Adatkezelési és adatvédelmi tájékoztató
1. AZ ADATKEZELÉSI TÁJÉKOZTATÓ CÉLJA
Jelen adatkezelési tájékoztató célja, hogy átlátható és részletes információt nyújtson arról, hogy Dr.Vallyon Andrea Júlia egyéni vállalkozó (a továbbiakban: Adatkezelő) a tevékenysége során – különösen a jógaórák és ilyen jellegű események, a kapcsolódó weboldal működtetése, valamint a kommunikációs és közösségi felületek használata során – milyen módon kezeli az Érintettek személyes adatait. Az Adatkezelő a személyes adatokat az (EU) 2016/679 rendelet (GDPR), az Infotv., valamint a vonatkozó egyéb jogszabályok rendelkezéseivel összhangban kezeli.
Az adatkezelés során az Adatkezelő különösen az alábbi alapelveket érvényesíti: jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség; adattakarékosság; pontosság; korlátozott tárolhatóság; integritás és bizalmas jelleg; valamint az elszámoltathatóság elve. Az adatvédelemi alapfogalmak és részletes magyarázatuk itt érhetők el.
Az egyes adatkezelések részletes feltételeit a jelen tájékoztató külön fejezetei tartalmazzák. Az egyszerűség és átláthatóság követelményének megfelelően a jogszabályi háttér az érintett jogok felsorolása a tájékoztató végén kerülnek elhelyezésre. Az Adatkezelő gondoskodik a személyes adatok megfelelő szintű biztonságáról, és ennek érdekében technikai és szervezési intézkedéseket alkalmaz. Az adatbiztonságra vonatkozó rendelkezések itt érhetők el.
Az Adatkezelő jogosult a jelen tájékoztató módosítására. A módosítás nem érintheti a már megkezdett adatkezelések jogszerűségét, és az Érintettek megfelelő tájékoztatása mellett történik.
2. AZ ADATKEZELŐ ADATAI ÉS ELÉRHETŐSÉGE
A személyes adatokhoz való hozzáférést, azok törlését, módosítását, vagy kezelésének korlátozását, az adatok hordozhatóságát az adatkezelő bármely elérhetőségén kezelheti, e-mailt vagy postai levelet küldhet, telefonálhat:
- Az adatkezelő neve: Dr.Vallyon Andrea Júlia egyéni vállalkozó
- Az adatkezelő székhelye: 2000 Szentendre Anna utca 10A
- Adószáma: 57148502-1-33
- E-mail cím: vallyon.andi@gmail.com, info@andijoga.hu
- Telefonszám: 0630 900 9336
- Weboldal: www.andijoga.hu
3. KEZELT SZEMÉLYES ADATOK KÖRE CÉLOK SZERINT
Az alábbiakban részletesen taglaljuk, hogy az egyes esetekben:
- mely személyes adatok kezelésére kerül sor (1)
- mi az adatkezelés célja (2)
- mi az adatkezelés jogalapja (3) Milyen jogalapokat használ az Adatkezelő?
- meddig tárolja az adatkezelő a megadott személyes adatokat (4)
- kik férnek hozzá a személyes adatokhoz: címzettek köre (5)
- ki az érintettek köre (6)
- köteles-e az érintett a személyes adat megadására (7)
- milyen következményekkel járhat, ha az érintett a személyes adatot nem adja meg (7)
- adatkezeléssel kapcsolatos jogok (8)
- egyéb (9)
3.1. Kapcsolatfelvétel, amennyiben az érintett nem vesz igénybe más szolgáltatást
3.1.1. Kapcsolatfelvétel általános érdeklődés esetén
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Azonosítás | Jogos érdek -GDPR 6.cikk (1) f) | Utolsó kapcsolatfelvételtől számított 1 évig | Google levelező, Meta platformok |
| E-mail cím (ha emailen keresztül) | Kapcsolattartás, tájékoztatás | Jogos érdek -GDPR 6.cikk (1) f) | Utolsó kapcsolatfelvételtől számított 1 évig | Google levelező, Meta platformok |
| Kapcsolatfelvétel oka (9) | Személyre szabott tájékoztatás, ajánlatadás | Jogos érdek -GDPR 6.cikk (1) f) | Utolsó kapcsolatfelvételtől számított 1 évig | Google levelező, Meta platformok |
Jogos érdek indoklása: Az adatkezelés jogalapja az adatkezelő jogos érdeke, amely abban áll, hogy az érintett által kezdeményezett megkeresésre válaszoljon és a kért tájékoztatást megadja. Az adatkezelés az érintett ésszerű elvárásain alapul, kizárólag az általa önként közölt adatokra terjed ki, rövid ideig tart, és nem jár további felhasználással. Az érintett jogosult a jogos érdek jogalapon végzett adatkezelés ellen tiltakozni.
(6) Érintettek köre: Az adatkezelővel kapcsolatfelvételt kezdeményező természetes személyek, amennyiben további szolgáltatás igénybevételére nem kerül sor.
(7) Adatszolgáltatás kötelezettsége: Az érintett nem köteles a személyes adatok megadására, azonban azok hiányában a kapcsolatfelvétel nem lehetséges.
(8) Érintetti jogok: Az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását. Az érintett jogosult arra, hogy a jogos érdek jogalapon végzett adatkezelés ellen a saját helyzetével kapcsolatos okból bármikor tiltakozzon az info@andijoga.hu e-mail címen. Tiltakozás esetén az Adatkezelő a személyes adatokat törli, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben.
3.1.2. Kapcsolatfelvétel szolgáltatás megrendeléséhez vagy igénybevételéhez kapcsolódóan
|
Személyes adat típusa (1) |
Adatkezelés célja (2) |
Adatkezelés jogalapja (3) |
Adatkezelés időtartama (4) |
Adattovábbítás (címzettek köre) (5) |
|
Név |
Azonosítás, egyeztetés |
Az érintett kérésére történő szerződéskötést megelőző lépések megtétele [GDPR 6. cikk (1) bekezdés b) pont] |
Az utolsó kapcsolatfelvételtől számított 1 évig, vagy a szerződés létrejöttéig |
Google levelező, Meta platformok |
|
E-mail cím (ha emailen keresztül) |
Kapcsolattartás, tájékoztatás, |
Az érintett kérésére történő szerződéskötést megelőző lépések megtétele [GDPR 6. cikk (1) bekezdés b) pont] |
Az utolsó kapcsolatfelvételtől számított 1 évig, vagy a szerződés létrejöttéig |
Google levelező, Meta platformok |
|
Kapcsolatfelvétel oka (9) |
A szolgáltatással kapcsolatos tájékoztatás, egyeztetés, ajánlatadás, jelentkezés előkészítése |
Az érintett kérésére történő szerződéskötést megelőző lépések megtétele [GDPR 6. cikk (1) bekezdés b) pont] |
Az utolsó kapcsolatfelvételtől számított 1 évig, vagy a szerződés létrejöttéig |
Google levelező, Meta platformok |
(6) Érintettek köre: Az Adatkezelővel valamely szolgáltatás megrendelése, igénybevétele vagy az arra vonatkozó egyeztetés céljából kapcsolatfelvételt kezdeményező természetes személyek.
