Kameraszabályzat

változat: 1.

Kiadva: 2023.03.21.

1. Változáskövetés

“Bizalmas dokumentum, kizárólag belső, munkatársi felhasználásra!
A dokumentum a “LUXIMPEX” Kft. szellemi tulajdona, annak sokszorosítása, engedély nélküli felhasználása tilos!

Tartalomjegyzék

Tartalomjegyzék

BEVEZETŐ
1. A Szabályzat célja
2. A Szabályzat hatálya
2.1. Időbeli hatály
2.2. Személyi hatály
2.3. Tárgyi hatály
3. Fogalmak
4. Az adatvédelem szervezete
4.1. Kommunikáció és döntéshozatal
5. Az adatkezelésre vonatkozó alapelvek
5.1. Jogszerűség, tisztességes eljárás, átláthatóság elve
5.2. Célhoz kötöttség elve
5.3. Arányosság, szükségesség, adattakarékosság elve
5.4. Pontosság, naprakészség elve
5.5. A korlátozott tárolhatóság elve
5.6. Integritás (sértetlenség) és bizalmasság elve
5.7. Az elszámoltathatóság elve
5.8. Beépített és alapértelmezett adatvédelem, mint kötelezettség
6. Az adatvédelem céljainak és eszközeinek a meghatározására jogosult személy, és az egyes adatkezelési feladatokat végző személyek
6.1. A személyes adatok kezelésének céljait, eszközeit meghatározó személy
6.2. Döntés az egyes adatkezelések jogszerűségéről
6.3. Az Adatkezelő által kezelt adatok megismerésére jogosult személyek
6.4. Adatkezelésben részt vevők oktatása
7. Az adatkezelés célja és jogalapja
7.1. Az adatkezelés célja és jogalapja
7.2. Az Érintett hozzájárulása
7.3. Szerződéskötés, szerződés teljesítése
7.4. Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
7.5. Az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges
7.6. Az adatkezelés közérdekű, vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges
7.7. Az adatkezelés az Adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges

8. Automatizált adatkezelés – ideértve a “Profilalkotást” is
8.1. Automatizált adatkezelés
8.2. Profilalkotás
9. Adattovábbítás, adatközlés
9.1. Unión belüli, vagy GDPR-t alkalmazó országokba történő adattovábbítás esetén
9.2. Jogszabály alapján történő adattovábbítás
9.3. Adatközlés bírósági, hatósági megkeresésre
9.4. Adattovábbítás unión kívüli, vagy a GDPR hatálya alá nem tartozó országokba:
10. Adatfeldolgozók igénybevétele
10.1. Kiszervezett feladatok
10.2. Adatfeldolgozási szerződés
10.3. Az Érintettek tájékoztatása az adatfeldolgozással kapcsolatos tevékenységről
10.4. Az Adatkezelő, mint adatfeldolgozó
11. Az Adatkezelő, mint Közös adatkezelő
11.1. Közös adatkezelői státuszra irányadó szabályok
12. Az adatkezelés időtartama
12.1. Az adatkezelés időtartama
12.2. Az egyes konkrét adatkezelések tényleges időtartama
13. Adatkezelési nyilvántartás
13.1. A GDPR által előírt nyilvántartás (GDPR 30. cikk)
13.2. Egyéb, az Adatkezelő által alkalmazott nyilvántartások:
13.2.1. Amennyiben az Adatkezelő, mint adatfeldolgozó működik közre adatkezelésben, az alábbi tartalommal vezeti a nyilvántartást:
13.2.2. Adatvédelmi incidenssel kapcsolatos nyilvántartás
13.2.3. Hozzáférési jogosultságok nyilvántartása
14. Adatbiztonsági előírások
14.1. Az Adatkezelő informatikai rendszereinek fellelhetősége, üzemeltetése
14.2. Az adatok védelme
14.2.1. Az informatikai rendszerek védelme
15. Az adatvédelmi hatásvizsgálat
15.1. Az adatvédelmi hatásvizsgálat fogalma
15.2. Az adatvédelmi hatásvizsgálat elkészítésének kötelezettsége és az előzetes konzultáció
15.3. Jogkörök az adatvédelmi hatásvizsgálat elkészítése során
15.4. Az adatvédelmi hatásvizsgálat elkészítésének ideje és módja
15.5. Az adatvédelmi hatásvizsgálat nyilvánossága
16. Adatvédelmi incidensek esetére vonatkozó rendelkezések
16.1. Az adatvédelmi incidens fogalma
16.2. Adatvédelmi incidens elkerülésére, illetve korai felismerésére megtett intézkedések
16.3. Teendők adatvédelmi incidens észlelése esetén

17. Az Érintettek GDPR által meghatározott jogai
17.1. Tájékoztatáshoz és a személyes adatokhoz való hozzáféréshez való jog
17.1.1. Tájékoztatás
17.1.2. Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
17.1.3. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
17.1.4. A személyes adatokhoz való hozzáférés
17.1.5. Másolat kiadása a kezelt személyes adatról
17.2. A helyesbítéshez való jog
17.2.1. Kérelem az adatok helyesbítésére
17.2.2. Adatok helyesbítése kérelem nélkül
17.2.3. A helyesbítés nyomon követhetősége
17.2.4. Értesítési kötelezettség
17.3. Törléshez való jog (“az elfeledtetéshez való jog”)
17.3.1. Törlési kötelezettség
17.3.2. Adatok törlésével kapcsolatos eljárás
17.3.3. Nyilvánosságra hozott személyes adatok törlése
17.3.4. Értesítési kötelezettség
17.4. Adatkezelés korlátozásához való jog
17.4.1. Az Adatkezelő az Érintett kérelmére korlátozza az adatkezelést, ha:
17.4.2. Adatkezelés korlátozása esetén lehetséges adatkezelés
17.4.3. Értesítési kötelezettség
17.4.4. Tájékoztatási kötelezettség
17.5. Az adathordozhatósághoz való jog
17.5.1. Adatszolgáltatás automatizált adatkezelés esetén
17.5.2. Adatok továbbítása az Érintett kérésére
17.5.3. Az adathordozhatóság feltétele
17.6. A tiltakozáshoz való jog
17.6.1. Az Érintett a saját helyzetéhez való jogból bármikor jogosult tiltakozni az alábbi esetekben:
17.6.2. A tiltakozás esetében a személyes adatok nem kezelhetőek tovább, kivéve:
17.6.3. Automatizált döntéshozatal – ideértve a profilalkotást is – esetén az Érintettet megillető jogok
17.7. Érintettek jogainak gyakorlására vonatkozó intézkedések
17.7.1. Intézkedések a kérelem nyomán
17.7.2. Tájékoztatás az intézkedés elmaradásáról
17.7.3. Az érintetti jogok gyakorlásának díjmentessége
17.7.4. Az érintetti jogok gyakorlásának biztosítása a mindennapokban
17.8. Adatkezeléssel kapcsolatos panasz intézése az Adatkezelőnél
17.9. Bírósághoz fordulás joga
17.10. Adatvédelmi hatósághoz fordulás joga

BEVEZETŐ

Az Adatkezelő a jelen Szabályzat szerint kezeli az Érintettek személyes adatait. A Szabályzat célja, hogy iránymutatásként szolgáljon az adatkezelésben résztvevők részére is.

Az adatkezelésre vonatkozó szabályozás több dokumentumban is történhet, esetleges ellentmondás esetén a jelen Szabályzat irányadó.

A rögzített személyes adatokat bizalmasan, az adatvédelmi jogszabályokkal, a hazai és nemzetközi adatkezelési ajánlásokkal összhangban, a jelen Szabályzatnak megfelelően kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.

Ennek a Szabályzatnak a mindenkor érvényes verziója folyamatosan elérhető az Adatkezelő székhelyén.

A jelen Szabályzat nyelve: magyar. Esetleges fordítás/tolmácsolás során, eltérés vagy egyéb kétség esetében a jelen magyar nyelvű verzió irányadó.

Az Adatkezelő fenntartja a jogot a jelen szabályzat bármikor történő megváltoztatására.

1. A Szabályzat célja

A Szabályzat célja, hogy biztosítsa az Adatkezelő tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, továbbá, hogy az Adatkezelő által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon. A jelen Szabályzattal az Adatkezelő meg kíván felelni a belső tájékoztatási kötelezettségének, ezzel is elősegítve az Érintettek jogvédelmét.

Jelen Szabályzattal az Adatkezelő biztosítani kívánja az adatvédelemmel kapcsolatos hatályos jogszabályok érvényesülését, amelyek különösen az alábbiak:

• Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (a továbbiakban: GDPR)
• évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.);
• évi I. törvény a Munka Törvénykönyvéről (a továbbiakban: Mt.);
• 39/2010. (II. 26.) Korm. rendelet a munkába járással kapcsolatos utazási költségtérítésről
• a Széchenyi Pihenő Kártya kibocsátásának és felhasználásának szabályairól szóló 55/2011. (IV. 12.) Kormányrendelet;
• évi LXXV. törvény az egyszerűsített foglalkoztatásról;
• évi XCIII. törvény a munkavédelemről (a továbbiakban: Mvtv.)
• 89/1995. (VII. 14.) Korm. rendelet a foglalkozás-egészségügyi szolgálatról;
• 33/1998. (VI. 24.) NM rendelet a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről;
• évi CXVII. törvény a személyi jövedelemadóról (a továbbiakban: Szja);
• évi CL. törvény az adózás rendjéről (a továbbiakban: Art.);
• évi C. törvény a számvitelről (a továbbiakban: Szt.);
• évi XLVII. törvény a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról;
• évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.);
• évi CXXXIII. törvény – a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól (a továbbiakban: Szvtv.);
• évi XX. törvény 4. § a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról – természetes személyazonosító adatok köre
• évi LXII. törvény a kötelező gépjármű-felelősségbiztosításról (a továbbiakban: Kgfb. tv.)
• évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (Eüak);
• 5/2004. (XI. 19.) EüM rendelet az orvosi rehabilitáció céljából társadalombiztosítási támogatással igénybe vehető gyógyászati ellátásokról;
• 37/1996. (X. 18.) NM rendelet a közfürdők létesítésének és üzemeltetésének közegészségügyi feltételeiről;
• évi CLVI. törvény a turisztikai térségek fejlesztésének állami feladatairól;
• évi CXXVII. törvény az általános forgalmi adóról.

