkedések különösen a Személyes adatok álnevesítése és titkosítása, a Személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása, fizikai vagy műszaki incidens esetén az arra való képesség biztosítása, hogy a Személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani, valamint az Adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások alkalmazása.
  • megfelelő technikai és szervezési intézkedéseket tesz annak érdekében, hogy a lehetséges mértékben segítse a más Adatkezelőt abban, hogy az teljesíteni tudja kötelezettségét az Érintettek jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
  • a Megbízottnál a más Adatkezelőt érintő Adatvédelmi incidens esetén azt az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenteni a más adatkezelőnek és együttműködik az Adatvédelmi incidensből eredő hátrányos következmények enyhítésében;
  • a más Adatkezelő számára lehetővé teszi, hogy az a Megbízottra vonatkozó kötelezettségek megtartását ellenőrizze, akár személyesen, akár az általa megbízott más ellenőr vagy auditor révén;
  • a szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden Személyes adatot töröl vagy visszajuttatja azokat a más Adatkezelőnek és törli a meglévő másolatokat is, kivéve, ha az uniós vagy a tagállami jog a Személyes adatok tárolását írja elő.

A Megbízott a más Adatkezelő számára végzett adatfeldolgozói tevékenysége kapcsán is érvényesíti mindazokat az adatbiztonsági intézkedéseket és fejlesztéseket, amelyeket a saját adatkezelői tevékenységéhez kapcsolódóan bevezet.

VIII. Adatbiztonsági intézkedések

Az Adatkezelő az érintett által megadott Személyes adatokat elsődlegesen a jelen Tájékoztatóban megadott Adatfeldolgozó szokásos védelmi rendszerekkel ellátott szerverein, részben a saját informatikai eszközein, papír adathordozó esetén székhelyén, illetve telephelyén megfelelően elzárva tárolja. A Személyes adatok tárolásához az Adatkezelő más közreműködő szolgáltatását nem veszi igénybe.

Az Adatkezelő az elvárható intézkedésekkel gondoskodik arról, hogy a Személyes adatokat védje többek között a jogosulatlan hozzáférés ellen vagy azok jogosulatlan megváltoztatása ellen.

Az elektronikus formában, fájlban, számítástechnikai felhőszolgáltatás igénybevételével tárolt adatokhoz való hozzáférés biztonsága érdekében az Adatkezelő kellő biztonságot adó, erős jelszavas védelmet alakít ki és azt kellő gyakorisággal frissíti.

Az Adatkezelő gondoskodik arról, hogy a rendszereiben a hozzáférések naplózottak legyenek és a napló adatokat rendszeresen elemzi. Bármely rendellenességre utaló jel esetén az Adatkezelő megteszi a szükséges megelőző vagy incidens kezelő intézkedéseket.

Az Adatkezelő biztosítja a jelszavak felhasználóhoz kötését a használt eszközök és rendszerek használata során, valamint rendszeresen ellenőrzi azok előírás szerinti használatát. Ilyen különösen a jelszavak több felhasználó általi használatának tilalma, a jelszavak más számára elérhetetlen módon történő tárolása, a jelszavas védelem kikapcsolásának technikailag lehetetlenné tétele, illetve ennek hiányában megtiltása.

Az Adatkezelő az Adatfeldolgozó számára átadott elektronikus adatok esetén is használja az adott dokumentum kapcsán elérhető jelszavas dokumentumvédelmi megoldásokat, ezzel biztosítva, hogy a dokumentum adatai esetleges illetéktelen személyhez kerülve se legyenek az illetéktelen személy által hozzáférhetőek.

Az analóg módon, papír adathordozón tárolt adatok esetében is gondoskodni kell fizikai biztonságról az elzárhatóságot biztosító tárolók kialakításával, illetve a kulcsok biztonságos őrzésével.

A tevékenység végzése közben is észszerű eszközökkel gondoskodni kell a papír adathordozókon tárolt adatok más számára megismerhetetlenné tételéről fedlap vagy dosszié használatával, a dokumentum összehajtásával, illetve ezekhez hasonló módon.

A napi tevékenység végeztével az Adatkezelőnek elegendő időt kell biztosítania arra, hogy a nap során keletkezett dokumentumok elzárt helyre kerüljenek, ahhoz illetéktelenek ne férhessenek hozzá. Ennek megtartását az Adatkezelő rendszeresen ellenőrzi.