(7) Adatszolgáltatás kötelezettsége: Az érintett nem köteles a személyes adatok megadására, azonban azok hiányában a szolgáltatással kapcsolatos egyeztetés, a jelentkezés előkészítése vagy a szerződéskötést megelőző lépések megtétele nem lehetséges.
(8) Érintetti jogok: Az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását. Amennyiben a kapcsolatfelvételt követően a felek között szerződés jön létre, az adatkezelésre a szerződés teljesítéséhez kapcsolódó adatkezelési szabályok irányadók.
3.2 Jóga (csoportos, magán és online)
[ÜGYFÉL]
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Azonosítás, a szolgáltatás nyújtásának adminisztrációja | Szerződés teljesítése [GDPR 6.cikk (1) b)] | A szerződés megszűnését követő 5 év | Google levelezőrendszer, weboldal |
| E-mail cím, telefonszám (opcionális) | Kapcsolattartás, adminisztrálás, időpontfoglalás | Szerződés teljesítése [GDPR 6.cikk (1) b)] | A szerződés megszűnését követő 5 év | Google levelezőrendszer, weboldal |
| Egészségi állapottal kapcsolatos adat | A foglalkozások biztonságos és személyre szabott megtartása | Érintett hozzájárulása [GDPR 6.cikk (1) a)] + GDPR 9. cikk (2) a) szerinti kifejezett hozzájárulás | Visszavonásig, legkésőbb a szerződés megszűnését követő 5 évig | Levelezőrendszer, Google űrlap vagy papír alapú nyilatkozat |
| Bérletalkalmak felhasználására vonatkozó adatok | Bérletalkalmak felhasználásának nyomon követése | Szerződés teljesítése [GDPR 6.cikk (1) b)] | Szerződés megszűnését követő 5 évig | Papír alapú nyilvántartás |
| Online óra részvételéhez szükséges adatok (felhasználónév, részvételi információk) | Az online foglalkozáson való részvétel biztosítása | Szerződés teljesítése [GDPR 6.cikk (1) b)] | Szolgáltatás teljesítését követő 3 év | ZOOM |
| Facebook zárt csoport tagság | Szolgáltatáshoz kapcsolódó tartalmak közzététele | Szerződés teljesítése [GDPR 6.cikk (1) b)] | A program megszűnéséig | Meta |
| Helyszínen készült képmás FELHASZNÁLÁSA (fotó vagy videó) | Marketing és kommunikációs célú felhasználás (közzététel weboldalon, közösségi médiában) | Érintett hozzájárulása – GDPR 6.cikk (1) a) | Visszavonásig vagy az Adatkezelő tevékenységének vagy a felhasználáshoz fűződő érdekének a megszűnéséig. | Meta platformok, webtárhely |
+ pénzügyi teljesítéshez szükséges adatok
(6) Az érintettek köre: Az Adatkezelő által tartott csoportos, egyéni vagy online jógaórákon részt vevő, az Adatkezelővel szerződéses jogviszonyban álló természetes személyek.
(7) Adatszolgáltatás kötelezettsége: Az adatkezeléshez szükséges személyes adatok megadása a szolgáltatás igénybevételéhez szükséges. Amennyiben az érintett a szükséges adatokat nem adja meg, a jelentkezés vagy a szolgáltatás igénybevétele nem lehetséges. A telefonszám megadása opcionális.
A képmás marketingcélú felhasználásához történő hozzájárulás megadása nem feltétele a szolgáltatás igénybevételének.
Az Adatkezelő felhívja a figyelmet, hogy nem szükséges hozzájárulás tömegfelvétel vagy olyan felvétel készítéséhez, ahol az érintett nem azonosítható egyértelműen.
(8) Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását. Hozzájárulás jogalapon kezelt adatok esetében az érintett a hozzájárulását bármikor visszavonhatja, amely nem érinti a visszavonást megelőző adatkezelés jogszerűségét. Az Adatkezelő az érintett által a szolgáltatás igénybevétele során megadott személyes adatokat bizalmasan kezeli.
Az érintett által a szolgáltatás teljesítése során megadott, önként megadott egyéb személyes adatokat az Adatkezelő bizalmasan kezeli.
Kiegészítés – online órák adatkezelése
Az online formában megtartott jógaórák során a résztvevők képmása, hangja, valamint egyéb, a videókapcsolatból eredő személyes adatai a többi résztvevő számára láthatóvá vagy hallhatóvá válhatnak. A részvétellel az Érintett tudomásul veszi, hogy az online foglalkozások csoportos jellegéből fakadóan más résztvevők is érzékelhetik a jelenlétét.
Az adatkezelés jogalapja: szerződés teljesítése [GDPR 6. cikk (1) b)], mivel az online szolgáltatás nyújtásához ez technikailag szükséges.
Az Adatkezelő nem rögzíti az online órákat, kivéve, ha ehhez az érintettek előzetesen külön hozzájárultak.
Az Érintett köteles a többi résztvevő személyiségi jogait tiszteletben tartani, és az online foglalkozásról kép- vagy hangfelvételt kizárólag az Adatkezelő előzetes engedélyével készíthet.
3.3 Események (workshop, tábor)
Az adatkezelő rendszeres jelleggel tart jógához kapcsolódó workshopokat, táborokat vagy egyéb hasonló jellegű eseményeket.