2. A Szabályzat hatálya

2. A Szabályzat hatálya

2.1. Időbeli hatály

Jelen Szabályzat az aláírás napján lép hatályba, és további írásbeli rendelkezésig, visszavonásig hatályos. Ezzel egyidejűleg minden korábbi szabályozás hatályát veszti.

Az Adatkezelő legfeljebb 3 évente felülvizsgálja a kezelt adatok körét, és az adatkezelés szükségességét, és gondoskodik mindazon adatok törléséről, megsemmisítéséről, amelyek kezelésének jogalapja, célja megszűnt.

2.2. Személyi hatály

Kiterjed a Szabályzat hatálya:

a) az Adatkezelőre:

b) Kiterjed a Szabályzat hatálya az Adatkezelő Munkatársaira, akik részt vesznek az egyes adatkezelési műveletek elvégzésében, illetve akiknek a személyes adatait az Adatkezelő, mint munkáltató kezeli;

c) Kiterjed a Szabályzat hatálya az Adatkezelő természetes személy szerződő, illetve együttműködő Partnereire, illetve jogi személy Partnerek esetén azok természetes személy képviselőire, más kapcsolattartóira, ideértve az Adatfeldolgozókat is;

d) Kiterjed a Szabályzat hatálya mindazon személyekre, akik személyes adatait az Adatkezelő a fentieket meghaladóan bármely okból kezeli.

2.3. Tárgyi hatály

Jelen Szabályzat hatálya kiterjed az Adatkezelő által folytatott valamennyi személyes adatkezelésre, adatfeldolgozásra.

Az Adatkezelő működtet elektronikus megfigyelőrendszert (kamerás megfigyelés), azonban a jelen Szabályzat nem tartalmazza a kamera szabályzatot tekintettel arra, hogy arról külön szabályzat (Kameraszabályzat) rendelkezik.

Az Adatkezelő végez munkahelyi adatvédelmi ellenőrzést, azonban a jelen Szabályzat nem tartalmazza az erre vonatkozó folyamatszabályozást tekintettel arra, hogy arról külön szabályzat (Munkahelyi Ellenőrzési Szabályzat) rendelkezik.

3. Fogalmak

Az Adatkezelő a Szabályzatban az alábbiakban meghatározottak szerinti fogalmakat alkalmazza:

1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
2. személyes adat: az Érintettel kapcsolatba hozható adat – különösen az Érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az Érintettre
3. az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
4. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
5. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
6. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
7. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
8. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
9. tiltakozás: az Érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
10. adatkezelés korlátozása: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
11. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése, felvétel törlése;
12. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik;
13. adatfeldolgozó: az a természetes vagy jogi személy, aki az Adatkezelő nevében személyes adatokat kezel;
14. adatállomány: az egy nyilvántartásban kezelt személyes adatok bármely módon tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

15. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az Érintettel, az adatkezelővel vagy az adatfeldolgozóval;

16. adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés;

17. hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság

18. munkavállaló: az Adatkezelő/Adatfeldolgozó által végzett adatkezelési/adatfeldolgozási feladatokban, munkaviszonyban részt vevő természetes személy;

19. kölcsönzött munkavállaló: munkaerő-kölcsönzés keretében az Adatkezelő által foglalkoztatott munkavállaló, akivel szemben a kikölcsönzés alatt a munkáltatói jogokat a kölcsönbe adó és a kölcsönvevő megosztva gyakorolja;

20. munkatárs: az Adatkezelő/Adatfeldolgozó által végzett adatkezelési/adatfeldolgozási feladatokban munkavégzésre irányuló bármely jogviszonyban részt vevő természetes személy;

21. partner: az Adatkezelővel polgári jogi szerződéses kapcsolatban álló természetes és jogi személyek, illetve a jogi személyek képviseletére jogosult személyek;

22. profilalkotás: a személyes adatok automatizált kezelésének bármely olyan formája, amely során az Érintett személyes jellemzőinek kiértékelése történik, különösen munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére használják.

23. weboldal: a portál és minden aloldala, amelynek üzemeltetője az Adatkezelő;

24. képviselő: az Adatkezelő, vagy vele kapcsolatba kerülő bármely szerv/természetes személy törvényes képviselője (pl. ügyvezető, szülő), jogügyleten (pl. meghatalmazás) alapuló képviselője, vagy szervezeti képviseletet ellátó természetes személy (pl. kapcsolattartó), aki jogosult, vagy köteles jognyilatkozat tételére, illetve a képviselt természetes/jogi személy nevében és helyett eljárni.

25. beteg: az egészségügyi ellátást igénybe vevő vagy abban részesülő személy;

26. kezelőorvos: a beteg adott betegségével, illetve egészségi állapotával kapcsolatos vizsgálati és terápiás tervet meghatározó, továbbá ezek keretében beavatkozásokat végző orvos, illetve orvosok, akik a beteg gyógykezeléséért felelősséggel tartoznak;

27. egészségügyi ellátás: a beteg adott egészségi állapotához kapcsolódó egészségügyi tevékenységek összessége;

28. egészségügyi szolgáltató: tulajdoni formától és fenntartótól függetlenül minden, egészségügyi szolgáltatás nyújtására és az egészségügyi államigazgatási szerv által kiadott működési engedély alapján jogosult egyéni egészségügyi vállalkozó, jogi személy vagy jogi személyiség nélküli szervezet;

29. vizsgálat: az a tevékenység, amelynek célja a beteg egészségi állapotának felmérése, a betegségek, illetve kockázatuk felderítése, a konkrét betegség(ek) meghatározása, prognózisuk, változásuk megállapítása, a gyógykezelés eredményességének, valamint a halál bekövetkeztének és a halál okának megállapítása;

30. egészségügyi dokumentáció: az egészségügyi szolgáltatás során az egészségügyi dolgozó tudomására jutó, a beteg kezelésével kapcsolatos egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától;

31. közeli hozzátartozó: a házastárs, az egyeneságbeli rokon, az örökbe fogadott, a mostoha- és a nevelt gyermek, az örökbe fogadó, a mostoha- és a nevelőszülő, a testvér, valamint az élettárs;

32. orvosi titok: a gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat;

33. gyógykezelés: minden olyan tevékenység, amely az egészség megőrzésére, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyászati ellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is;

34. egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa vagy róla más személy által közölt, illetve az egészségügyi ellátó hálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás);

35. egészségügyi ellátás során személyazonosító adat: a családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására.

4. Az adatvédelem szervezete

Ügyvezető: meghatározza az adatkezelés szervezetét, kijelöli az egyes feladatcsoportok felelőseit (adatvagyon tulajdonosok), biztosítja az adatkezelés szervezeti működéséhez szükséges dologi és személyi feltételeket, kijelöli az adatvédelemért felelős személyt, illetve biztosítja a működése feltételeit. A szervezet legfelsőbb szintjén az ügyvezető áll az adatkezelési szervezet élén.

Adatvagyon tulajdonos: határozza meg a rábízott terület adatkezeléseinek célját, módját, eszközeit, feltételeit, és a hozzájuk tartozó jogosultságok kialakítását. Ezért felelősséggel az ügyvezetőnek tartozik. Ezeket a feladatokat delegálhatja a hozzá beosztott munkatársaira, akiknek a tevékenységéért felelőséggel tartozik. Társaságunk legfőbb adatvagyon gazdája a cégvezető, CFO, következő adatvagyon tulajdonos csoport pedig a menedzserek csoportja.

Az adatvédelemmel megbízott munkatárs (a továbbiakban: adatvédelmi felelős) feladata egyrészt a GDPR előírásainak, az elszámoltathatóság elvének való megfelelés előmozdítása, másrészt pedig a közvetítő szerep a felügyeleti hatóságok és az érintettek, illetve az adatkezelő között. Ebben a minőségében közvetlenül a cégvezetőnek tartozik jelentési kötelezettséggel, más munkavállalótól utasítást nem fogadhat el.

4.1. Kommunikáció és döntéshozatal

Az adatkezelési, adatvédelmi kérdéseket érintő megbeszélésekre havi rendszerességgel kerül sor.

Az adatkezelési és adatvédelmi tárgyú megbeszélésekről az adatvédelmi felelős rövid emlékeztetőt készít.

Bármilyen, az adatkezelés rendszerét érintő változás tervezési folyamatába be kell vonni az adatvédelmi felelőst. Így biztosítható az, hogy a működést támogató projekteken – fajtájától függetlenül – megjelenik a beépített és alapértelmezett adatkezelés és adatvédelem. Az adatvédelemmel kapcsolatos kérdések így „testületileg” is megtárgyalandók, melyek résztvevői lehetnek:

• ügyvezető
• cégvezető
• gazdasági vezető (CFO)
• adatvédelmi felelős
• információs vagyonelem tulajdonos és/vagy megbízott munkatársa
• IT munkatárs
• külső kivitelezők / üzemeltetők / fejlesztők / szakértők.

5. Az adatkezelésre vonatkozó alapelvek

5.1. Jogszerűség, tisztességes eljárás, átláthatóság elve

Jogszerűség követelménye: jogellenes célból, jogellenes módon személyes adat nem kezelhető. Az adatkezelés során a vonatkozó jogi szabályozás előírásait tartja be az Adatkezelő annak érdekében, hogy törvényes cél érdekében jogszerűen történjen az adatkezelés.

Emellett az Adatkezelő részére a GDPR a formálisan jogszerű jogalap mellett az adatkezelés egészére előírja a tisztességes adatkezelés követelményét.

Tisztességesség követelménye: a GDPR a formálisan jogszerű jogalap mellett az adatkezelés egészére előírja a tisztességes adatkezelés követelményét, azaz a technikailag jogszerű adatkezelésnek morális szempontból sem szabad kifogás alá esnie. Az Adatkezelő különösen tiszteletben tartja az Érintettek emberi méltóságát.

Átláthatóság (transzparencia) követelménye: ezt az elvárást az Érintett szempontjából kell megvizsgálni, és ennek ilyen szempontból kell megfelelni. Cél az, hogy az Érintett követni tudja a személyes adatai sorsát, illetve információval rendelkezzék az adatkezelés lényeges körülményeiről, illetve folyamatáról. A megvalósítás eszköze az Érintettek előzetes és megfelelő tájékoztatása az adatkezelésről és annak körülményeiről, valamint az érintetti jogokról és azok gyakorlásának módjáról.

