ADATKEZELÉSI SZABÁLYZAT

1. PREAMBULUM 2

2. ADATKEZELŐ MEGNEVEZÉSE 2

3. FŐBB JOGSZABÁLYOK, FOGALMAK 3

4. SZABÁLYZAT CÉLJA ÉS HATÁLYA 7

5. ADATKEZELÉS ELVEI 8

6. ADATKEZELÉS SZABÁLYAI 9

7. ADATKEZELÉS JOGALAPJA, CÉLJA 10

8. ÉRINTETTEK JOGAI 10

9. KEZELT SZEMÉLYES ADATOK 14

10. ADATKEZELÉS IDŐTARTAMA 15

11. ADATBIZTONSÁGI SZABÁLYOK 15

12. ADATVÉDELMI INCIDENS 16

13. KORLÁTOZÁSOK 18

14. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI 18

15. ZÁRÓ RENDELKEZÉSEK, HATÁLYBA LÉPÉS 19

  1. PREAMBULUM
  1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE előírja, hogy az Adatkezelő megfelelő intézkedéseket hozzon annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtson, továbbá hogy az Adatkezelő elősegítse az érintett jogainak a gyakorlását.
  1. Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény is előírja.
  1. Az alábbiakban olvasható tájékoztatással, illetőleg szabályzattal e jogszabályi kötelezettségünknek teszünk eleget.
  1. A szabályzatot közzé kell tenni az adatkezelő honlapján, vagy az érintett személy részére kérés esetén meg kell küldeni.

A fentiekre tekintettel az alábbiakban részletezett adatkezelő társaság az alábbi adatvédelmi szabályzatot (a továbbiakban: „Szabályzat”) alkotja:

  1. ADATKEZELŐ MEGNEVEZÉSE
Cégnév: WhiteIT Fintech Zrt.
Székhely: 1095 Budapest, Lechner Ödön fasor 1. 7. em. 16. ajtó
Cégjegyzékszám:01-10-142606
Adószám: 32435274-2-43
Képviseli: együttesen, Lóki Péter (cgj.: 13/1.), Gulyás Péter László (cgj.: 13/2)
Weboldal:https://www.whiteit.ai
E-mail:info@whiteless.hu; info@whiteit.hu
Telefonszám:Lóki Péter, +3630/63-00-473.

(a továbbiakban: „Adatkezelő” vagy „Társaság”)

  1. Az Adatkezelő kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfelel a hatályos jogszabályokban meghatározott elvárásoknak, az adatokat bizalmasan kezeli és bizalmas jelleg és az adatok integritásának megőrzése érdekében informatikai és egyéb biztonságos adatkezelést elősegítő technikai és szervezési intézkedéseket hajt végre.
  1. Társaság https://www.whiteit.ai weboldalának tárhelyszolgáltatója és technikai értelemben az üzemeltetője a tarhely.eu (Tárhely.Eu Szolgáltató Kft., székhely: 1144 Budapest, Ormánság utca 4. X. em. 241., cgj. szám: 01-09-909968.). A honlapon adatkezelés nem történik. 
  1.  A Társaság által működtetett játék hátterét szolgáló virtuális szervert a RackForest (https://rackforest.com/) adja. Magát a rendszert (virtuális szerver szintjén) a Társaság üzemelteti és azzal kapcsolatos adatkezelést maga a Társaság végez.
  1. Társaságunk elektronikus levelezésének („e-mailezés”) lebonyolítása érdekében a következő szolgáltató levelezési rendszerét használja:

Ezen adatfeldolgozó megnevezése a következő:

Cégnév:Microsoft Magyarország Kft.
Székhely:1031 Budapest, Graphisoft Park 3.

Microsoft Ireland Operations Limited – Microsoft 365

Adatvédelmi információk: https://privacy.microsoft.com/hu-hu/privacystatement

levélben:

Attn: Data Protection Officer

One Microsoft Place

South County Business Park

Leopardstown

Dublin 18 Ireland

telefonon: +353 1 706 3117

webes űrlapon: https://privacy.microsoft.com/hu-HU/privacy-questions

  1. FŐBB JOGSZABÁLYOK, FOGALMAK

FŐBB JOGSZABÁLYOK:

  1. GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: „GDPR” vagy „Rendelet”

A GDPR az Európai Parlament és a Tanács rendelete, amely így teljes egészében kötelező és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamban, így Magyarországon is.