[ÜGYFÉL]
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Azonosítás, a jelentkezés és részvétel adminisztrációja | Szerződés teljesítése [GDPR 6.cikk (1) b)] | Eseményt követő 5 év (8 év, ha számla-adat) | Google űrlapok, Google levelező |
| E-mail cím; telefonszám | Kapcsolattartás, információküldés az eseménnyel kapcsolatban | Szerződés teljesítése [GDPR 6.cikk (1) b)] | Eseményt követő 5 év | Google űrlapok, Google levelező |
| Egészségi állapottal kapcsolatos adat | A szolgáltatás biztonságos és személyre szabott biztosítása | Érintett hozzájárulása [GDPR 6.cikk (1) a)] + GDPR 9. cikk (2) a) szerinti kifejezett hozzájárulás | Visszavonásig, legkésőbb a szerződés megszűnését követő 5 évig | Levelezőrendszer, Google űrlap vagy papír alapú nyilatkozat |
| Allergia, tartós betegség/állapot* (tábor) | A résztvevő biztonságának biztosítása és szükség esetén gyors reagálás | Érintett kifejezett hozzájárulása [GDPR 6.cikk (1) a)] és GDPR 9. cikk (2) a) | Eseményt követő 30 nap | Google űrlapok, Google levelező, Google Táblázatok |
(6) Az érintettek köre: Az Adatkezelő által szervezett workshopokon, táborokon, elvonulásokon vagy egyéb eseményeken részt vevő természetes személyek.
(7) Adatszolgáltatás kötelezettsége: A szolgáltatás igénybevételéhez szükséges személyes adatok megadása a szerződés létrejöttének feltétele. Amennyiben az érintett a szükséges adatokat nem adja meg, az eseményen való részvétel nem lehetséges. Az allergiára, tartós betegségre vagy egyéb egészségi állapotra vonatkozó adatok különleges személyes adatok, amelyek megadása kizárólag az érintett önkéntes és kifejezett hozzájárulása alapján történik.
(8) Érintetti jogok: Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és az érintettnek joga van az adathordozhatósághoz. A hozzájárulás jogalapon kezelt adatok esetében az érintett jogosult a hozzájárulását bármikor visszavonni. A visszavonás nem érinti a visszavonást megelőző adatkezelés jogszerűségét.
Az Adatkezelő a szolgáltatás során tudomására jutott személyes adatokat bizalmasan kezeli.
3.4. Ingyenes tartalom letöltése
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Azonosítás | Hozzájárulás [GDPR 6.cikk (1) a)] | Letöltést követő 3 év | Google levelezőrendszer, Webtárhely |
| E-mail cím | Kapcsolattartás, tájékoztatás | Hozzájárulás [GDPR 6.cikk (1) a)] | Letöltést követő 3 év | Google levelezőrendszer, Webtárhely |
| Technikai adatok (IP cím, letöltés időpontja) | A letöltési folyamat technikai biztosítása, rendszerbiztonság | Hozzájárulás [GDPR 6.cikk (1) a)] | Letöltést követő 3 év | Google levelezőrendszer, Webtárhely |
(6) Az érintettek köre: Az Adatkezelő weboldaláról vagy egyéb online platformjáról díjmentes anyagot letöltő természetes személyek. Az ingyenes tartalom letöltése önmagában nem eredményez szerződéses jogviszonyt az érintett és az Adatkezelő között.
(7) Adatszolgáltatás kötelezettsége
A díjmentes anyag letöltéséhez az érintettnek meg kell adnia a szükséges adatokat. Amennyiben az érintett nem adja meg az adatokat, a letöltés nem lehetséges.
(8) Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.
3.5 Hírlevél feliratkozás
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Az érintettek részére hírlevél küldése, reklámanyagok, tananyagok, hasznos információk küldése céljából. | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig, vagy a hírlevél szolgáltatás megszűnéséig | Levelezőrendszer, Hírlevélrendszer |
| E-mail cím | Az érintettek részére hírlevél küldése, reklámanyagok, tananyagok, hasznos információk küldése céljából. | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig, vagy a hírlevél szolgáltatás megszűnéséig | Levelezőrendszer, Hírlevélrendszer |
| Hírlevél feliratkozás időpontja | Szükséges technikai lépés végrehajtása | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig, vagy a hírlevél szolgáltatás megszűnéséig | Levelezőrendszer, Hírlevélrendszer |
(6) Az érintettek köre: Az adatkezelő hírlevél szolgáltatására feliratkozók.
(7) Az érintett nem köteles az adatok megadására, mivel a hírlevél feliratkozás mindenféle befolyástól mentes, önkéntes döntés. Ha az érintett a személyes adatot nem adja meg, a feliratkozás nem jön létre.
(8) Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását. Az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.
(9) Az érintett a hírlevélről bármikor, bármely időpontban ingyenesen leiratkozhat.
3.6 Ügyfélkapcsolati célú tájékoztatás és ajánlatküldés meglévő ügyfelek részére
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Azonosítás | Jogos érdek -GDPR 6.cikk (1) f) | Legutóbbi szolgáltatás igénybevételének időpontját követő 3 év | Levelezőrendszer, Hírlevélrendszer (Google, MailPoet) |
| E-mail cím | Kivételes, egyedi ügyfélkapcsolati megkeresés, a korábban igénybe vett szolgáltatáshoz közvetlenül kapcsolódó tájékoztatás, egyedi ajánlat vagy egyeztetés céljából | Jogos érdek -GDPR 6.cikk (1) f) | Legutóbbi szolgáltatás igénybevételének időpontját követő 3 év | Levelezőrendszer, Hírlevélrendszer (Google, MailPoet) |
| Tranzakciós időpontok (levélküldés időpontja, IP cím), telefonhívás időpontja | Szükséges technikai lépés végrehajtása | Jogos érdek -GDPR 6.cikk (1) f) | Legutóbbi szolgáltatás igénybevételének időpontját követő 3 év | Levelezőrendszer, Hírlevélrendszer (Google, MailPoet) |
(6) Az érintettek köre: Meglévő ügyfelek. Az adatkezelés időtartama igazodik a szolgáltatás jellegéhez és az érintettek ésszerű elvárásaihoz, figyelembe véve a szolgáltatás jellegét, az esetleges utókövetést, garanciális, minőségbiztosítási vagy kapcsolódó szolgáltatások igénybevételének lehetőségét.
(7) Adatszolgáltatás kötelezettsége
A személyes adatok megadása a szolgáltatás igénybevételéhez korábban szükséges volt. Az adatkezelés ezen adatok további, ügyfélkapcsolati célú felhasználására korlátozódik.
(8) Tiltakozási jog
Az érintett jogosult arra, hogy személyes adatainak jogos érdek jogalapon történő kezelése ellen bármikor, indokolás nélkül tiltakozzon. Tiltakozás esetén az Adatkezelő az érintett személyes adatait e célból haladéktalanul törli, és további ügyfélkapcsolati megkeresést nem kezdeményez.