Az Adatkezelő a tájékoztatásokat úgy adja meg, hogy az adatkezelések ismertetését tartalmazó dokumentumokat, így a jelen Szabályzatot is könnyen elérhetővé teszi az Érintettek számára.

5.2. Célhoz kötöttség elve

A célhoz kötöttség elve alapvetően kettős kötelezettséget állít az Adatkezelők elé:

– a személyes adatok kezelése csak meghatározott, egyértelmű és jogszerű célból történhet,

– a jogszerű célokkal össze nem egyeztethető módon adatkezelés nem történik.

A fentiekből következik az is, hogy adatokat csak a cél megvalósulásához szükséges mértékben és ideig lehet kezelni. A célhoz kötöttség elve megköveteli azt is, hogy pontosan meghatározásra kerüljenek, mely személyes adatok szükségesek elengedhetetlenül a cél eléréséhez.

Mindezen követelmények megvalósítása érdekében az Adatkezelő pontosan meghatározza az adatkezelési célokat, és célonként határozza meg az adatkezelés jogalapját, és rendeli hozzá a kezelt adatok körét, és az adatkezelés feltételeit.

Jogszerű cél nélkül az Adatkezelő nem végez adatkezelést, az előre meghatározott elérendő célt nem értelmezi kiterjesztően.

5.3. Arányosság, szükségesség, adattakarékosság elve

A személyes adatok az adatkezelés céljai szempontjától megfelelőnek, relevánsnak és szükségesnek kell lennie.

Az Adatkezelő az adatkezeléseiről végzett nyilvántartásban meghatározza, hogy mely személyes adatok szükségesek nélkülözhetetlenül a cél megvalósulásához (kezelt adatok köre).

Az Adatkezelő az adatkezeléseiről végzett nyilvántartásban meghatározza, hogy egy adott adatkezeléshez mely személyes adat milyen konkrét célból kerül kezelésre. Ez alól kivétel, ha az adatkört jogszabály írja elő, tekintettel arra, hogy a jogi kötelezettség teljesítése a cél, amit nem értelmezhet és írhat felül az Adatkezelő.

Az Adatkezelő az adatkezelés során figyelemmel kíséri az adatkör szükségességét, és törli azt az adatot, amely a cél szempontjából nem szükséges, nem releváns (ez vonatkozik az elért célra, és az időközben súlytalanná vált adatra is).

5.4. Pontosság, naprakészség elve

A személyes adatoknak pontosnak, és szükség esetén naprakésznek kell lenniük.

Pontosság követelménye: az Adatkezelő a követelmény megvalósítása érdekében figyelemmel kíséri az adatok pontosságát már az adatfelvételtől kezdődően. Az adatok pontossága az Érintettek azonosításában kulcsfontosságú lehet. A pontosság elve nem csak az Adatkezelőre, de az Érintettre is kötelezettséget ró. Az adatok pontossága az Érintettek azonosításában kulcsfontosságú lehet.

Naprakészség követelménye: mérlegelendő elvárás egy adott szituáció függvényében annak érdekében, hogy elavult adatokon ne alapuljon döntés, illetve már nem aktuális adatok ne kerüljenek felhasználásra. Szükség szerint gondoskodni kell az adatok frissességéről, karbantartásáról, az adatmódosulások átvezetéséről.

Ennek érdekében az Adatkezelő például a szerződéseiben kiköti, hogy az adatok változását meghatározott időn belül az Érintettnek közölnie kell. Emellett adategyeztető eljárásokat dolgoz ki – és tart be – a szervezetén belül.

Az egyes adatkezelések jellege alapján az Adatkezelő meghatározza azt is, hogy mely adatkezelések esetében elengedhetetlen a személyes adatok folyamatos naprakészségének a biztosítása. Ezekben az esetekben minden tőle elvárható intézkedést megtesz annak érdekében, hogy folyamatosan biztosítsa a személyes adatok pontosságát.

Az Adatkezelő a pontosság érdekében a szükséges módosításokat visszakövethető módon a helyesbítés szabályai szerint minden nyilvántartási rendszerében elvégzi. Amennyiben nem az Érintett adja meg a pontosításhoz, módosításhoz szükséges információt, hanem egyéb módon jut az Adatkezelő tudomására, úgy az Érintettet tájékoztatja az adatkezeléssel kapcsolatos változásról.

5.5. A korlátozott tárolhatóság elve

A korlátozott tárolhatóság követelménye: azt az elvárást jelenti, hogy az Érintettet csak az adatkezelés céljához elengedhetetlen ideig lehessen azonosítani.  (Az azonosítás/azonosíthatóság arra a kérdésre ad választ, hogy a kezelt információk mely személyhez tartozik egy adott csoporton belül.)

Az Adatkezelő személyes adatot a jogszerű céltól eltérően nem őriz meg, gondoskodik a cél megvalósulása vagy megszűnése, az adatok bármely okból feleslegessé válása, esetén az adatok törléséről, ennek megfelelően az Érintett azonosíthatóságát szünteti meg.

Amennyiben a cél bármely okból megszűnik és a korlátozott tárolhatóság elvének megfelelően az Adatkezelő az Érintett azonosítására már képtelen, úgy az Érintett joggyakorlását már nem kell tevékenyen segítenie. Ez alól kivétel, ha az Érintett az azonosítását lehetővé tevő kiegészítő információkat nyújt.

Adatkezelésre időtartamot meghatározhat jogszabály is, de az adatkezelő jogos érdeke is.

Az Érintettet tájékoztatja az Adatkezelő az adatkezelés várható időtartamáról – ennek megfelelően az adatok végleges törlésének idejéről -, vagy ha ez előre nem meghatározható, annak feltételeiről. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az Adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

5.6. Integritás (sértetlenség) és bizalmasság elve

Integritás követelménye: személyes adatok felhatalmazás nélküli vagy véletlenszerű módosulásának az elkerülése. Ennek érdekében a személyes adatok kezelése oly módon történik, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva van a személyes adatok megfelelő biztonsága, a jogosulatlan kezelés vagy véletlen elvesztés, megsemmisülés, károsodás elkerülése érdekében.

Bizalmasság követelménye: személyes adatokhoz csak az arra jogosultsággal rendelkező személyek férhessenek hozzá.

Kapcsolódó elvárás a rendelkezésre állás biztosítása, amely arra irányul, hogy a személyes adatok véletlenszerűen vagy jogosulatlanul ne kerüljenek korlátozásra, ne semmisüljenek meg, és ne vesszenek el.

Ezeknek a követelményeknek a megvalósítása az Adatkezelő részéről tevőleges magatartást kíván meg, amely abban nyilvánul meg, hogy megfelelő szervezési és technikai intézkedéseket vezet be a saját adatkezelési rendszereiben – a rendszerek teljes élettartamára vonatkozóan – a negatív következmények elkerülése érdekében. Az Adatkezelő értékeli az adott adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz.

5.7. Az elszámoltathatóság elve

Az elszámoltathatóság követelménye „szuperelvként” értelmezendő, valamennyi adatkezelői kötelezettséget az elszámoltathatóság elvén keresztül kell megközelíteni.

Az elszámoltathatóság követelménye: az Adatkezelő az adatkezelési folyamatok megkezdésétől kezdve annak befejezéséig (adatok törlése) dokumentáltan bizonyítani tudja azt, hogy a személyes adatok kezelése a GDPR és más jogszabályok által meghatározottak szerint történik. Az Adatkezelő valamennyi tevékenysége ellátása során figyelembe veszi annak adatvédelmi vonatkozásait már a tervezés időszakától kezdődően egészen a folyamat lezárásig. Az Adatkezelő lehetővé kívánja tenni azt, hogy úgy az Érintettek, mint a hatóság felé el tudjon számolni az adatkezelése megfelelőségével.

Tekintettel a jogszabályok folyamatos változásaira is az Adatkezelő folyamatosan figyelemmel kíséri a belső szabályozását, hogy és ezt a bizonyítás érdekében dokumentálja is.

Az egyes adatkezelési feladatokat az Adatkezelő munkatársai látják el, akiket ezért az Adatkezelő megfelelő oktatásban részesíti.

Az elszámoltathatóság körébe tartozóan az Adatkezelő dokumentuma lehet többek között: a jelen Szabályzat, érdekmérlegelési tesztek, adatkezelési tevékenységek nyilvántartása, incidenskezelési szabályzat, adatvédelmi incidensek nyilvántartása, adatbiztonságra vonatkozó intézkedések szabályozása (Információbiztonsági Szabályzat), adatvédelmi oktatásokra vonatkozó dokumentációk (tematika, jelenléti ív), munkahelyi ellenőrzés szabályzat stb.

5.8. Beépített és alapértelmezett adatvédelem, mint kötelezettség

Beépített adatvédelem követelménye: bármely rendszer, szolgáltatás vagy termék kifejlesztése esetén már a tervezés fázisától kezdődően a tevékenység teljes életútján garantálni kell, hogy olyan rendszer, működés jöjjön létre, amely garantálja az adatvédelmi követelmények, így különösen az adatvédelmi elvek megvalósulását és ennek dokumentálását. Ehhez az Adatkezelő az adatkezelés egész folyamatában garanciák beépítését, szervezési és technikai intézkedéseket alkalmaz. Ilyen intézkedések lehetnek például: adatminimalizálás, álnevesítés, adatok funkcióinak és kezelésének átláthatóvá tétele stb.

Alapértelmezett adatvédelem követelménye: az adatkezelés megvalósításánál a gyakorlatban tudatosan érvényesíti az adatvédelmi követelmények kialakítását és érvényesítését.

Az Adatkezelő a következő megoldásokkal törekszik a beépített adatvédelem megvalósítására:

–    az üzletmenetet szabályzó dokumentumokba épített adatvédelem (pl. szabályzatok, folyamatszabályzók klauzulái, utasítások, tájékoztatók, nyilvántartások, szerződések, illetve szerződések klauzulái) készítése, karbantartása, szükség szerinti felülvizsgálata;

• szabályozó dokumentumok készítése, karbantartása, szükség szerinti felülvizsgálata;
• új adatkezelés megkezdése előtt szabályozó dokumentumok módosítása, kiegészítése, és erről – szükség esetén az Érintettek tájékoztatása – mindezeket dokumentált módon;
• az adatvédelmi dokumentumokban, szabályzatokban foglaltak betartásának ellenőrzése;
• a munkavállalók körében az adatvédelmi ismeretek és kötelezettségek megismertetése oktatások útján, az adatvédelmi tudatosság növelése érdekében;
• jogosultsági körök évenkénti felülvizsgálata; a jogosultak által gyakorolt adatkezelési műveletek ellenőrzése;
• intézkedés esetleges jogellenes helyzet esetén.