  1. Infotv.: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: „Infotv.”)

Abban az esetben, ha a GDPR szabályainak megfelelő módon magyar jogszabály – elsősorban az Infotv., de speciális adatkezelések esetében ágazati jogszabályok – részletszabályokat alkot meg, akkor a Társaság ezeket a szabályokat is alkalmazza. Abban az esetben, amennyiben az adatkezelés nem esik a GDPR hatálya alá, úgy az Infotv. szabályait alkalmazza a Társaság.

  1. Társaság vagy Adatkezelő: WhiteIT Fintech Zrt.  
  1. NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „NAIH”)
  1. Ptk.: a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”)
  1. Magyarország Alaptörvénye (a továbbiakban: „Alapörvény”)

Magyarország Alaptörvényének E) cikke kimondja, hogy az Európai Unió joga megállapíthat általánosan kötelező magatartási szabályt, így a Szabályzat megalkotása és alkalmazása során a szabályok elsődlegesen a GDPR-ból fakadnak. Alaptörvény VI. cikk (3): Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (4): A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.

FOGALMAK:

  1. Jelen Szabályzatban használt fogalmak megegyeznek a GDPR I. fejezet 4. cikkében meghatározott értelmező rendelkezésekkel:

Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.);

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.);

Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);

Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.);

Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.);

Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);

Érintett jogai, a Rendelet 12-21. cikkében rögzített jogok;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);

Adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát; 
  2. az adatkezelés jogellenes és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben [GDPR 18. cikk. (1)];

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.); 

Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.);

Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.); 

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.); 

Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.); 

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.); 

EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.); 

Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.); Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.); 

Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.); 

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.); 

Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.); 

Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra a rendelet értelmében háruló kötelezettségek vonatkozásában (GDPR 4. cikk 17.); 

A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása: 

1) adattovábbítás megfelelőségi határozat alapján, 

2) adattovábbítás megfelelő garanciák alapján, 

3) megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR által biztosított” az eltérés lehetősége különös helyzetekben történhet (GDPR 44-50. cikk);  

Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);

Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);

Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy a Rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a Rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.); 

Tevékenységi központ:  

a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira, eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; 

b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra a Rendelet szerint meghatározott kötelezettségek vonatkoznak [GDPR 4. cikk 16.];

Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is (GDPR 4. cikk 18.); 

Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások (GDPR 4. cikk 19.); 

Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.); (Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.)

Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: 

a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel, 

b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy 

c) panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.); 

Személyes adatok határokon átnyúló adatkezelése: 

a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy 

b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket (GDPR 4. cikk 23.); 

Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.);

Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.)

Amennyiben a mindenkori hatályos adatvédelmi előírások jelen Szabályzat hatályba lépését követően megváltoznak oly módon, hogy a jelen Szabályzatban rögzített fogalmak eltérnek az adatvédelmi jogszabályban meghatározott fogalommeghatározásoktól, akkor a mindenkor hatályos adatvédelmi jogszabályok rendelkezéseiben rögzített fogalmakat a megfelelő eltérésekkel kell figyelembe venni.

  1. SZABÁLYZAT CÉLJA ÉS HATÁLYA

CÉLJA:

  1. A Társaság jelen Szabályzat megalkotásával és elérhetővé tételével biztosítja a GDPR III. fejezetében meghatározott érintetti jogokat azzal, hogy meghatározza az adatvédelmi elvek gyakorlati megvalósulását és a Társaság által folytatott adatvédelmi folyamatokat. A Szabályzat meghatározza a Társaság által kezelt személyes adatokat, azok forrását, az adatkezelés célját, jogalapját, időtartamát, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevét, címét és az adatkezeléssel összefüggő tevékenységét, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapját és címzettjét.
  1. Szabályzattal a Társaság biztosítani kívánja az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát

HATÁLYA:

  1. A Szabályzat személyi hatálya kiterjed minden olyan személyre, aki a Társasággal fennálló, így különösen munkavállalói-, munka-, adatfeldolgozói-, megbízási jogviszonya alapján (továbbiakban: a Társaság munkatársa) személyes adatokhoz hozzáfér, vagy azok birtokába jut.
  1. A Szabályzat időbeli hatálya annak kihirdetésétől visszavonásáig tart.
  2. ADATKEZELÉS ELVEI
  1. A Társaság az adatkezelés során az alábbi alapelvek alapján szervezi meg folyamatait: 

jogszerűség, tisztességes eljárás és átláthatóság elve [GDPR 5. cikk (1) a)]: A Társaság személyes adatot csak jogszerűen és a tisztességesen kezel, az adatkezelést az érintett számára átlátható módon, többek között jelen Szabályzat nyilvánosságra hozatalával, végzi. 