Az Adatkezelő rendszeres oktatással gondoskodik az adatbiztonság kialakításához és fenntartásához szükséges humán tényező magas szinten tartásáról. Az oktatásnak ki kell terjednie a felhasználók felelősségének magas szinten tartására, valamint jó gyakorlatok kialakításával kell az adatbiztonság kérdését a mindennapi rutin részévé tenni. Ilyenek lehetnek különösen a Személyes adatokat tartalmazó laptopot, telefont vagy dokumentumot a felhasználó nem hagyhat gépjárműben, illetve azokat nem hagyhatja őrizetlenül, valamint szállodában gondoskodik széfben történő elzárásukról.

A felhasználó köteles a normálistól eltérő működés legapróbb jelét tapasztalva azt az Adatkezelőnek jelenteni.

Az Adatkezelő az Adatfeldolgozóval történő együttműködése keretében az Adatfeldolgozóval kölcsönösen gondoskodik arról, hogy megfelelően képzett és felhatalmazással, jogosultsággal rendelkező, egymás elérési adatait ismerő személyek álljanak rendelkezésre az adatbiztonságot érintő intézkedések megtételére, az Adatvédelmi incidensek megelőzésére és annak bekövetkezte esetén annak hatásait csökkentő hatékony intézkedések megtételére.

IX. Intézkedés Adatvédelmi incidens esetén

1. Az adatvédelmi incidens megelõzésével kapcsolatos kötelezettségek

Az Adatvédelmi incidenst (a biztonság olyan sérülését, amely a továbbított, tárolt vagy más módon kezelt Személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi) minden észszerű és elérhető módon meg kell előzni.

Adatvédelmi incidensre utaló jel esetén az Adatkezelő azt a tudomásszerzést követően haladéktalanul kivizsgálja és megállapítást tesz arról, hogy az Adatvédelmi incidens valóban bekövetkezett-e, vagy nem.

Az Adatvédelmi incidensnek nem minősülő esetben is – amennyiben abból a későbbi biztonságosabb működés érdekében következtetés vonható le – dokumentálni kell a történteket és az Adatkezelő ez alapján megteszi a szükséges intézkedéseket.

2. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

Az Adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, ha lehetséges legkésőbb hetvenkét (azaz 72) órával azután, hogy az Adatvédelmi incidens a tudomására jutott, bejelenti a GDPR 55. cikke alapján illetékes felügyeleti hatóságnak, kivéve, ha az Adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg hetvenkét (azaz 72) órán belül, akkor mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az Adatfeldolgozó az Adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek.

Az Adatvédelmi incidensről szóló bejelentésben ismertetni kell

  • az Adatvédelmi incidens jellegét, beleértve – amennyiben az lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az Adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Az Adatkezelő nyilvántartja az Adatvédelmi incidenseket, feltüntetve az Adatvédelmi Incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a követelményeknek való megfelelést.

3. Az Érintett tájékoztatása az adatvédelmi incidensrõl

Ha az Adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az Érintettet az Adatvédelmi incidensről.

Az Adatvédelmi incidensről szóló tájékoztatásban világosan és közérthetően ismertetni kell

  • az adatvédelmi incidens jellegét, beleértve – amennyiben az lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az Adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • az Adatkezelő által az Adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az Érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  • Az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre és ezeket az intézkedéseket az Adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a Személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.
  • Az Adatkezelő az Adatvédelmi incidenst követően olyan intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.
  • A tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az Adatkezelő még nem értesítette az Érintettet az Adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az Adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását, vagy megállapíthatja a bejelentés mentességi feltételek valamelyikének teljesülését.

X. Az Érintettek jogai

1. Az Érintett joggyakorlásával kapcsolatos eljárás általános szabályai

Az Adatkezelő az Érintett részére a Személyes adatok kezelésére vonatkozó információt és minden egyes tájékoztatást a jelen Tájékoztatóval vagy az alapján ad meg, törekedve annak tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva történő átadására. Bármely kivonat esetén hivatkozni kell a teljes Tájékoztató dokumentumára – azt mellékelve vagy link segítségével elérhetővé téve.