6. Az adatvédelem céljainak és eszközeinek a meghatározására jogosult személy, és az egyes adatkezelési feladatokat végző személyek

6.1. A személyes adatok kezelésének céljait, eszközeit meghatározó személy

Az adatvédelmi előírások alkalmazása, valamint az adatkezelés céljainak és eszközeinek, valamint jogszerűségének meghatározása szempontjából az adatkezelési feladatok vezetőjének az Adatkezelő cégjegyzékbe bejegyzett képviselőjét kell tekinteni.

6.2. Döntés az egyes adatkezelések jogszerűségéről

Az egyes adatkezelésekről az adatkezelési feladatok vezetője dönti el végsősoron az adatkezelés célját és eszközeit, valamint azt is, hogy azok kezelése jogszerű, illetve indokolt-e.

6.3. Az Adatkezelő által kezelt adatok megismerésére jogosult személyek

A jogosultsági köröket az ügyvezető, illetve az általa megbízott személy határozza meg – elsősorban a munkaköri leírásban – aszerint, hogy az egyes elvégzendő munkafolyamatokhoz, elkülönített adatállományokhoz mely Munkatársak milyen mértékben férhessenek hozzá.

Az Adatkezelő gondoskodik arról is, hogy a személyes adatokhoz hozzáférési jogosultsággal rendelkező munkavállalók tudatában legyenek annak, hogy őket a munkavégzésre irányuló jogviszonyuk alatt, és annak megszűnését követően is teljes titoktartási kötelezettség terheli.

A jogosultsági körök betartatásának fő eszköze: a munkaköri leírások, illetve az Adatkezelő által használt informatikai rendszerekhez való hozzáférés korlátozása (azonosító, jelszó). A jogosultsági körök Munkatársakhoz történő kiosztását az erre vonatkozó jogosultsági nyilvántartás rögzíti.

Kiszervezett feladatok esetén az Adatkezelő nevében adatot kezelő, a LUXIMPEX Kft. LUXIMPEX Kft. Adatkezelési nyilvántartások.xlsx „Adatfeldolgozók” fülén megjelölt adatfeldolgozók és azok Munkatársa(i) szintén megismerhetik az Érintett személyes adatait. Az Adatkezelő minden tőle megtehetőt megtesz annak érdekében, hogy az Adatfeldolgozói megfeleljenek a GDPR és Infotv. követelményeinek. Ennek a célnak a legfontosabb eszköze az adatfeldolgozási szerződés.

Bizonyos esetekben az Adatkezelő más adatkezelővel közösen végez adatkezelést. Ilyenkor a két adatkezelő megállapodik az adatkezelés rá eső részének körülményében, és az egyes adatkezelőket terhelő felelősség kérdésében. Erről az adatkezelésnek megfelelően tájékoztatják az Érintetteket.

Az Adatkezelő a LUXIMPEX Kft. Adatkezelési nyilvántartások.xlsx „Adattovábbítás” fülén meghatározott esetekben az általa kezelt adatokat továbbíthatja más önálló adatkezelő felé. Erre főként jogszabályban meghatározott kötelem, illetve jogosulti igény/felhatalmazás, vagy harmadik fél jogos érdeke eseteiben kerül sor.

6.4. Adatkezelésben részt vevők oktatása

Az Adatkezelő a Munkatársait az egyes adatkezelési feladatok elvégzését megelőzően teljeskörűen oktatja a folyamatokról, a felelősségről, és összességében a jelen Szabályzatban foglaltakról.

7. Az adatkezelés célja és jogalapja

7.1. Az adatkezelés célja és jogalapja

Az egyes adatkezelések megkezdésének feltétele az, hogy azok előre meghatározott, konkrét és jogszerű célja, és ennek ismeretében a jogalap meghatározásra kerüljön. Az adatkezelés megkezdése előtt az adatkezelés céljáról és jogalapjáról – valamint az adatkezelés lényeges körülményeiről – az Érintettek tájékoztatást kapnak.

Amennyiben az Érintett személyes adata a korábban ismertetettől eltérő új cél megvalósításához szükséges, ezt, mint új adatkezelést definiálja az Adatkezelő, az előzőleg más célra megadott adatok automatikusan nem használhatók fel. Ilyen új adatkezelésről előzetesen tájékoztatni kell az Érintetteket.

7.2. Az Érintett hozzájárulása

Az Érintett hozzájárulása abban az esetben lehet jogszerű alapja az adatkezelésnek, ha az a célhoz igazodó, megfelelő előzetes tájékoztatáson alapul, és maga a hozzájárulás önkéntes, határozott, és egyértelmű.

Az Adatkezelő nem köti szerződés teljesítését/szolgáltatások nyújtását olyan személyes adatok kezeléséhez adott hozzájáruláshoz, amely személyes adatok nem szükségesek az adott adatkezelési cél megvalósulásához. Az Adatkezelő adatkezelési célonként külön-külön szerzi be az Érintettek hozzájárulását az egyes adatkezelésekhez.

Az Adatkezelő csak abban az esetben kezel adatot Érintett hozzájárulása jogalappal, ha az Érintett a hozzájárulását célonként külön-külön, egyértelmű aktív megerősítő cselekedettel adja meg. (Írásbeli nyilatkozat, jelölőnégyzet bejelölése weblapon stb.) Ezeket a hozzájárulásokat az Adatkezelő írásban szerzi be, tekintettel arra is, hogy így válik lehetségessé számára az elszámoltathatóság követelményének a biztosítása is. A hozzájárulás kéréskor az Adatkezelő tájékoztatást ad az adatkezelés lényeges körülményeiről, illetve a hozzájárulás megtagadása/visszavonása lehetőségéről, és ennek következményéről.

A munkaviszonnyal kapcsolatos adatkezelések esetében a hozzájárulás csak kivételesen alkalmazott jogalap.

Az Adatkezelő ezúton tájékoztatja az Érintettek arról, hogy a jelen Szabályzatban meghatározott adatkezelési időtartam eltelte, vagy feltétel bekövetkezte esetén az Érintettek adatai automatikusan törlésre kerülnek anélkül, hogy erről külön értesítést küldene részükre.

7.3. Szerződéskötés, szerződés teljesítése

Szerződéskötés, szerződés teljesítése abban az esetben teremt önállóan jogszerű alapot az adatkezeléshez, ha az egyik fél az Érintett, vagy az adatkezelés már a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges.

7.4. Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges

Ebben a körben az adatkezelés akkor jogszerű, ha az Adatkezelő részére konkrét jogszabály ír elő személyes adatok kezelésével kapcsolatos kötelezettséget. Jogi kötelezettséget uniós vagy tagállami jog határoz meg, amely rögzíti erre a jogalapra tekintettel az adatkezelés célját is.

7.5. Az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges

Az Érintett, vagy egy másik természetes személy életveszélyes állapota gyakorlatilag minden szabályozást felülír. Az adatkezelő jogosult akkor is kezelni az Érintett személyes adatait, ha esetleg az adatkezelést ő maga tiltotta le. Ez a szabály vonatkozik a különleges adatokra, sőt még harmadik országba történő adattovábbítás esetére is.

7.6. Az adatkezelés közérdekű, vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges

Ebben a körben az adatkezelés akkor jogszerű, ha az adatkezelés közérdekű, vagy a közhatalmi jogosítványt gyakorló Adatkezelőnek konkrét jogszabály ír elő személyes adatok kezelésével kapcsolatos kötelezettséget, melyet uniós vagy tagállami jog rögzít, és erre a jogalapra tekintettel az adatkezelés célját is meghatározza.

7.7. Az adatkezelés az Adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges

Jogos érdekből akkor kezel az Adatkezelő adatot, ha bizonyítani tudja, hogy a jogos érdeke fennáll, és ezzel a jogos érdekekkel szemben nincsenek az Érintetteknek olyan jogai, amelyek a személyes adataik védelmét teszik szükségessé az Adatkezelő jogos érdekében szemben – különösen, ha az Érintett gyermek. Az Érintettek számára kiemelten fontos az, hogy meggyőződhessen arról, hogy az Adatkezelő megfelelően végezte el a jogos érdeke és az érintetti jogok, elvárások közötti mérlegelést, és gondoskodott a szükséges garanciális intézkedésekről. Az Adatkezelővel munkaviszonyban álló Érintettek adatainak a kezelése jellemzően jogi kötelezettségen, illetve jogos érdeken alapul. Az Adatkezelő érdekmérlegelési teszttel bizonyítja azt, hogy a jogos érdek jogalappal folytatott adatkezelés a szükségesség keretein belül, megfelelő garanciák nyújtásával arányosan elsőbbséget élvez az Érintett jogaival, jogos elvárásaival szemben. Az érdekmérlegelési tesztet az adatkezelés megkezdése előtt írásban készíti el az Adatkezelő, ezzel az elszámoltathatóság követelményének is megfelel.

8. Automatizált adatkezelés – ideértve a “Profilalkotást” is

8.1. Automatizált adatkezelés

8.2. Profilalkotás

Az automatizált egyedi döntési mechanizmussal rokon adatkezelési művelet, amikor az Adatkezelő az Érintett személyiségéről alkot képet.

A profilalkotás azt a tevékenységet jelenti, amikor az Adatkezelő bizonyos személyes adatokat személyes preferenciákhoz, érdeklődéshez, munkahelyi teljesítményhez, gazdasági helyzethez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez, mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használnak. A profilalkotás matematikai módszerek, algoritmusok végzésével megvalósuló döntéshozatal. Nem lehet automatizált adatkezelésről beszélni, ha van emberi döntés az adatkezelés során.

Az Adatkezelő az egyes adatkezelésekben megjelölt automatizált adatkezeléseket végzi.

Az Adatkezelő profilalkotást nem végez.

Automatizált adatkezelés során nincs meghatározott algoritmus szerinti döntéshozatal.

9. Adattovábbítás, adatközlés

9.1. Unión belüli, vagy GDPR-t alkalmazó országokba történő adattovábbítás esetén

Az egyes adatkezelések körülményeinek leírása során ad tájékoztatást az Adatkezelő arról, hogy az Érintett adatait továbbítja-e, és ha igen, annak kik a címzettjei. A címzetteket lehetőség szerint konkrétan nevezi meg az Adatkezelő, de jogszerűen alkalmazhatja a címzettek kategóriáinak a megnevezését is. Ebbe a kategóriába tartoznak az Adatkezelő Adatfeldolgozói is, valamint az is, ha az Adatkezelő vagy harmadik személy jogos érdekéből történik az adatkezelés, és az adattovábbítás.