célhoz kötöttség elve [GDPR 5. cikk (1) b)]: a Társaság minden esetben, ha személyes adatot kezel, az adat felvétele előtt meghatározza a személyes adat kezelésének célját, amely így előre meghatározott, egyértelmű és jogszerű. Személyes adatot a Társaság az előre meghatározott céllal össze nem egyeztethető módon nem kezel. Amennyiben teljesült az adatkezelés célja és jogszabály nem írja elő kötelezően az adat további kezelését, úgy a személyes adatot a Társaság törli. 

adattakarékosság elve [GDPR 5. cikk (1) c)]: a Társaság az adatkezelés során csak olyan személyes adatot kezel, amely a cél eléréséhez megfelelő és releváns, a Társaság az adatkezelést csak a cél eléréséhez szükséges minimum adatmennyiségre korlátozza. 

pontosság elve [GDPR 5. cikk (1) d)]: a Társaság törekszik rá, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek és a jelen Szabályzatba foglalt módon törekszik rá, hogy a pontatlan személyes adatokat haladéktalanul törölje vagy – az érintett kérelmére vagy tudomására jutása esetén – helyesbítse.

korlátozott tárolhatóság elve [GDPR 5. cikk (1) e)]: a Társaság személyes adatot csak úgy tárol, hogy a személyes adat érintettje csak az adatkezelés céljának eléréséig azonosítható az adatkezelés során, a személyes adatok ennél hosszabb ideig történő tárolását csak jogszabály kötelező előírása alapján végzi a Társaság.

integritás és bizalmasság elve [GDPR 5. cikk (1) f)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet. 

elszámoltathatóság elve [GDPR 5. cikk (2)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy az adatkezelés bármely pillanatában képes legyen a jelen pontba foglalt elveknek való megfelelést igazolni.

  1. ADATKEZELÉS SZABÁLYAI
  1. A Társaság kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
  1. A Társaság személyes adatot csak és kizárólag a GDPR 6. cikkébe, a személyes adatok különleges kategóriáiba tartozó személyes adatot csak és kizárólag a GDPR 9. cikk (2) bekezdésében foglalt jogalapokkal, jog gyakorlása vagy kötelezettség teljesítés érdekében kezel.
  1. A konkrét adatkezelési folyamattal érintett jogosultság vagy kötelezettség keletkezhet a Társaság, az érintett vagy harmadik fél oldalán is.
  1. A Társaság kezelésében lévő személyes adat az adatkezelés során mindaddig megőrzi személyes adat minőségét, amíg belőle az érintett azonosított vagy azonosítható. A Társaság akkor tekint egy adatot személyes adatnak, amennyiben rendelkezik azzal a technikai feltétellel, amely segítségével képes az adatból azonosítani az érintettet.
  1. A Társaság csak úgy folytat adatkezelést, hogy az minden szakaszában megfelel az adatkezelési célnak.
  1. A Társaság jelen Szabályzat vagy a konkrét adatkezelési folyamatleírás nyilvánosságra hozatalával minden esetben közli az érintettel az adatkezelés célját, az adatkezelés jogalapját, valamint az adatkezeléssel kapcsolatos, a GDPR 13-14. cikkében meghatározott tényeket. 
  1. A Társaság munkaszervezési, fizikai, informatikai és jogosultságkezelési eszközökkel gondoskodik arról, hogy illetéktelen személyek a személyes adatokat ne ismerhessék meg.
  1. A Társaság munkatársai és az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek munkatársai és megbízottjai (alvállalkozói) kötelesek az adatkezelés során megismert személyes adatokat titokként megőrizni.
  1. A személyes adatok egyetlen része, vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt, kivéve, ha a személyes adat közérdekből nyilvános adatként történő nyilvánosságra hozatalát jogszabály írja elő.
  1. A Társaság munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.
  1. Személyes adatról papíralapú vagy elektronikus másolat csak abban az esetben készíthető, ha azt az adatkezelés folyamata szükségessé teszi vagy jogszabály előírja.
  1. Ha a Társaság valamely munkatársa a Szabályzatot megszegi, a Társaság és közte lévő jogviszony jellegétől függően ezért felelősséggel tartozik. 
  1. 18. éven aluli személyek – amennyiben nem minősülnek nagykorúnak – nem adhatnak meg magukról személyes adatot, kivéve, ha a szülői felügyeleti jogot gyakorló, illetve gyám/gyámhivatal, gondnok ehhez engedélyt adott vagy ő maga adta meg azt.
  1. 14. évüket be nem töltött kiskorú nevében a szülő felügyeleti jogot gyakorló (törvényes képviselő), illetve gyám/gyámhivatal, gondnok jár el.
  1. Folyamatos kép- és hangfelvétel vagy képfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges. Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén (Ptk. 2:48. § (1)-(2) bek.).
  2. ADATKEZELÉS JOGALAPJA, CÉLJA