Az Érintettre vonatkozó tájékoztatás kizárólag az Érintett részére nyújtható. Amennyiben a tájékoztatást kérő személy Érintettként nem azonosítható minden kétséget kizáróan, a tájékoztatást meg kell tagadni. Ilyen esetről az Adatkezelő nevében eljáró személy köteles jegyzőkönyvet felvenni, a tények pontos rögzítésével, amely alapdokumentum lehet esetleges panaszügy kezelése során.

Az azonosítás során is a GDPR 5. cikke szerinti elvek (jogszerűség, tisztességes eljárás és átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg, elszámoltathatóság) szerint kell eljárni, valamint az azonosítást a szükséges és elégséges elv szerint kell elvégezni. Ennek megfelelőn az Érintettnek az Adatkezelőnél kezelt e-mail címéről érkező kérés esetén további személyazonosítást nem kell elvégezni.

Ha az Érintett elektronikus úton nyújtotta be a kérelmét, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.

Az Érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy megfelelően igazolta a személyazonosságát.

Az Adatkezelő a kérelem beérkezésétől számított legkésőbb egy (azaz 1) hónapon belül köteles tájékoztatni az Érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén – figyelembe véve a kérelem összetettségét és a kérelmek számát – ez a határidő további két (azaz 2) hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy (azaz 1) hónapon belül tájékoztatja az Érintettet.

Amennyiben az Adatkezelő nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy (azaz 1) hónapon belül köteles tájékoztatni az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál és élhet bírósági jogorvoslati jogával.

Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel a Személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet kérésére az Adatkezelő tájékoztatja ezen címzettekről.

2. Az Érintett elõzetes tájékoztatáshoz való joga

Az Adatkezelő az Érintett rendelkezésére bocsátja az Érintett Személyes adatainak megszerzésekor a Tájékoztatót, amely tartalmazza a GDPR 13. és 14. cikke szerinti információkat.

Az Tájékoztatót az Adatkezelő elhelyezi honlapján elektronikusan letölthető formában és azt kifüggeszti az érintettek számára elérhető helyen papír adathordozón is.

3. Az Érintett hozzáférési joga

Az Érintett az Adatkezelő elérhetőségein keresztül, írásban tájékoztatást kérhet az Adatkezelőtől, hogy az tájékoztassa, kezeli-e a Személyes adatait és ha igen, akkor milyen Személyes adatait és mely célra, mely címzettekkel közölték vagy közlik, meddig tervezi az Adatkezelő tárolni, amennyiben nem az Érintettől gyűjtötték a forrásukra vonatkozó minden információról, továbbították-e harmadik országba vagy nemzetközi szervezet részére és ha igen, milyen garanciákkal (GDPR 46. cikk).

A tájékoztatásnak továbbá ki kell egészülnie az Érintett azon jogáról szóló információkkal is, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, valamint tiltakozhat az ilyen Személyes adatok kezelése ellen, illetve a felügyeleti hatóság felé panasszal élhet.

Az Adatkezelő az Adatkezelés tárgyát képező Személyes adatok másolatát az Érintett rendelkezésére bocsátja. Az Érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

4. Az Érintett helyesbítéshez való joga

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan Személyes adatokat. Figyelembe véve az Adatkezelés célját, az Érintett jogosult arra, hogy kérje a hiányos Személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

5. Az Érintett törléshez való joga

Az Érintett az Adatkezelő elérhetőségein keresztül, írásban kérheti az Adatkezelőtől személyes adatainak törlését, amennyiben

  • a Személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az Érintett visszavonja az Adatkezelés alapját képező hozzájárulását és az Adatkezelésnek nincs más jogalapja;
  • az Érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az Adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az Adatkezelésre, vagy az Érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az Adatkezelés ellen;
  • a Személyes adatokat jogellenesen kezelték;
  • a Személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  • a Személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha az Adatkezelő nyilvánosságra hozta a Személyes adatot és azt törölni köteles, akkor az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve a technikai intézkedéseket is – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó Személyes adatokra mutató linkek vagy ezen Személyes adatok másolatának, illetve másodpéldányának törlését.