9.2. Jogszabály alapján történő adattovábbítás

Nem minősül tájékoztatási kötelezettség alá eső adattovábbításnak, ha az adattovábbításra az Adatkezelőnek jogszabályi kötelezettsége van, ezért erre vonatkozóan külön tájékoztatást az adatkezelési nyilvántartásában nem ad (pl. hatóságok, köztestületi kamarák stb.).

9.3. Adatközlés bírósági, hatósági megkeresésre

Az Adatkezelő csak kivételes esetben adja át az Érintett személyes adatait állami szervek számára abban az esetben, ha őt érintő ügyben bírósági, hatósági eljárás indul, és az eljáró szervek megkeresik az Adatkezelőt az eljáráshoz szerintük szükséges személyes adatokat tartalmazó iratok vagy információk, vagy elektronikusan tárolt dokumentumok átadása céljából, a jogosultságuk igazolását követően.

Az Adatkezelő az esetleges jogi igénye érvényesítése esetén az eljáró hatóságnak, bíróságnak, ügyészségnek, az ellenérdekű félnek (stb.) ad át adatot az eljárás jellegéhez igazodó körben. Amennyiben az adott ügyre vonatkozó jogszabály titoktartási kötelezettséget nem ír elő, úgy erről az adattovábbításról az Érintettet tájékoztatja az Adatkezelő. Ez alól kivétel, ha az Adatkezelő jogos érdeke felülírja az Érintett tájékoztatáshoz való jogát.

9.4. Adattovábbítás unión kívüli, vagy a GDPR hatálya alá nem tartozó országokba:

A nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes adatoknak az unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló forgalmára.

Az Adatkezelő nem végez harmadik országba adattovábbítást.

Az Adatkezelő nem végez az Európai Unión kívüli országba adattovábbítást.

10. Adatfeldolgozók igénybevétele

10.1. Kiszervezett feladatok

Az Adatkezelő a tevékenységével összefüggő egyes feladatokat nem a saját szervezetén belül látja el, hanem ezeknek a kiszervezett tevékenységeknek az elvégzésére a saját szervezetétől elkülönülő jogalany Adatfeldolgozót vesz igénybe. Ebben az esetben az adott adatkezelést az Adatkezelő nevében az Adatfeldolgozó végzi.

Az Adatkezelő kizárólag olyan Adatfeldolgozókat vesz igénybe, akik a jogviszony teljes fennállása alatt megfelelő garanciákat nyújtanak, és képesek arra is, hogy a GDPR követelményeinek megfelelését bizonyítsák (tájékoztatók, szabályzatok, audit lehetősége) mind a szakértelem, a megbízhatóság és az erőforrások tekintetében, mind az érintettek jogainak védelmét biztosító technikai és szervezési intézkedések meghozatalában.

Az Adatfeldolgozónak kötelessége biztosítani különösen:

• az adatkezelés teljes időtartama alatt az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak;
• garantálnia kell az adatkezelés biztonságát;
• a lehetséges mértékben segítsék az Adatkezelőket abban, hogy teljesíteni tudják kötelezettségüket az Érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolásában;
• az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha jogszabály a személyes adatok tárolását írja elő;
• köteles az Adatkezelővel folyamatos kapcsolatot tartani annak érdekében, hogy rendelkezésére bocsásson minden olyan információt, amely az Adatkezelő kötelezettségeinek teljesítéséhez szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is;
• haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR rendelkezéseit vagy a tagállami vagy uniós egyéb adatvédelmi rendelkezéseket.

Az Adatfeldolgozók körét a LUXIMPEX Kft. Adatkezelési nyilvántartások.xlsx tartalmazza.

10.2. Adatfeldolgozási szerződés

Az Adatfeldolgozó az adatfeldolgozásra kötött szerződés szerint csak pontosan meghatározott adatkezelési műveleteket végezhet. Az Adatfeldolgozó korlátai: nem hoz érdemi döntést az adatkezelés céljáról és eszközeiről. Az adatfeldolgozói minőség általános szerződési feltételeken is alapulhat, amennyiben az általános szerződési feltételek között az adatfeldolgozás kötelező elemeit tartalmazza, és nem korlátozza az Adatkezelő tényleges befolyását az adatkezelés körülményeire vonatkozó érdemi döntéshozatalban.

10.3. Az Érintettek tájékoztatása az adatfeldolgozással kapcsolatos tevékenységről

Az adatfeldolgozással érintett tevékenységekről az Adatkezelő az adatfeldolgozás megkezdése előtt tájékoztatja az Érintetteket. Az Adatfeldolgozókról szóló tájékoztatás legfőbb eszközének az Adatkezelő a honlapján megtalálható Adatkezelési Tájékoztatót tekinti. Az Adatkezelő az Adatfeldolgozó személyében bekövetkező változásokról az Érintettet a változás hatályosulása előtt az Adatkezelési Tájékoztatójában tájékoztatja.

10.4. Az Adatkezelő, mint adatfeldolgozó

A Adatkezelőnek, mint adatfeldolgozónak feladata ellátása céljából további adatfeldolgozó(ka)t kell igénybe vennie. Az Adatkezelő nem tudná ellátni a rábízott feladatait további adatfeldolgozó(k) közreműködése nélkül.

A GDPR 28 cikk (4) bekezdés szerint a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségek érvényesek, melyek az Adatkezelő, és az adatfeldolgozó között fennállnak. Az Adatkezelő minden lehetőségében álló eszközzel megbizonyosodik arról, hogy a vele szerződésben lévő további adatfeldolgozó megfeleljen a GDPR elvárásainak.

A további adatfeldolgozó(k) személyéről az Adatkezelő, mint adatfeldolgozó az alábbiak szerint tájékoztatja az Adatkezelőket:

• a honlapján megtalálható Adatkezelési Tájékoztatójában

Az Adatkezelő további adatfeldolgozóinak személyét, valamint a velük közösen elvégzett adatfeldolgozások leírását a LUXIMPEX Kft. Adatkezelési nyilvántartások.xlsx tartalmazza.

11. Az Adatkezelő, mint Közös adatkezelő

11.1. Közös adatkezelői státuszra irányadó szabályok

A GDPR lehetőséget ad arra, hogy az Adatkezelő más adatkezelővel közösen határozzon meg adatkezelési célt, és annak eszközeit. Ilyen esetben az adatkezelők közös adatkezelővé válnak, akik az adatkezelést érintő érdemi döntéseket közösen hozzák.

Ilyen esetben az Adatkezelő megállapodást köt más adatkezelővel az adatkezelést érintő kérdésekben a hatáskörök és felelősség tisztázására. A szerződésben rögzítésre kerül, hogy melyik adatkezelő miért felelős a GDPR végrehajtása során, különösen az érintetti jogok gyakorlása, illetve az Érintettek tájékoztatása tekintetében, illetve ennek a megállapodásnak a lényegét az Adatkezelő az Érintett kölcsönzött munkavállalókkal is megismerteti az egyes adatkezelésekről szóló munkaügyi tájékoztatójában.

12. Az adatkezelés időtartama

12.1. Az adatkezelés időtartama

a) ha uniós vagy tagállami jog határozza meg az iratok, nyilvántartások megőrzésének időtartamát, ez az idő az adatkezelés időtartama is,

b) ha az adatok kezeléséről, törléséről bíróság, hatóság döntött, az erről szóló dokumentumban meghatározott ideig kezelhető az adat,

c) ha az adatkezelés az Érintett hozzájárulásán alapult, a hozzájárulás visszavonásával kell az adatkezelést megszűntetni,

d) az Adatkezelő jogosult az adatkezelés időtartamát saját maga is meghatározni a saját jogos érdeke figyelembevételével,

e) az adattakarékosság követelményére figyelemmel az Adatkezelő megszűnteti minden esetben az adatkezelést a cél megvalósulásával egyidejűleg, illetve amennyiben egyéb jogszerű feltétel (például jogszabályi kötelezettség az iratok megőrzésére) miatt nem szükséges az adatok további őrzése, kezelése, vagy az bármely okból időközben okafogyottá vált. Az Adatkezelő az adatkezelés előirányzott időtartam letelte előtt történő megszűntetéséről előzetesen tájékoztatja az Érintetteket.

12.2. Az egyes konkrét adatkezelések tényleges időtartama

Az egyes konkrét adatkezelések tényleges időtartamát az “Adakezelési és adatfeldolgozási nyilvántartás.xlsx” tartalmazza. A dokumentumban meghatározott adatkezelési időtartam eltelte vagy feltétel bekövetkezte esetén az Érintettek adatai automatikusan törlésre kerülnek anélkül, hogy erről külön értesítést küldene részükre.

13. Adatkezelési nyilvántartás

13.1. A GDPR által előírt nyilvántartás (GDPR 30. cikk)

Az Adatkezelő – abban az esetben is, ha adatfeldolgozóként vesz részt az adatkezelésben – az adatkezelési tevékenységekről nyilvántartást vezet, amely tételesen tartalmazza az egyes adatkezeléseket, és azok lényeges körülményeit. A nyilvántartás célja a GDPR által támasztott jogi kötelezettség teljesítése, mellyel biztosítja az Adatkezelő az átláthatóság és elszámoltathatóság elvének érvényesítését is.

Az adatkezelési tevékenységek nyilvántartását az “Adakezelési és adatfeldolgozási nyilvántartás.xlsx” tartalmazza.

A GDPR által előírt nyilvántartás tartalmazza:

– Adatkezelő, Adatfeldolgozó, Adatvédelmi tisztviselő megnevezése, elérhetőségeik;

– adatkezelés megnevezése;

– adatkezelés célja;

– adatkezelés jogalapja (pl. hozzájárulás, adatkezelői jogos érdek, pontosan megjelölt jogszabály írja elő stb.);

– az egyes adatkezelések során konkrétan kezelt adatok köre, célja;

– adattovábbítás/adatközlés esetén ezek címzettje, jogalapja (ideértve a harmadik országba vagy nemzetközi szervezet részére történő továbbításra vonatkozó információk, a megfelelő garanciák leírása), kivételt képez az adatkezelési nyilvántartás alól a jogszabály alapján történő adattovábbítás címzettjeinek felsorolása;

– az adatkezelés időtartama – adott esetben – ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

– ha lehetséges, a megfelelő adatbiztonságot szolgáló technikai és szervezési intézkedések általános leírása;

– amit az Adatkezelő fontosnak ítél meg.