JOGALAPJA:

  1. Az adatkezelés jogalapját a Társaság minden adatkezelési folyamatnál meghatározza. 
  1. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) és 9. cikk (2) bekezdésekben rögzítettek szerint határoz meg a Társaság. 
  1. A Társaság az adatkezelési rendszerét úgy alakítja ki, hogy minden személyes adatra vonatkozóan bizonyítani tudja, hogy mikor, milyen formában történt a személyes adat felvétele és milyen tájékoztatást kapott az érintett a személyes adat felvételekor.
  1. A személyes adatok különleges kategóriáiba tartozó személyes adatot főszabály szerint a Társaság nem kezel, kivéve abban az esetben, amennyiben bizonyítani tudja a 7.3. pontba foglalt valamely körülmény fennállását.

CÉLJA:

  1. A Társaság, mint Adatkezelő által működtetett https://tozsdemagus.huelnevezésű platformhoz az éritett személyek általi hozzáférése okán történik adatkezelés, mely kifejezett célja, hogy ezen érintett személyek, mint felhasználók a platform használatával beazonosíthatóak legyenek a lehető legminimálisabb személyes adatok kezelésével. 
  1. Az adatkezelés minden esetben célhoz kötött. A Társaság szolgáltatásaival kapcsolatos adatkezelés során a személyes adatok felvétele és kezelése minden esetben az Érintett önkéntes hozzájárulásán alapul.
  1. A Társaság által rögzített személyes adatokat a mindenkor hatályos adatvédelmi jogszabályokkal – így különösen a GDPR-val és az Infotv.-nyel – összhangban, a jelen Szabályzatnak megfelelően kezeli.
  2. ÉRINTETTEK JOGAI
  1. Az Érintett kérelmezheti az Adatkezelőnél az alábbiakat:
  1. tájékoztatást személyes adatai kezeléséről (az adatkezelés megkezdését megelőzően, illetve az adatkezelés során)

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint más tényezőkről. Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről. A tájékoztatás főszabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A Társaság az érintettnek adott minden tájékoztatást főszabály szerint írásban tesz meg, ideértve az elektronikus utat is. Amennyiben az érintett kéri a szóbeli tájékoztatást, úgy személyazonossága igazolását követően a Társaság erre felhatalmazott munkatársa a tájékoztatást szóban is megadhatja.  A Társaság az érintett számára tájékoztatást csak és kizárólag abban az esetben nyújt, ha a Társaság erre felhatalmazott munkatársa meggyőződött az érintett személyazonosságáról. Az érintett személyazonosságáról való meggyőződésnek számít, ha a Társaság erre felhatalmazott munkatársa előtt: − az érintett személyazonosságát a hatályos magyar jog szerinti személyazonosság igazolására alkalmas okmány bemutatásával (így különösen, de nem kizárólagosan személyazonosító igazolvánnyal, útlevéllel, vezetői engedéllyel) igazolja, − az érintett személyazonosságát az Európai Unió joga szerint személyazonosság igazolására alkalmas okmány bemutatásával igazolja, − az érintett kérelme a Társaság előtt már korábbi ügyből ismert, az érintetthez köthető e-mail címről érkezik, − az érintett kérelme a Társaság által biztosított, zárt, a megfelelő személyazonosítás megtörténte után használható csatornán érkezik. A Társaság nem fogadja el a személyazonosítás telefonos úton történő egyetlen formáját sem. Amennyiben a személyazonosság igazolása nem történik meg, a Társaság az érintetti joggyakorlási kérelmet elutasítja. A Társaság az érintettet a kérelem beérkezésétől számított egy hónapon belül tájékoztatja. Beérkezésnek az számít, ha az igényt az érintett: − szóban személyesen a Társaságnak személyazonosítást követően megteszi, − az írásba foglalt igény a Társaság elérhetőségére megérkezik. A határidőt a Társaság maximum további két hónappal meghosszabbítja, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma azt indokolja.  A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül a Társaság tájékoztatja az érintettet. Amennyiben a Társaság nem intézkedik az érintett kérelmére, úgy az érintett jogorvoslati jogával élhet a Társaság ellen. A Társaság tájékoztatást és intézkedéseket díjmentesen végzi. 