(9) Jogos érdek indoklása: Az adatkezelő a kapcsolódó érdekmérlegelési tesztet elvégezte. Jogalap indoklása: Az adatkezelő jogos érdeke, hogy meglévő ügyfelei részére a korábban igénybe vett szolgáltatásokhoz kapcsolódó információkat, kiegészítő ajánlatokat, valamint minőségbiztosítási célú megkereséseket küldjön. Az adatkezelés kizárólag olyan érintetteket érint, akik korábban szerződéses kapcsolatban álltak az adatkezelővel. Az e-mailes megkeresések nem rendszeresek és nem automatizáltak. Az adatkezelés nem jár profilalkotással, és minden esetben biztosított az adatkezelés elleni tiltakozás lehetősége.
Az adatkezelő a kapcsolódó érdekmérlegelési tesztet elvégezte.
3.7 Pénzügyi teljesítés
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | A pénzügyi teljesítés beazonosításához szükséges adat | Szerződés teljesítése [GDPR 6. cikk (1) b)] + jogi kötelezettség [GDPR 6. cikk (1) c)] | Számla kiállítása évének utolsó napját követő 8 év | Bank, Számlázóprogram, NAV, könyvelő |
| Lakcím/Számlázási cím | A pénzügyi teljesítés beazonosításához szükséges adat | Jogi kötelezettség – Jogi kötelezettség [GDPR 6. cikk (1) c)] 2000. évi C. törvény 169§ (2) | Számla kiállítása évének utolsó napját követő 8 év | Bank, Számlázóprogram , NAV, könyvelő |
| E-mail cím (elektronikus számla esetén) | A pénzügyi teljesítés beazonosításához szükséges adat | Szerződés teljesítése [GDPR 6. cikk (1) b)] | Számla kiállítása évének utolsó napját követő 8 év | Számlázóprogram, NAV, könyvelő, |
| Számlaszám (átutalás esetén) | A befizetés azonosítása | Jogi kötelezettség – Jogi kötelezettség [GDPR 6. cikk (1) c)] 2000. évi C. törvény 169§ (2) | Számla kiállítása évének utolsó napját követő 8 év | Bank, Könyvelő, NAV |
Az érintett által igénybe vett fizetős szolgáltatások pénzügyi teljesítése a szerződés hibátlan teljesítésének feltétele. Bár a polgári jogi követelések 5 év alatt elévülnek, a pénzügyi teljesítéshez közvetlenül kapcsolódó számlát az adatkezelő köteles 8 évig megőrizni a kiállítás évének utolsó napját követően.
(6) Az érintettek köre: Az adatkezelővel szerződést kötött, pénzügyi teljesítés kötelezettségével terhelt érintett.
(7) Az érintett köteles az adatok megadására, mivel a számla kiállítása a pénzügyi teljesítés (átutalás) nem lehetséges.
(8) Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését és az érintettnek joga van az adathordozhatósághoz. A jogszabályon alapuló adatkezelés esetén a törléshez való jog korlátozott lehet.
3.8. KÖVETELÉSKEZELÉSSEL ÖSSZEFÜGGŐ ADATKEZELÉS
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név | Azonosítás, a követelés érvényesítése | Jogos érdek [GDPR 6. cikk (1) f)] | A követelés rendezéséig, legfeljebb az általános polgári jogi elévülési idő végéig (5 év) | Könyvelő, jogi képviselő |
| Elérhetőségi adatok (e-mail cím, telefonszám) | Kapcsolattartás, fizetési egyeztetés | Jogos érdek [GDPR 6. cikk (1) f)] | A követelés rendezéséig, legfeljebb 5 év | Könyvelő, jogi képviselő |
| Elérhetőségi adatok (e-mail cím, telefonszám) | A követelés alapjául szolgáló ügylet azonosítása | Jogos érdek [GDPR 6. cikk (1) f)] | A követelés rendezéséig, legfeljebb 5 év | Könyvelő, jogi képviselő |
| A követelés adatai (összeg, jogcím, esedékesség, teljesítési státusz) | A követelés nyilvántartása és érvényesítése | Jogos érdek [GDPR 6. cikk (1) f)] Jogos érdek [GDPR 6. cikk (1) f)] | A követelés rendezéséig, legfeljebb 5 év | Könyvelő, jogi képviselő |
(6) Érintettek köre: Az Adatkezelővel szerződéses jogviszonyban álló, pénzügyi teljesítési kötelezettséggel rendelkező természetes személyek.
(7) Adatszolgáltatás kötelezettsége: A személyes adatok megadása a szerződés teljesítéséhez korábban szükséges volt. Az adatkezelés ezen adatoknak a követelés érvényesítéséhez szükséges kezelésére korlátozódik.
(8) Érintetti jogok Az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, a személyes adatok kezelésének korlátozását. Az érintett jogosult arra is, hogy jogos érdek jogalapon végzett adatkezelés ellen tiltakozzon. Tiltakozás esetén az Adatkezelő egyedileg mérlegeli, hogy fennállnak-e olyan kényszerítő erejű jogos okok, amelyek az adatkezelést indokolják.
(9) Jogos érdek indoklása: Az adatkezelő jogos érdeke a szolgáltatás ellenértékének érvényesítése, a szerződéses kötelezettségek teljesítésének biztosítása, valamint a pénzügyi követelések jogszerű kezelése. Az adatkezelés az érintettek ésszerű elvárásain alapul, kizárólag a szükséges adatokra korlátozódik, és nem jár aránytalan beavatkozással az érintettek magánszférájába.
Az Adatkezelő a kapcsolódó érdekmérlegelési tesztet elvégezte.
3.9. Értékelések felhasználása
- Értékelések és visszajelzések gyűjtése
Az Adatkezelő az egyes szolgáltatások teljesítését követően az érintettől önkéntes alapon értékelést kérhet (különösen online kérdőív útján vagy írásban). Az értékelések gyűjtésének elsődleges célja a minőségbiztosítás és a szolgáltatás színvonalának fejlesztése.
Az Érintett értékelésének névvel, képmással vagy egyéb azonosításra alkalmas formában történő, marketing- és kommunikációs célú felhasználása kizárólag az Érintett előzetes, kifejezett és önkéntes hozzájárulása alapján történhet, amely külön nyilatkozatban kerül rögzítésre. A hozzájárulás megadása nem feltétele a szolgáltatás igénybevételének, és az Érintett jogosult azt bármikor visszavonni. A visszavonás nem érinti a visszavonást megelőző adatkezelés jogszerűségét.
Amennyiben az Érintett hozzájárulása a név vagy képmás felhasználásához nem kifejezett, az értékelés kizárólag anonim vagy álnevesített formában használható fel.
A Szolgáltató zárt Facebook közösségében történő értékelések közzététele szintén kizárólag az Érintett kifejezett hozzájárulása alapján történhet, a hozzájárulásban meghatározott feltételek szerint (különösen: névvel vagy név nélkül, képmással vagy képmás nélkül).