Az alábbi információkat az egyes adatkezeléseknél külön-külön nem indokolt ismételten részletezni, mivel az általános részben, illetve az Adatfeldolgozókról szóló tájékoztatásban megtalálhatók:

– Adatkezelő, Adatfeldolgozó, Adatvédelmi tisztviselő megnevezése, elérhetőségeik;

– a megfelelő adatbiztonságot szolgáló technikai és szervezési intézkedések általános leírása.

13.2. Egyéb, az Adatkezelő által alkalmazott nyilvántartások:

13.2.1. Amennyiben az Adatkezelő, mint adatfeldolgozó működik közre adatkezelésben, az alábbi tartalommal vezeti a nyilvántartást:

• az Adatfeldolgozó neve és elérhetőségei;
• az Adatkezelő neve és elérhetőségei, továbbá – ha van ilyen – az Adatkezelő vagy az Adatfeldolgozó képviselőjének, adatvédelmi tisztviselőjének a neve és elérhetőségei;
• az egyes Adatkezelők nevében végzett adatfeldolgozási (adatkezelési) tevékenységek kategóriái;
• adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása esetén a megfelelő garanciák leírása;
• lehetőség szerint az Adatfeldolgozó által biztosított technikai és szervezési intézkedések általános leírása.
• Az adatfeldolgozási tevékenységek nyilvántartását az “Adakezelési és adatfeldolgozási nyilvántartás.xlsx”

13.2.2. Adatvédelmi incidenssel kapcsolatos nyilvántartás

GDPR. 33. cikk (5) bekezdésben foglalt kötelezettség teljesítése érdekében. Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslásra tett intézkedéseket. Az Adatkezelő az adatvédelmi incidensek kezelésére és következményeinek elhárítására Adatvédelmi Incidenskezelési Szabályzatot alkalmaz.

13.2.3. Hozzáférési jogosultságok nyilvántartása

A GDPR. 5. cikk (1) bekezdés a) pontjában, és (2) bekezdésben foglalt elvárás teljesítése érdekében az adatvédelem biztosítása céljából az Adatkezelő rendszerén belül az egyes Munkatársak részére egyedileg meghatározott terjedelemben jogosultságot oszt ki. Ez a jogosultság az adatok megismerését és kezelésüket teszi a Munkatársak részére lehetővé. A kiosztott jogosultságok összességéről nyilvántartást vezet az Adatkezelő.

A nyilvántartás az alábbiakat tartalmazza:

• az Érintett neve;
• az Érintett beosztása;
• a hozzáférési jogosultság meghatározása az alkalmazott rendszereken belül;
• az Érintettnek az egyes rendszerekhez tartozó azonosítója és jelszava.

14. Adatbiztonsági előírások

Az adatbiztonság megléte alapelvi követelmény (az integritás és bizalmas jelleg alapelve).

Az Adatkezelő az adatbiztonság megvalósítását technikai és szervezeti intézkedésekkel oldja meg, figyelemmel a tudomány és technológia állására, a megvalósítás költségeire, az adatkezelésének összetettségére, illetve az adatkezeléssel járó kockázatokra.

Az Adatkezelő a fenti szervezeti intézkedéseket elsősorban a belső szabályozással, tájékoztatókkal és oktatásokkal valósítja meg.

14.1. Az Adatkezelő informatikai rendszereinek fellelhetősége, üzemeltetése

Az Adatkezelő számítástechnikai rendszerei a székhelyén, illetve az informatikai rendszerek üzemeltetését ellátó Adatfeldolgozóinál találhatók meg.

Az Adatkezelő és az IT rendszert szolgáltató Adatfeldolgozók között polgári jogi jogviszony áll fent. Az ezzel kapcsolatos adatfeldolgozási körülményeiket és feltételeket az adatfeldolgozási szerződésben és az Információbiztonsági Szabályzatban rögzítik.

14.2. Az adatok védelme

A megfelelő szintű adatvédelemhez az Adatkezelő biztosítja a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét. Az Adatkezelő megfelelő intézkedéseket tesz az adatvédelmi incidenseket megelőzésére. Az Adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az adatkezelési tevékenység során megadott személyes adatokat az Adatkezelő külön adatállományokban, más megadott adatoktól elkülönítetten tárolja. Ezeket az adatállományokat kizárólag az Adatkezelő, illetve az arra adatkezelési célonként felhatalmazott Munkatársai ismerhetik meg. Adatkezelő az egyes adatokat vagy az adatállományok egészét harmadik személynek csak a jelen Szabályzatban meghatározott körben továbbítja, és megtesz minden biztonsági intézkedést annak érdekében, hogy azokat jogosulatlan személy meg ne ismerhesse.

14.2.1. Az informatikai rendszerek védelme

Az informatikai rendszerek logikai, fizikai és adminisztratív védelmének részletes szabályait az Információbiztonsági Szabályzat tartalmazza.

15. Az adatvédelmi hatásvizsgálat

15.1. Az adatvédelmi hatásvizsgálat fogalma

Az adatvédelmi hatásvizsgálat lényege, hogy eredendően magas kockázattal járó adatkezelések esetén az Adatkezelő előzetes kontrollt gyakoroljon az adott adatkezelés Érintettjének a középpontba helyezésével, az adatkezelésből származó kockázatokat mérje fel, és a kockázat csökkentése érdekében tegye meg a szükséges intézkedéseket.

15.2. Az adatvédelmi hatásvizsgálat elkészítésének kötelezettsége és az előzetes konzultáció

Az Adatkezelő abban az esetben köteles adatvédelmi hatásvizsgálat lefolytatására, ha az adatkezelés “valószínűsíthetően magas kockázattal jár a természetes személyek jogaira vagy szabadságaira nézve” (GDPR 35. cikk (1) bekezdés). A valószínűsíthetően magas kockázatú adatkezelések kérdésében a GDPR (76) preambulum ad támpontot. Ezen felül a 29-es Munkacsoport a WP248 iránymutatása alapján határozza meg az eredendően magas kockázatú adatkezeléseket. Emellett a NAIH is közzéteszi azon adatkezelési tevékenységeket, amelyek esetében a hatásvizsgálat lefolytatása kötelező (ún. “fekete lista”).

Amennyiben az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázatcsökkentő intézkedések és egyéb bevezetett garanciák ellenére az Érintettek jogaira és szabadságára nézve a kockázat nem mérsékelhető, úgy az Adatkezelő köteles a NAIH-ot előzetes konzultáció lefolytatása céljából megkeresni.

15.3. Jogkörök az adatvédelmi hatásvizsgálat elkészítése során

Az adatvédelmi hatásvizsgálat lefolytatásáról, a hatásvizsgálatot lefolytató személyekről az ügyvezető dönt, illetve a hatásvizsgálat eredményét is ő hagyja jóvá. Az ügyvezető nem jogosult a magas kockázat elfogadására, amennyiben a kockázatcsökkentő intézkedések nem elégségesek a magas kockázat csökkentésére, abban az esetben mindenképpen intézkednie kell az előzetes konzultáció DPO-n keresztül történő elindításáról.

Az adatvédelmi hatásvizsgálat elvégzésében a DPO támogatja az Adatkezelőt. Az Adatkezelő köteles kikérni a DPO szakmai tanácsát különösen a hatásvizsgálat szükségessége, módszere, annak esetleges kiszervezése, az alkalmazandó biztosítékok, és összességében a hatásvizsgálat megfelelősége kérdésében. A DPO a teljes folyamatot köteles nyomon követni, ellenőrizni. Előzetes konzultáció esetén a DPO kapcsolattartó pontként szolgál a NAIH felé (GDPR 39. cikk (1) bekezdés d)-e) pont).

15.4. Az adatvédelmi hatásvizsgálat elkészítésének ideje és módja

Az adatvédelmi hatásvizsgálatot a hatásvizsgálattal érintett adatkezelés megkezdése előtt kell elvégezni.

A 29-es Munkacsoport WP248-as számú iránymutatásában azt határozta meg, hogy az Adatkezelő köteles rugalmasan, szabadon, maga határozhatja meg a módszerét, azonban meg kell felelnie az alábbi szempontoknak:

– módszeres leírás készüljön az adatkezelésről/adatfeldolgozásról;

– a szükségesség és arányosság értékelése;

– az Érintett jogait és szabadságait érintő kockázatok kezelése;

– az érdekelt felek bevonása az adatvédelmi hatásvizsgálat folyamatába.

Az Adatkezelő elfogadja és alkalmazza a francia adatvédelmi hatóság (CNIL) módszertana alapján készített, nyílt forráskódú PIA megnevezésű szoftvert, amely a NAIH honlapján is elérhető. Mindemellett az Adatkezelő a kockázatok felméréséhez egy egyedi kockázatkezelő mátrixot (“Kockázatelemzés hatásvizsgálat.xlsx”) alkalmaz, melynek a számítási és értékelési szempontrendszere az alábbi:

Amennyiben a kockázatcsökkentő intézkedésekkel a magas kockázati szint nem csökkenthető legalább 4-es értékre, úgy kötelezően konzultációt kell kezdeményezni a NAIH-hal.                  

A kockázatcsökkentő intézkedések meghatározása során az Adatkezelő figyelembe veszi a PIA szoftverben írtakat.

15.5. Az adatvédelmi hatásvizsgálat nyilvánossága

Az Adatkezelő a hatásvizsgálatba az Érintetteket is bevonja, ennek elsődleges módja kérdőívek kiküldése, de az adott hatásvizsgálat jellegétől függően más eszközt is alkalmazhat az Adatkezelő.

Az adatvédelmi hatásvizsgálatról készült dokumentáció “szigorúan bizalmas” besorolású, a megismerésre jogosultak körét az ügyvezető határozza meg. Ettől eltér a “Tájékoztatás az adatvédelmi hatásvizsgálat eredményéről” megnevezésű dokumentum, melyet a hatásvizsgálat adatkezelésével érintett személyeknek jogában áll megismerni.