  1. hozzáférést személyes adataihoz (személyes adatai Adatkezelő általi rendelkezésére bocsátását),

Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: 

a) az adatkezelés célja; 

b) az érintett személyes adatok kategóriái; 

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket, nemzetközi szervezeteket; d) a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges ezen időtartam meghatározásának szempontjai; 

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; 

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; 

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; h) automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. 

Az érintett továbbá jogosult arra is, hogy az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsássa. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. kivéve, ha az érintett máshogy kéri. Az Érintett az 2.1. pontban meghatározott elérhetőségeken nyújthatja be Érintetti kérelmét az Adatkezelő részére. Az Adatkezelő az Érintett jogszerű kérelmét legfeljebb 30 napon belül teljesíti (figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő indokolt esetben további két hónappal meghosszabbítható), és erről az Érintettet az általa megadott elérhetőségen értesíti.

Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az Érintettet erről tájékoztatást kap. A hozzájárulás visszavonását a lehető legrövidebb időn belül írásban kell az Adatkezelőhöz eljuttatni.

  1. személyes adatainak helyesbítését, kiegészítését,

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését. A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, a GDPR 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

  1. személyes adatainak törlését vagy korlátozását,

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll: 

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; 

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;  

c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;  

f) személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;

Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles, valamint az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.  A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül: 

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát; b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; 

c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy 

d) az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. A személyes adatok helyesbítéséhez, vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelési korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan nagy erőfeszítést igényel. Az érintetett kérésére az Adatkezelő tájékoztatja e címzettekről.

  1. adathordozhatósághoz való jog. 

Az érintett – a GDPR 27. cikk (1) bekezdésében foglalt feltételek fennállása esetén – jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa

  1. tiltakozhat személyes adatai kezelése ellen.

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Az érintett tiltakozhat személyes adatának kezelése ellen: ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint törvényben meghatározott egyéb esetben.

  1. bírósághoz fordulás joga és panasztétel joga 

Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.

(Rendelet 77. cikk)

Bírósági eljárás kezdeményezése

Az Érintett az Adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az Adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.

A per elbírálása a törvényszék hatáskörébe tartozik. A per – az Érintett választása szerint – az Érintett lakóhelye vagy tartózkodási helye szerinti illetékes törvényszék előtt is megindítható.

Az Adatkezelő az Érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt megtéríti, ugyanakkor mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.  Az Adatkezelő nem téríti meg a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az Érintett személyiségi jogának megsértése esetén az Érintett sérelmdíjat követelhet.

Hatósági eljárás kezdeményezése

Az Érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (1055 Budapest, Falk Miksa utca 9-11, honlap: http://naih.hu; postacím: 1396 Budapest, Pf.: 9.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e mail: ugyfelszolgalat@naih.hu) jogainak érvényesítése érdekében vizsgálatot, illetve hatósági eljárás lefolytatását kezdeményezhet arra hivatkozással, hogy a személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, így különösen,