A kérdőívek esetében az Adatkezelő kiemelt figyelmet fordít az adatbiztonságra. A Google Formok által használt adatkezelési technológiákról további információt a Google adatvédelmi irányelveiben található: https://policies.google.com/privacy.
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Szolgáltatás értékelése | Minőségbiztosítás, szolgáltatás színvonalának növelése | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig, vagy az Adatkezelő működéséig | Google Űrlapok, Levelező (Google), Social média, Webtárhely |
- Értékelések marketing célú felhasználása
Az Adatkezelő a szolgáltatásról adott pozitív visszajelzéseket marketing és kommunikációs célokra felhasználhatja. Ez kizárólag az érintett előzetes, kifejezett hozzájárulása alapján történhet.
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Név (ha az érintett vállalja) | Hiteles ügyfélvélemény bemutatása | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig | Social média, Webtárhely |
| Képmás (ha az érintett hozzájárul) | Marketing kommunikáció | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig | Social média, Webtárhely |
| Saját tapasztalat / vélemény | Szolgáltatás bemutatása | Érintett hozzájárulása -GDPR 6.cikk (1) a) | Visszavonásig | Social média, Webtárhely |
- Nyilvános értékelések és megjelölések
Az Érintett által bármely platformon vagy az Adatkezelő weboldalán saját maga által nyilvánosan közzétett véleményt vagy az olyan posztokat/tartalmakat, amelyet nyilvánosan, az Adatkezelő közvetlen megjelölésével, vagy az Adatkezelővel kapcsolatosan osztott meg, az Adatkezelő jogos érdek jogalapon saját közösségi média vagy weboldal platformjain megoszthatja, felhasználhatja, az Adatkezelő tevékenységének vagy kapcsolódó érdekének fennállásáig. Az érintett a felhasználás ellen tiltakozhat, módosítást vagy törlést kérhet.
Összegzés: Az adatkezelés nem eredményezi az érintett személyes adatainak új célú vagy eltérő kontextusban történő nyilvánosságra hozatalát, mivel az értékelések eredetileg is nyilvános felületen kerültek közzétételre. Képmást tartalmazó értékelések marketing célú felhasználása kizárólag az érintett előzetes, kifejezett hozzájárulása alapján történik.
Jogos érdek rövid indoklása:
Az adatkezelés célja az ügyfél-elégedettség és a szolgáltatás minőségének hiteles bemutatása.
Az értékelések nyilvánosan közzétett tartalmak, amelyeket az érintett önként és tudatosan osztott meg. Az adatkezelő kizárólag a forrás pontos megjelölésével, változtatás nélkül jeleníti meg az értékelést. Az adatkezelés nem érinti hátrányosan az érintettek jogait, mivel az adatok már nyilvánosak, további felhasználásuk arányos a cél elérésével.
3.10. Panasztétel
[ÜGYFÉL]
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) | Adattovábbítás (címzettek köre) (5) |
| Érintett neve és megadott kapcsolattartási adata és a panasz tartalma | Panasz kivizsgálása és kezelése | Jogi kötelezettség [GDPR 6. cikk (1) c)] | 5 év | Google levelezőrendszer |
| A panaszra adott válasz, válaszadás időpontja | Panaszkezelés dokumentálása | Jogi kötelezettség [GDPR 6. cikk (1) c)] | 5 év | Google levelezőrendszer |
Az adatkezelés időtartamát a 1997. évi CLV. törvény 17/A. § (7) bekezdése határozza meg.
(6) Az érintettek köre: Az Adatkezelővel szerződéses jogviszonyban álló vagy korábban szolgáltatást igénybe vevő természetes személyek, akik a szolgáltatással vagy az Adatkezelő tevékenységével kapcsolatban panaszt nyújtanak be.
(7) Adatszolgáltatás kötelezettsége: A panasz kivizsgálásához szükséges személyes adatok megadása szükséges. Amennyiben az érintett a szükséges adatokat nem adja meg, a panasz kivizsgálása nem lehetséges.
(8) Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, és azok korlátozását. A személyes adatok törlésére a jogszabály által előírt megőrzési időn belül nincs lehetőség.
4. Címzettek: Adatfeldolgozók és önálló adatkezelők
- Adatfeldolgozók: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Az adatkezelő a saját adatkezelési tevékenységeinek elősegítése céljából, továbbá érintettel kötött szerződés-, illetve a jogszabályok által támasztott kötelezettségeinek teljesítése érdekében adatfeldolgozókat vesz igénybe.
Az adatkezelő kiemelt figyelmet fordít arra, hogy kizárólag olyan adatfeldolgozókat vegyen igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-ban foglalt követelményeinek való megfelelés érdekében.
A Szolgáltató valamennyi adatfeldolgozóval a jogszabályi követelményeknek megfelelő szerződéses kötelemben áll, mely biztosítja, hogy a személyes adatok kezelésére kizárólag az adatkezelő írásbeli utasítása alapján kerülhet sor, az adatfeldolgozó titoktartási kötelezettséget vállal, garanciákat fogalmaz meg az adatfeldolgozó IT és egyéb biztonsági feltételeire, valamint kérés esetén az adatfeldolgozó minden szükséges információt az adatkezelő rendelkezésére bocsát.
| Adatfeldolgozó típusa | Adatfeldolgozó címzett neve | Adatfeldolgozó elérhetősége/egyéb információk | Kezelt adatok |
| Könyvelő | Kovács Andrea ev., | 1172 Budapest, Cinkotai út 15. | Pénzügyi teljesítéssel kapcsolatos adatok |
| Webfejlesztő | Baros Gabriella EV. – webfejlesztő | – | Weboldalon tárolt adatok |
| Webtárhely | Tárhely.Eu Szolgáltató Kft. – 1144, Budapest, Ormánság u. 4. X.em 241. | https://tarhely.eu/dokumentumok/adatvedelmi_szabalyzat.pdf | Weboldalon tárolt adatok |
- Adattovábbítás/közlés önálló adatkezelő részére
„Önálló adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Az önálló adatkezelők a saját nevükben, a saját adatvédelmi szabályzatuknak megfelelően kezelik az általunk közölt vagy továbbított személyes adatokat, az adatkezelő a tevékenységükre semmilyen befolyással nem bír. Az önálló adatkezelő és az adatkezelő között szerződéses kötelem áll fenn.