16. Adatvédelmi incidensek esetére vonatkozó rendelkezések

16.1. Az adatvédelmi incidens fogalma

Az adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt adatok véletlen, vagy jogellenes megsemmisülését, megváltoztatását, elvesztését, jogosulatlan közlését, azokhoz való jogosulatlan hozzáférést eredményez. Az adatvédelmi incidens esetében az adatbiztonság sérül. Adatvédelmi incidensek lehetnek többek között: külső vagy belső hackelés, nagy számban kiküldött e-mailek címzettjei láthatják egymás adatait, laptop, személyes adatokat tartalmazó, titkosítással el nem látott adathordozó (laptop, telefon, pendrive) elvész, zsarolóvírus megváltoztatja, elérhetetlenné teszi az adatokat stb.

16.2. Adatvédelmi incidens elkerülésére, illetve korai felismerésére megtett intézkedések

Az Adatkezelő az adatvédelmi incidens elkerülése, illetve korai felismerése érdekében a következő alapvető intézkedéseket tesz. Ilyen alapvető intézkedések lehetnek többek között:

• naprakészen tartja az adatvédelmi és adatbiztonsági rendszerét;
• meghatározza az adatvédelmi szervezetét;
• adatvédelmi tisztviselőt nevez ki, ha az kötelező, vagy a feladatok ellátása érdekében indokolt lehet;
• meghatározza azt a személyi kört, akik az incidenst kivizsgálják, illetve meghatározza a kivizsgálás módszereit is;
• a munkavállalók oktatása;
• annak biztosítása, hogy a munkavállalók az adatvédelmi szabályozási rendszerben meghatározott jogosultságokkal, eszközökkel, és ott meghatározott módon kerülhessenek kapcsolatba személyes adatokkal;
• a személyes adatok tárolására alkalmas adathordozók kiadása során kötelezővé teszi az Adatkezelő a Munkatársai részére, hogy amennyiben 1 napig azok kikerülnének a birtokából, illetve hollétéről nem lenne tudomása, úgy haladéktalanul jelentsék;
• az adatvédelmi incidensek megelőzése érdekében, illetve az incidens körülményeinek felderítése érdekében a naplózási rend bevezetése;
• informatikai eszközök használata a jogellenes vagy jogosulatlan adatkezelés megakadályozásához.

16.3. Teendők adatvédelmi incidens észlelése esetén

Az incidens esetére vonatkozó részletes szabályokat az Adatvédelmi Incidenskezelési Szabályzat tartalmazza.

17. Az Érintettek GDPR által meghatározott jogai

17.1. Tájékoztatáshoz és a személyes adatokhoz való hozzáféréshez való jog

17.1.1. Tájékoztatás

Az Érintett jogosult az adatai kezeléséről tájékoztatást kapni. A tájékoztatási kötelezettségének az Adatkezelő az alábbiak szerint tesz eleget:

17.1.2. Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik

Ha az Érintettre vonatkozó személyes adatokat az Érintettől gyűjtik, az Adatkezelő a személyes adatok megszerzésének időpontjában az Érintett rendelkezésére bocsátja a következő információk mindegyikét:

• az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);
• a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
• jogos érdeken alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;
• adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);
• adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, a megfelelő és alkalmas garanciák megjelölésével;
• a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
• az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogáról;
• a hozzájáruláson alapuló adatkezelés (ideértve a személyes adatok különleges kategóriáinak kezeléséhez adott hozzájárulást is) esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
• a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
• arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

Ha az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az Érintettet erről az eltérő célról és minden, a fentiekben írt releváns információról;

A fentiek szerinti tájékoztatási kötelezettség olyan mértékben nem terheli az Adatkezelőt, amilyen mértékben az Érintett már rendelkezik az információkkal.

17.1.3. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg

Ha a személyes adatokat nem az Érintettől szerezték meg, az Adatkezelő az Érintett rendelkezésére bocsátja a következő információkat:

• az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);
• a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
• az érintett személyes adatok kategóriái;
• a személyes adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);
• adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, a megfelelő és alkalmas garanciák megjelölésével;
• a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• ha az adatkezelés jogos érdeken alapul, az Adatkezelő vagy harmadik fél jogos érdekeiről;
• az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
• a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
• a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
• a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír;

Az Adatkezelő a fentiek szerinti tájékoztatást az alábbiak szerint adja meg:

• személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
• ha a személyes adatok az Érintettel való kapcsolattartás céljára kerülnek felhasználásra, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy
• ha várhatóan más címzettel is közlésre kerülnek az adatok, legkésőbb a személyes adatok első alkalommal való közlésekor.
• ha az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az Érintettet erről az eltérő célról és minden, a fentiekben írt releváns információról.

17.1.4. A személyes adatokhoz való hozzáférés

Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• az adatkezelés céljai;
• érintett személyes adatok kategóriái;
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják;
• a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• az Érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
• a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
• ha az adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
• automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár;
• Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az Érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR 46. cikk szerinti megfelelő garanciákról;

17.1.5. Másolat kiadása a kezelt személyes adatról

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátja. Az Érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait. Az Érintettel a tájékoztatása során az Adatkezelő közli a jogai érvényesítésére vonatkozó lehetőségeit is.

17.2. A helyesbítéshez való jog

17.2.1. Kérelem az adatok helyesbítésére

A pontosság és naprakészség biztosítása érdekében az Érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését. Az Adatkezelő indokolatlan késedelem nélkül az Érintettre vonatkozó pontatlan személyes adatokat helyesbíti, illetve kiegészíti.

17.2.2. Adatok helyesbítése kérelem nélkül

Ha az Adatkezelő pontos és valós ismerettel rendelkezik arról, hogy az Érintett adatai megváltoztak, ebben az esetben automatikusan helyesbíti az adatokat, és erről az Érintettet tájékoztatja. A pontosság követelményének megfelelően az Adatkezelőt terheli a birtokában levő adatok változásának a nyomon követésének kötelezettsége.

17.2.3. A helyesbítés nyomon követhetősége

Az elszámoltathatóság követelményéből adódóan az Adatkezelő adatkezelési tevékenységeit úgy látja el, hogy az adatok pontosítása, kiegészítése, módosítása nyomon követhető legyen.

17.2.4. Értesítési kötelezettség

Az adatok helyesbítésével kapcsolatos tényről az Érintetten kívül az Adatkezelő mindazokat értesíti, akikkel a személyes adatot közölte. Ez alól kivétel, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet az Adatkezelő kérésre tájékoztatja a címzettekről.

17.3. Törléshez való jog (“az elfeledtetéshez való jog”)

Az Érintett jogosult arra, hogy kérésére az Adatkezelő bizonyos esetekben indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy ennek a kérésnek eleget tegyen, amennyiben a törlési kötelezettség feltételek valamelyike fennáll.

Az elfeledtetéshez való jog nem lehet korlátlan. Bizonyos esetekben harmadik személyek vagy a közösség egyes személyes adatok megtartásához fűződő érdeke erősebb lehet, mint az Érintett személyes adatok védelméhez fűződő joga.

17.3.1. Törlési kötelezettség

Az Adatkezelő indokolatlan késedelem nélkül törli az Érintett kérelmére a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike megvalósul:

• ha azokra már nincs szükség abból a célból, amelyből azokat gyűjtötték, illetve más módon kezelték – ez a kötelezettség kérelem nélkül is terheli az Adatkezelőt;
• az Érintett visszavonja a hozzájárulását, és az adatkezelésnek nincs más jogalapja;
• az Érintett automatizált adatkezelés esetében tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
• az Érintett az üzletszerzési célú adatkezelés ellen tiltakozik;
• az Adatkezelő, vagy Adatfeldolgozó a személyes adatokat jogellenesen kezelte – ez a kötelezettség kérelem nélkül is terheli az Adatkezelőt;
• uniós vagy tagállami jog írja elő az adatok törlését;
• gyermek személyes adatainak a gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

17.3.2. Adatok törlésével kapcsolatos eljárás

a) Az Adatkezelő megvizsgálja az Érintett törlésre irányuló kérelmét, egyáltalán lehetséges-e a kért adat, vagy adatok összességének a törlése. Az elfeledtetéshez való jog nem lehet korlátlan. Bizonyos esetekben harmadik személyek vagy a közösség egyes személyes adatok megtartásához fűződő érdeke erősebb lehet, mint az érintett személyes adatok védelméhez fűződő joga. Az Adatkezelő döntése és felelőssége mellett kerülhet meghatározásra a harmadik felek jogos érdekéből történő egyes személyes adatok megtartása.

Ha az adatkezeléssel egyéb jogi kötelezettsége keletkezett az Adatkezelőnek, úgy a törlésre irányuló kérelem nem teljesíthető. Az adatkezelés jogalapja ilyen esetben a GDPR 6. cikk (1) bekezdésében foglalt jogalapok valamelyike lehet. (pl. jogi kötelezettség, jogos érdek, szerződés teljesítése);

b) Ha nincs akadálya a törlésnek, az Adatkezelő helyreállíthatatlanul törli az adatot.

Papír alapú adathordozó esetében az adathordozók megsemmisítésre kerülnek. Több Érintett esetében a megsemmisítés sértheti a harmadik személyek adatkezelésére vonatkozó jogszerűséget. Ha megoldható a kérelmező Érintett adatának a felismerhetetlenné tétellel történő törlése, úgy az Adatkezelő elsősorban ezt az eszközt választja.

Kamerafelvétel esetén az Érintett kérése csak akkor teljesíthető a törlés, amennyiben kizárólag ő szerepel a felvételen, és nincs olyan ok, amely miatt az adat felhasználása válna szükségessé.

Elektronikus rendszerekben történő törlés esetében az Adatkezelő arra törekszik, hogy a kezelt adat visszaállíthatatlanul törlésre kerüljön.

c) Ha nem lehetséges az adatok törlése (például harmadik személy jogszerűen igényt tart az adatok megtartására), az Adatkezelő korlátozza az adatkezelést.

17.3.3. Nyilvánosságra hozott személyes adatok törlése

Ha az Adatkezelő a személyes adatot nyilvánosságra hozta, törlési kötelezettség esetén az elérhető technológia és a megvalósítás költségeinek a figyelembevételével minden észszerű lépést megtesz annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését (“elfeledtetés joga”). Azzal az Adatkezelő értelemszerűen nem lehet tisztában, hogy egy adatra milyen linkek mutatnak, illetve kik töltötték azokat le, ezért felelősséget vállalni nem tud. A keresőmotor üzemeltetője felé értesítést küld, de ennek eredményességéért felelősséget vállalni nem tud. Az Adatkezelő arra tesz meg minden észszerű lépést, hogy a fenti adatkezelők felé tett tájékoztatáson felül az Érintett részére lehetővé váljon az adatok minden elérési pontján azok töröltetésének lehetősége.