Az Adatkezelő a törlést megtagadhatja, amennyiben az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, illetve a GDPR 17. cikk (3) bekezdése szerinti egyéb esetekben.

6. Az Érintett adatkezelés korlátozásához való joga

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az Adatkezelést, ha

  • az Érintett vitatja a Személyes adatok pontosságát, mely esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a Személyes adatok pontosságát;
  • az Adatkezelés jogellenes, de az Érintett ellenzi az adatok törlését, illetve ehelyett kéri azok felhasználásának korlátozását;
  • az Adatkezelőnek már nincs szüksége a Személyes adatokra Adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
  • az Érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az Adatkezelés ellen, mely esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

Ha az Adatkezelés a fentiek okok valamelyike miatt korlátozás alá esik, akkor az ilyen Személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes és jogi személy jogainak védelme érdekében, illetve az Unió vagy valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő az Érintettet, akinek a kérésére a fenti okok valamelyike miatt korlátozták az Adatkezelést, az Adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

7. Az Érintett adathordozhatósághoz való joga

Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott Személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, aki a Személyes adatokat a rendelkezésére bocsátotta, ha az Adatkezelés az Érintett hozzájárulásán, vagy az Érintett és az Adatkezelő, mint szerződéses felek közti szerződésen alapul, illetve ha az Adatkezelés automatizált módon történik.

Az adatok hordozhatóságához való jog gyakorlása során az Érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a Személyes adatok Adatkezelők közötti közvetlen továbbítását.

Az adathordozhatósághoz való jog gyakorlása nem sértheti a GDPR törléshez való jogra vonatkozó rendelkezéseit. E jog nem alkalmazandó abban az esetben, ha az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.

8. Az Érintett tiltakozáshoz való joga

Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon Személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a Személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, illetve amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a Személyes adatok kezelése közvetlen üzletszerzés érdekében történik, akkor az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó Személyes adatok ezen célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

Ha az Érintett tiltakozik a Személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a Személyes adatok a továbbiakban e célból nem kezelhetők.

A tiltakozáshoz való jogra legkésőbb az Érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, valamint az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és az Európai Parlament és a Tanács 2002/58/EK irányelve az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről rendelkezéseitől eltérve az Érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a Személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó Személyes adatok kezelése ellen, kivéve, ha az Adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

9. Automatizált döntéshozatal egyedi ügyekben

Az Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált Adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

A fenti rendelkezés nem alkalmazandó abban az esetben, ha a döntés az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, vagy meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, illetve az Érintett kifejezett hozzájárulásán alapul.

A szerződésen alapuló és az önkéntes Adatkezelés esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az Érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, illetve a döntéssel szemben kifogást nyújtson be.

A fenti döntések nem alapulhatnak a Személyes adatoknak a GDPR 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a GDPR 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, valamint az Érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

10. Korlátozások

Az Adatkezelőre vagy Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a GDPR 12–22. cikkekben és a GDPR 34. cikkben foglalt, valamint a GDPR 12–22. cikkekben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében a GDPR 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az a GDPR 23. cikkben foglaltak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban.

XI. Az Érintett jogainak érvényesítése

Az Adatkezelő törekszik arra, hogy az Érintett Adatkezeléssel kapcsolatos jogát a jogszabályoknak megfelelően gyakorolni tudja és megelégedettségével záruljon minden ügy.

Amennyiben az Érintett Személyes adataival kapcsolatos tiltakozását, panaszát, kérelmeit az Adatkezelővel nem sikerült megnyugtató módon rendeznie, vagy az Érintett bármikor úgy ítéli meg, hogy Személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, úgy a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jogosult bejelentést tenni.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Levelezési cím: 1530 Budapest, Pf.: 5.
Telefon: +36 1 391 1400
Telefax: +36 1 391 1410
E-mail: ugyfelszolgalat[kukac]naih[pont]hu
Honlap: https://naih.hu/

Az Érintett által tapasztalt jogellenes Adatkezelés esetén polgári pert kezdeményezhet az Adatkezelő ellen. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az Érintett választása szerint – a lakóhelye szerinti törvényszék előtt is megindítható. A törvényszékek felsorolásáról és elérhetőségükről az Érintett a https://birosag.hu/torvenyszekek/ oldalon keresztül tájékozódhat.