| Önálló adatkezelő típusa | Önálló adatkezelő címzett neve | Önálló adatkezelő címe | Adatkezelési tájékoztató | Kezelt adatok |
| Bank | MBH Bank Nyrt. | 1056 Budapest, Váci utca 38. | https://www.mbhbank.hu/adatvedelem | Bank tranzakciók (utalások, kapcsolódó név, megjegyzés, dátum). |
| Számlázó-program | KBOSS.HU Kft. | 1031 Budapest, Záhony utca 7. | https://www.szamlazz.hu/adatvedelem/ | Név, számlázási cím, e-mail cím, megvásárolt szolgáltatás |
| Formok | Google LLC | Gordon House, Barrow Street Dublin 4, Ireland |
https://policies.google.com/privacy/embedded?hl=en-US | weboldal formokon keresztül megadott adatok |
| Közösségi média | Meta Platforms Inc | 4 Grand Canal Square Grand Canal Harbour Dublin 2, Ireland |
https://www.facebook.com/privacy/center/ | Marketing információk* |
| Közösségi Média (pl. YouTube) | Google LLC | Gordon House, Barrow Street Dublin 4, Ireland |
https://policies.google.com/privacy/embedded?hl=en-US | Marketing információk* |
| Levelezés | Google LLC | Gordon House, Barrow Street Dublin 4, Ireland |
https://policies.google.com/privacy/embedded?hl=en-US | E-mailváltás során megadott adatok |
| Nyilvántartó szoftver (Táblázatok, Dokumentumok) | Google LLC | Gordon House, Barrow Street Dublin 4, Ireland |
https://policies.google.com/privacy/embedded?hl=en-US | Bérletek, alkalmak száma, időpontok, név |
| Online meeting szolgáltatás | Zoom Video Communications Inc. | 55 Almaden Blvd San Jose, CA 95113 USA |
https://www.zoom.com/en/trust/privacy/ | felhasználói, kommunikációs, technikai adatok, lokációs adatok, tranzakciós adatok |
| Hírlevél szoftver | MailPoet / Automattic Inc. | 60 29th Street #343, San Francisco, CA 94110, USA. | https://www.mailpoet.com/privacy-notice/ | Név, e-mail cím, tranzakciós adatok, telefonszám |
*Marketing információk gyűjtése
- Közösségi média felületeken megvalósuló adatkezelés
Az adatkezelés jellege
Az Adatkezelő Facebook és Instagram üzleti profillal, valamint egyéb közösségi és tartalommegosztó felületekkel rendelkezik. A közösségi média felületeken megvalósuló adatkezelések nem minden esetben minősülnek közös adatkezelésnek. Az adatkezelés jellege az adott funkciótól függően eltérő lehet:
- önálló adatkezelés, vagy
- közös adatkezelés a Meta Platforms Inc.-kel
3.1. ÖNÁLLÓ ADATKEZELÉS A META FELÜLETEIN
Az Adatkezelő önálló adatkezelőként jár el az alábbi esetekben:
- privát üzenet (Messenger / Instagram DM) küldése az Adatkezelőnek
- komment írása az Adatkezelő bejegyzései alá
- reakció (like, emoji) az Adatkezelő tartalmaira
- az Adatkezelő által közzétett posztok megosztása
- Meta lead form (űrlap) kitöltése kampány keretében
Ezekben az esetekben a Meta Platforms Inc. önálló adatkezelőként működteti a platformot, az Adatkezelő pedig saját céljaira kezeli az érintett által önként megadott adatokat.
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) |
| Érintett nyilvános profilképe | Az érintett azonosítása a platformon történő kapcsolattartás során. | GDPR 6. cikk (1) f) – jogos érdek (kapcsolattartás biztosítása) |
|
| Privát üzenet tartalma | Kapcsolattartás, tájékoztatás nyújtása | GDPR 6. cikk (1) f) – jogos érdek (kapcsolattartás biztosítása) |
|
| Üzenet küldésének időpontja | Szükséges technikai adat | GDPR 6. cikk (1) f) – jogos érdek (kommunikáció dokumentálása) |
|
| Komment tartalma | Kampány lebonyolítása |
GDPR 6. cikk (1) f) – jogos érdek (kommunikáció és kampány lebonyolítása) |
|
| Lead űrlapon megadott adatok (név, email-cím, telefonszám) | Kampányok lebonyolítása | Érintett hozzájárulása [GDPR 6.cikk (1) a)] |
|
Érintetti jogok:
Az érintett jogosult:
- a platformon saját hozzászólását törölni,
- az Adatkezelőtől kérni a vele folytatott kommunikáció másolatának törlését,
- tiltakozni a jogos érdek jogalapon történő adatkezelés ellen,
- a lead űrlap esetén a hozzájárulását bármikor visszavonni.
A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
Jogos érdek indokolása: Az Adatkezelő jogos érdeke, hogy a vele kapcsolatba lépő személyeket a platformon azonosítani tudja a kommunikáció biztonságos és átlátható lebonyolítása érdekében (profilképpel kapcsolatos adatkezelés). Kommentelés során az Adatkezelő jogos érdeke a nyilvános kommunikáció fenntartása és a kampányok lebonyolítása.
Ha az érintett visszavonja a hozzájárulását, az Adatkezelő törli a vele folytatott beszélgetést. A visszavonás nem érinti a visszavonás előtt végzett adatkezelés jogszerűségét, valamint az olyan adatok átemelését és további kezelését, amelyek más adatkezelésekhez szerződés teljesítése és jogi kötelezettség jogalap alkalmazása miatt szükségesek.
A 3 éves megőrzési idő indokolása: A 3 éves adatmegőrzési idő célja a korábbi kommunikáció visszakereshetősége, esetleges jogvita vagy panaszkezelés, vagy szolgáltatással összefüggő bizonyítási kötelezettség teljesítése. Az Adatkezelő az adatokat ennél hosszabb ideig nem őrzi meg, amennyiben jogszabály másként nem rendelkezik.
3.2. KÖZÖS ADATKEZELÉS A META PLATFORMS INC.-KEL
Az Adatkezelő és a Meta Platforms Ireland Ltd. kizárólag a Facebook és Instagram Oldalelemzések (Page Insights) funkció használata során minősülnek közös adatkezelőknek. A Page Insights funkció összesített, statisztikai adatokat biztosít az Adatkezelő számára.
Jogalap: GDPR 6. cikk (1) f) – jogos érdek
Jogos érdek indokolása: Az Adatkezelő jogos érdeke a közösségi média jelenlétének elemzése, tartalomoptimalizálás és szolgáltatásfejlesztés.