Amennyiben esetileg sor kerül személyes adatok nyilvánosságra hozatalára, azt esetileg szabályozza az Adatkezelő.

17.3.4. Értesítési kötelezettség

Az adatok törlésével kapcsolatos tényről az Érintetten kívül az Adatkezelő mindazokat értesíti, akikkel a személyes adatot közölte. Ez alól kivétel, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet az Adatkezelő kérésre tájékoztatja a címzettekről.

17.4. Adatkezelés korlátozásához való jog

17.4.1. Az Adatkezelő az Érintett kérelmére korlátozza az adatkezelést, ha:

• az Érintett vitatja a személyes adatai pontosságát – arra az időtartamra vonatkozik a korlátozás, amely alatt a pontosság kérdése tisztázható;
• az adatkezelés jogellenes ugyan, de az Érintett ellenzi az adatok törlését, és ehelyett kéri a korlátozását;
• az Adatkezelő már nem kívánja az adatkezelést folytatni, de az Érintett igényli az adatokat jogi igények érvényesítése céljából;
• az Érintett tiltakozása esetén korlátozásra kerül az adatkezelés arra az időtartamra, amíg megállapításra kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben. Ebben az esetben az Adatkezelő korlátozhatja a kérdéses adatkezelést is, további esetleges jogellenesség elkerülése érdekében.

17.4.2. Adatkezelés korlátozása esetén lehetséges adatkezelés

Az adatkezelés korlátozása esetén a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igény érvényesítéséhez, vagy természetes, vagy jogi személy jogainak védelme érdekében, illetve fontos közérdekből lehet kezelni.

17.4.3. Értesítési kötelezettség

Az adatkezelés korlátozásával kapcsolatos tényről az Érintetten kívül az Adatkezelő mindazokat értesíti, akikkel a személyes adatot közölte. Ez alól kivétel, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az Érintettet az Adatkezelő kérésre tájékoztatja a címzettekről.

17.4.4. Tájékoztatási kötelezettség

Az adatkezelés korlátozásának a feloldásáról az Adatkezelő előzetesen tájékoztatja az Érintettet a jogorvoslati lehetőségére is kioktatva őt.

17.5. Az adathordozhatósághoz való jog

17.5.1. Adatszolgáltatás automatizált adatkezelés esetén

Az Érintett jogosult arra, hogy az általa az Adatkezelő rendelkezésére bocsátott személyes adatokat elektronikusan olvasható formában megkapja. Az így igényelhető adatok körét a lehető legtágabb értelemben kell értelmezni. (pl. hűségkártyás vásárlás, pontgyűjtés, álnevesítéssel kezelt adatok, minden, az Érintettel kapcsolatba hozható adat).

Ez a gyakorlatban azt jelenti, hogy az Adatkezelő olyan fájlformátumot használ, amely lehetővé teszi, hogy a szoftveres alkalmazások a benne szereplő egyedi adatokat azonosítani tudják, és azok ezt követően kinyerhetők legyenek.

17.5.2. Adatok továbbítása az Érintett kérésére

Az Érintett jogosult arra, hogy az általa az Adatkezelő rendelkezésére bocsátott személyes adatokat egy másik Adatkezelőnek továbbítsa. Az Érintett kérheti az Adatkezelők közötti közvetlen továbbítást is. Ennek feltétele az Adatkezelők között interoperabilitás megléte (két elektronikus rendszernek tudnia kell egymással kommunikálni).

17.5.3. Az adathordozhatóság feltétele

A fenti jogok érvényesíthetőségének két konjunktív feltétele van: az adatkezelés hozzájáruláson, vagy szerződésen alapul, és az adatkezelés automatizált módon történik.

17.6. A tiltakozáshoz való jog

17.6.1. Az Érintett a saját helyzetéhez való jogból bármikor jogosult tiltakozni az alábbi esetekben:

• ha az adatkezelés közérdekű, vagy az Adatkezelőre jogosult közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
• ha az adatkezelés az Adatkezelő, vagy egy harmadik fél jogos érdekéből történik – ideértve a profilalkotást is.

17.6.2. A tiltakozás esetében a személyes adatok nem kezelhetőek tovább, kivéve:

• ha az Adatkezelő bizonyítja, hogy az adatkezelését kényszerítő erejű jogos okok indokolják, amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Az Adatkezelő tiltakozás esetén érdekmérlegelési teszttel támasztja alá az adatkezelése indokoltságát;
• ha közvetlen üzletszerzés érdekében történő adatkezelés, ideértve a profilalkotást is;
• ha az Érintett tiltakozik, a személyes adatok közvetlen üzletszerzés érdekében történő adatkezelés ellen, a személyes adatok a továbbiakban e célból nem kezelhetőek.

17.6.3. Automatizált döntéshozatal – ideértve a profilalkotást is – esetén az Érintettet megillető jogok

Az Érintettet megilleti az a jog, hogy kizárólag automatizált adatkezelés alapján vele szemben rá nézve jelentős joghatással járó, vagy őt jelentős mértékben érintő döntés ne szülessen. Ez alól kivétel, ha uniós vagy tagállami jog teszi lehetővé az automatizált adatkezelést, vagy ahhoz az Érintett kifejezetten hozzájárul, illetve az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges.

Az Adatkezelő biztosítja az Érintett részére azt, hogy az álláspontját kifejezze, emberi beavatkozást kérjen, illetve az automatizált adatkezelésen alapuló döntéssel szemben kifogást nyújtson be.

Az Adatkezelő – az uniós vagy tagállami jog által lehetővé tett adatkezelések kivételével – megfelelő intézkedéseket tesz az Érintettek jogos érdeke védelmében, illetve teljesíti az Érintettnek azt az igényét, hogy a döntéshozatalba emberi beavatkozást kérjen. Lehetővé teszi az Érintett részére az Adatkezelő, hogy az álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

17.7. Érintettek jogainak gyakorlására vonatkozó intézkedések

17.7.1. Intézkedések a kérelem nyomán

Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet a fenti jogai gyakorlására vonatkozó kérelem nyomán hozott intézkedésekről. Szükség esetén ez a határidő további két hónappal meghosszabbítható, amennyiben a kérelem összetettsége vagy a kérelmek száma ezt indokolttá teszi. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.

17.7.2. Tájékoztatás az intézkedés elmaradásáról

Ha az Adatkezelő nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. Nem köteles az információk rendelkezésére bocsátására az Adatkezelő a GDPR értelmében, ha:

• az Érintett már rendelkezik az információval;
• az információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne;
• az adat megszerzésére vagy közlésére uniós vagy tagállam jog kötelezi az Adatkezelőt;
• az Adatkezelőt uniós vagy tagálami jogban előírt szakmai, vagy jogszabályon alapuló titoktartási kötelezettség terheli.

17.7.3. Az érintetti jogok gyakorlásának díjmentessége

Az alábbi esetekben az információkat, illetve intézkedéseket díjmentesen biztosítja az Adatkezelő:

• tájékoztatási kötelezettségen alapuló, az Érintett jogainak gyakorlására vonatkozó intézkedések;
• személyes adatokhoz hozzáféréshez való jog, helyesbítéshez és törléshez való jog, adatkezelés korlátozásához való jog, adathordozhatósághoz való jog, tiltakozáshoz való jog, automatizált döntéshozatallal és profilalkotással kapcsolatos jog gyakorlása;
• Érintett tájékoztatása az adatvédelmi incidensről.

Ha az Érintett kérelme egyértelműen megalapozatlan vagy ismétlődő, az Adatkezelő adminisztratív költségekre észszerű összegű díjat számíthat fel, illetve megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

A hozzáférési jog gyakorlása keretében kiadott első másolatért költségtérítést nem kell fizetni az Érintettnek, ugyanakkor az általa kért további másolatokért adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.

17.7.4. Az érintetti jogok gyakorlásának biztosítása a mindennapokban

Az Adatkezelő gondoskodik arról, hogy az Érintetti jogok gyakorlásnak elősegítése a saját Munkatársaival szemben kiemelten fontos elvárás legyen. Ennek megfelelően növeli az adatvédelmi tudatosságot, illetve az adatvédelmi elvárásokat, az egyes konkrét feladatokat utasításba, vagy munkaköri leírásba foglalja. Kidolgozza azt a rendszert, amelyből egyértelműen megállapítható, hogy az egyes Munkatársaknak milyen feladataik vannak a hozzájuk forduló Érintettek jogérvényesítésével kapcsolatosan.

Az Adatkezelő megfelelő szakmai információval látja el a Munkatársait annak érdekében, hogy az érintetti igényekkel kapcsolatosan megfelelően intézkedni tudjanak, képesek legyenek korrekt tájékoztatást adni az Érintetteknek is, és a munkahelyi feletteseiknek is az egyes ügyekben, ugyanakkor a nyilvántartási rendszerekben is el tudjanak igazodni.

Az Adatkezelőnek kötelezettsége – és ennek megfelelően joga is –, hogy kétség esetén a kérelmet benyújtó személy kilétével kapcsolatosan további, az Érintett személyazonosságának megismeréséhez szükséges információt kérjen. Ennek során figyelemmel van arra, hogy a GDPR 11. cikkben foglaltakat be kell tartania.

17.8. Adatkezeléssel kapcsolatos panasz intézése az Adatkezelőnél

Amennyiben az Adatkezelő adatkezelésével kapcsolatban problémája van, a közlést az erre a célra dedikált e-mail, vagy postai címen teheti meg.

17.9. Bírósághoz fordulás joga

Az Érintett a jogainak megsértése esetén az Adatkezelő ellen közvetlenül bírósághoz fordulhat. Az ügyben törvényszék soron kívül jár el. Az Érintett az alperes illetékességén kívül választhatja a saját lakóhelye szerinti illetékes törvényszéket.

17.10. Adatvédelmi hatósághoz fordulás joga

Az Érintett panasszal élhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál:

Székhely: 1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9.;

Telefon: +36 1/391-1400

Fax: +36 1/391-1410

E-mail: ugyfelszolgalat@naih.hu

Honlap: http://www.naih.hu

A hatóság határozata ellen is van lehetősége az Érintettnek a határozatban megjelölt törvényszékhez fordulni.