  1. KEZELT SZEMÉLYES ADATOK
  1. Az Adatkezelő az általa nyújtott platform szolgáltatás teljesítése során és azt követően az Érintett önkéntes hozzájárulása alapján az alábbi személyes adatait kezelheti az adatkezelés céljának függvényében:  
  1. telefonszám, 
  2. korcsoport azonosítás
  3. e-mail cím, 
  4. az Érintett informatikai eszközeinek adatai, 
  5. Microsoft személyes adatok, 
  6. felhasználónevek, jelszavak.
  1. A személyes adatok forrása az érintett.
  1. A személyes adatok megismerésére és ellenőrzésére kizárólag az Adatkezelő és az általa alkalmazott személyek, illetve jogvita esetén az Adatkezelő jogi képviselője, illetve az illetékes hatóságok jogosultak.
  1. Az Adatkezelő az érintett fenti személyes adatait nem továbbítja sem harmadik országba, sem nemzetközi szervezethez. Az Adatkezelő tevékenységének ellátása során az adatfeldolgozókat vehet igénybe, ebben az esetben az adatfeldolgozó személyéről haladéktalanul tájékoztatni köteles az érintettet.
  1. Automatizált döntéshozatal és profilalkotás nem történik az adatkezelés során.
  1. ADATKEZELÉS IDŐTARTAMA
  1. Az adatokat csak a lehető legrövidebb ideig lehet tárolni, ennek megfelelően a kezelt adatok tárolásának időtartama az adatkezelés céljának megvalósulásáig tart.
  1. Az Adatkezelő azonban felhívja az érintett figyelmét, hogy a bűncselekménnyel okozott kár megtérítése esetén az Adatkezelés időtartama 5 év, ha a büntethetőség elévülési ideje ennél hosszabb, ennek megfelelő időtartam.
  2. ADATBIZTONSÁGI SZABÁLYOK
  1. A Társaság, illetőleg tevékenységi körében a Társaság által megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, valamint a Szabályzat érvényre juttatásához szükségesek.
  1. A Társaság az adatbiztonsági folyamatait úgy alakítja ki, hogy azok a személyes adatokat megvédjék a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen.
  1. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR, valamint az adatkezelésre vonatkozó külön törvények keretei között a Társaság határozza meg. Az általa adott utasítások jogszerűségéért a Társaság felel.
  1. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni.
  1. A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza. 
  1. az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók; a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el; 
  2. a személyes adatokat tartalmazó iratokhoz csak az illetékesek férhetnek hozzá; a Társaság adatkezelést végző mindenkor kijelölt munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja; 
  3. a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja; 
  4. amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.
  1. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:
  1. az adatkezelés során használt számítógépek a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír; a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen, illetve indokolt esetben gondoskodik;
  2. az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;  
  3. a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá; 
  4. amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető; 
  5. a Társaság a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el; 
  6. a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik; 
  7. a heti rendszerességgel lementett adatokat tároló mágneses adathordozó az erre a célra kialakított páncéldobozban, tűzbiztos helyen és módon tárolt; 
  8. a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik; a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
  1. ADATVÉDELMI INCIDENS
  1. Adatvédelmi incidensnek minősül minden olyan esemény, amely az Adatkezelő által kezelt, továbbított, tárolt vagy feldolgozott személyes adatokkal kapcsolatban a személyes adat véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
  1. Adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság részére az adatvédelmi incidenst, kivéve, ha az Adatkezelő bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. 
  1. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. A NAIH részére történő bejelentés legalább a következő információkat tartalmazza:
  1. az adatvédelmi incidens jellege, az Érintettek és a személyes adatok hozzávetőleges száma és kategóriája;
  2. Adatkezelő neve, elérhetősége, kapcsolattartó neve és elérhetősége;
  3.  az adatvédelmi incidensből származó, valószínűsíthető következmények;
  4. a megtett vagy tervezett intézkedések az adatvédelmi incidens kezelésére, elhárítására, orvoslására, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  5. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár, az Adatkezelő az adatvédelmi incidens észlelését követően indokolatlan késedelem nélkül, de 72 órán belül tájékoztatja az Érintetteket az adatvédelmi incidensről az Adatkezelő honlapján keresztül. A tájékoztatásnak legalább a jelen pontban meghatározott adatokat kell tartalmaznia, és világosan és közérthetően ismertetni kell az incidens jellegét.
  1. Az adatvédelmi incidensekről az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az Érintettek tájékoztatása céljából nyilvántartást vezet. A nyilvántartás az alábbi adatokat tartalmazza:
  1. az Érintett személyes adatok köre;
  2. az Érintettek köre és száma;
  3. az adatvédelmi incidens időpontja;
  4. az adatvédelmi incidens körülményei, hatásai;
  5. az adatvédelmi incidens elhárítására megtett intézkedések.
  1. A nyilvántartásban szereplő adatokat az Adatkezelő az adatvédelmi incidens észlelésétől számított 5 évig őrzi meg.
  1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
  1. A 12.7. pontban említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
  1. Az érintettet nem kell az 12.6 pontban említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
  1. az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 12.6. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
  1. Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a 12.8. pontban említett feltételek valamelyikének teljesülését
  2. KORLÁTOZÁSOK
  1. Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a) nemzetbiztonság;

b) honvédelem;

c) közbiztonság;

d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

f) a bírói függetlenség és a bírósági eljárások védelme;

g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

i) az érintett védelme vagy mások jogainak és szabadságainak védelme;

j) polgári jogi követelések érvényesítése.

  1. A 13.1. pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,

b) a személyes adatok kategóriáira,

c) a bevezetett korlátozások hatályára,

d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,

e) az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,

f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,

g) az érintettek jogait és szabadságait érintő kockázatokra, és

h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját (Rendelet 23. cikk).

  1. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI
  1. Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. 
  2. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. 
  1. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
  1. Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
  1. Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

  1. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
  1. Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.