Felelősségi körök megosztása: A közös adatkezelés részleteit a Meta által közzétett Oldalelemzések Adatkezelői Függeléke tartalmazza: https://www.facebook.com/legal/terms/page_controller_addendum
- A Meta felel a technikai adatkezelésért
- Az Adatkezelő felel a saját adatkezelési tájékoztatójáért
- Az Adatkezelő kizárólag aggregált adatokat lát
Fontos tájékoztatás
A Meta Platforms Ireland Ltd. önálló adatkezelőként jár el a platform működtetése során.
Az Adatkezelőnek nincs ráhatása:
- a Meta adatgyűjtési technológiáira,
- sütik alkalmazására,
- profilalkotásra,
- hirdetési célú adatfelhasználásra.
Meta adatkezelési tájékoztató: https://www.facebook.com/privacy/center/
3.4. EGYÉB KÖZÖSSÉGI ÉS TARTALOMMEGOSZTÓ PLATFORMOK (pl. YouTube, TikTok)
Az Adatkezelő más közösségi vagy tartalommegosztó platformokon (különösen: YouTube, TikTok) is jelen lehet. Ezeken a felületeken az adatkezelés jellege az adott platform működéséből adódóan eltérhet, és jellemzően:
- az adott platform önálló adatkezelőként jár el a felhasználói fiókokkal, megjelenítésekkel, interakciókkal kapcsolatban,
- az Adatkezelő kizárólag az érintett által nyilvánosan megosztott vagy közvetlenül megküldött tartalmakat (pl. komment, üzenet) kezeli saját céljaira.
Az Adatkezelőnek nincs ráhatása az érintett adatok platformon belüli további kezelésére, így különösen:
- a sütik alkalmazására,
- a profilalkotásra,
- a hirdetési célú adatfelhasználásra,
- a platformok saját statisztikai és ajánlórendszereire.
Az egyes platformok adatkezelési gyakorlatáról az adott szolgáltató saját adatkezelési tájékoztatói nyújtanak részletes információt.
5. Cookie tájékoztató
Az Adatkezelő cookie-kat (sütiket) alkalmaz a weboldalon a weboldal megfelelő működésének biztosítása, a felhasználói élmény javítása, statisztikai elemzések készítése, valamint marketing és hirdetési célok megvalósítása érdekében.
A cookie-k alkalmazása során az Érintett weboldalhasználatára vonatkozó adatok – így különösen online azonosítók (pl. cookie-azonosító), IP-cím, látogatási időpont, böngészési adatok – kezelése történhet. Ezek az adatok online azonosítóként személyes adatnak minősülhetnek, amennyiben az Érintett közvetlenül vagy közvetve azonosíthatóvá válik.
Az Adatkezelő által használt egyes cookie-k esetében a weboldalhasználatra vonatkozó adatok megosztásra kerülhetnek az Adatkezelő közösségi média-, hirdetési és analitikai partnereivel (pl. Google, Meta), akik az adatokat saját adatkezelési szabályzataik szerint kezelik, és azokat más, az Érintett által megadott vagy más szolgáltatások igénybevétele során gyűjtött adatokkal összekapcsolhatják.
Az Érintett a weboldal első látogatásakor megjelenő cookie banner segítségével jogosult:
- a nem szükséges cookie-k alkalmazását elfogadni vagy elutasítani,
- a cookie-kategóriák egyedi beállítására,
- valamint a hozzájárulását bármikor visszavonni.
Az Érintett jogosult továbbá arra, hogy böngészője beállításaiban a cookie-k elhelyezését megtiltsa vagy a már elhelyezett cookie-kat törölje. Felhívjuk a figyelmet arra, hogy a cookie-k letiltása esetén a weboldal egyes funkciói nem vagy nem megfelelően működhetnek.
| Személyes adat típusa (1) | Adatkezelés célja (2) | Adatkezelés jogalapja (3) | Adatkezelés időtartama (4) |
|
Szükséges sütik Online azonosítók (pl. cookie-azonosító), IP-cím, látogatási adatok, időpontok |
Weboldal működtetése, biztonság | Jogos érdek [GDPR 6.cikk (1) f)] | Munkamenet végéig, legfeljebb 1 nap |
|
Statisztikai sütik Online azonosítók (pl. cookie-azonosító), IP-cím, látogatási adatok, időpontok |
Látogatottsági és statisztikai elemzés | Érintett hozzájárulása [GDPR 6.cikk (1) a)] | 1 nap – legfeljebb 2 év, vagy a hozzájárulás visszavonásáig |
|
Marketing sütik Online azonosítók (pl. cookie-azonosító), IP-cím, látogatási adatok, időpontok |
Marketing és hirdetési célok | Érintett hozzájárulása [GDPR 6.cikk (1) a)] | 1 nap – legfeljebb 2 év, vagy a hozzájárulás visszavonásáig |
(6) Az érintettek köre: mindenki, aki az adatkezelő weboldalát látogatja.
(7) Az érintettek adatkezeléssel kapcsolatos jogai: Az érintettnek lehetősége van a cookie-kat törölni a böngészők Eszközök/Beállítások menüjében általában az Adatvédelem menüpont beállításai alatt.
Az Adatkezelő az alábbi, harmadik féltől származó szolgáltatásokhoz kapcsolódó sütiket is alkalmazhat:
- Google Analytics (Google LLC) – statisztikai elemzés céljából
• Meta (Facebook/Instagram) pixel – marketing és remarketing célból
E szolgáltatók a sütik segítségével gyűjtött adatokat saját adatkezelési szabályzataik szerint kezelik.
A weboldalon alkalmazott cookie-k pontos listája, azok neve, célja, szolgáltatója és élettartama a weboldalon megjelenő cookie kezelő felületen (cookie banner) érhető el, amely az Érintett számára a sütik kategóriánkénti kezelését és beállítását is lehetővé teszi.
6. ADATBIZTONSÁG
Az adatkezelés biztonsága érdekében az adatkezelő és a szerződött adatfeldolgozók a tudomány és technológia aktuális állását, a megvalósítás költségeit, valamint az adatkezelés jellegét, célját és az ezzel járó kockázatokat figyelembe véve megfelelő technikai és szervezési intézkedéseket alkalmaznak annak biztosítására, hogy az adatbiztonság a kockázat mértékének megfelelő szinten legyen garantálva.
Az adatkezelő az alábbi konkrét adatbiztonsági intézkedéseket alkalmazza:
Fizikai védelem:
- Az Adatkezelő papír alapon tárolt dokumentumokat elzárt szekrényben tárolja, amelyhez más személynek nincs hozzáférése
- Az adatkezelést végző csak akkor hagyja el az adatkezelés helyszínét, ha az adathordozókat elzárja, vagy az adott helyiséget bezárja.
Informatikai védelem:
- Az adatkezelés során használt számítógépek és mobil eszközök az adatkezelő tulajdonát képezik.
- Az adatkezelő által használt számítógépes rendszerek vírusvédelemmel vannak ellátva.
- A digitális adatok biztonsága érdekében az adatkezelő rendszeresen adatmentéseket és archiválásokat végez.
- A központi (pl. Google) tárhelyhez csak az arra kijelölt és megfelelő jogosultsággal rendelkező személyek férhetnek hozzá.
- A számítógépes adatokhoz való hozzáférés csak felhasználónév és erős jelszó megadásával lehetséges.
- Az egyes szoftverek esetén az Adatkezelő kétfaktoros hitelesítést alkalmaz.
7. ADATTOVÁBBÍTÁS KÜLFÖLDRE, NEMZETKÖZI SZERVEZET RÉSZÉRE
Az Adatkezelő közvetlen adattovábbítást EU-n kívüli országba nem végez.
Ugyanakkor az Adatkezelő által igénybe vett egyes szolgáltatók – különösen a Google LLC, a Meta Platforms Inc. és a Zoom Video Communications Inc. – vagy azok alfeldolgozói az Európai Gazdasági Térségen kívül is végezhetnek adatkezelési műveleteket.
Az EU-n kívüli adattovábbítás minden esetben a GDPR V. fejezetének megfelelően történik, az alábbi garanciák alkalmazásával:
Az érintett szolgáltatók az Európai Bizottság megfelelőségi határozata alapján elfogadott EU–US Data Privacy Framework rendszerhez csatlakoztak, és/vagy az adattovábbítás az Európai Bizottság által elfogadott általános szerződési feltételek (Standard Contractual Clauses – SCC) alkalmazásával történik.
Az Adatkezelő az adatfeldolgozókkal kötött szerződések keretében biztosítja, hogy az EU-n kívüli adattovábbítás során a személyes adatok megfelelő szintű védelme fennmaradjon. Az érintett jogosult arra, hogy az EU-n kívüli adattovábbításra vonatkozó megfelelő garanciákról tájékoztatást kapjon.
8. JOGSZABÁLYI HÁTTÉR
A személyes adatok kezelésével kapcsolatos jogszabályi előírásokat a Szolgáltató az adatkezelés minden fázisában köteles betartani. A Szolgáltató által végzett adatkezelésre elsősorban az alábbi jogszabályokban rögzített rendelkezések az irányadóak:
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”)
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR);
- 2011. évi CXII. törvény (Infotv.)
- 2001. évi CVIII. törvény
- 2008. évi XLVIII. törvény
- 1997. évi CLV. törvény
- 2003. évi C. törvény
9. FOGALMAK
| Fogalom | Leírás |
| érintett | Bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy és/vagy egyéni vállalkozó. |
| személyes adat | Az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. |
| hozzájárulás | Az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. |
| tiltakozás | Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. |
| adatkezelés | Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl: ujj-, tenyérlenyomat, DNS-minta, íriszkép) rögzítése |
| adatfeldolgozás | Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik. |
| adattovábbítás | Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. |
| nyilvánosságra hozatal | Az adatot bárki számára történő hozzáférhetővé tétele. |
| adatkezelő | Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. |
| adatfeldolgozó | Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi. |
| adattörlés | Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. |
| adatállomány | Az egy nyilvántartásban kezelt adatok összessége. |
| harmadik személy | Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; |
10. SZEMÉLYES ADATOK KEZELÉSÉNEK ALAPELVEI
Jogszerűség, átláthatóság, tisztességes eljárás elve: az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
Célhoz kötöttség elve: Az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
Adattakarékosság elve: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
Pontosság elve: A kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
Korlátozott tárolhatóság elve: A tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak 89. cikk (1) bekezdésének megfelelő célból kerülhet sor.
Integritás és bizalmi jelleg: Az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Elszámoltathatóság: Az adatkezelő felelős a fentiek megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
Az adatkezelő nyilatkozik, hogy adatkezelése a jelen pontban foglalt alapelveknek megfelelően történik.
11. AZ EGYES KEZELT SZEMÉLYES ADATOK JOGALAPJA, VISSZAVONHATÓSÁGA
Az adatkezelő minden egyes általa kezelt személyes adatot megvizsgál, és meghatározza, hogy azt a GDPR 6. cikk (1) bekezdésében meghatározott jogalapok közül mely jogalapon fogja kezelni. Az adatkezelő csak az alábbi jogalapokat használja, amelyek visszavonhatóságával kapcsolatban az itt kifejtettek érvényesek minden adatkezelés esetében:
a. Önkéntes hozzájárulás az adatkezeléshez (érintett hozzájárulása jogalap – GDPR 6.cikk (1) a)):
Az érintett az egyes adatkezelések kapcsán külön nyilatkozat megtételével kifejezett hozzájárulását adja ahhoz, hogy az Adatkezelő személyes adatait a jelen tájékoztatóban meghatározott célokból és módon kezelje. Amennyiben az adatközlő nem a saját személyes adatait adja meg, úgy köteles gondoskodni arról, hogy az érintett személy megfelelő tájékoztatást kapjon, és hozzájárulását az adatkezeléshez megadja. Az önkéntes hozzájáruláson alapuló adatkezelések esetében az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja, amely azonban nem érinti a visszavonást megelőző adatkezelés jogszerűségét.
b. Szerződés teljesítése (jogalap – GDPR 6.cikk (1) b)):
Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
c. Jogi kötelezettség (jogalap – GDPR 6.cikk (1) c)):
Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Az ilyen adatkezelés. Amennyiben az adat pontatlan, az érintett kérheti annak javítását, módosítását.
d. Jogos érdek (jogalap – GDPR 6.cikk (1) f)):
Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdek jogalapon alapuló kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
12. ÉRINTETT JOGAI ÉS JOGÉRVÉNYESÍTÉSI LEHETŐSÉGEI
12.1 Átlátható tájékoztatás joga
Az érintett alapvető joga a megfelelő, átlátható tájékoztatáshoz való jog, mely kötelezettségként az adatkezelőnél jelentkezik. Az Adatkezelő az érintettet tömören, átláthatóan, érthetően, könnyen hozzáférhető formátumban, világosan és közérthető módon tájékoztatja az adatkezelés körülményeiről, illetve az őt megillető jogosultságokról.
Tájékoztatás kérés esetén indokolatlan késedelem nélkül, de legfeljebb 30 napon belül megadjuk a tájékoztatást.
12.2 Hozzáféréshez joga
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kapcsolódó információkhoz hozzáférést kapjon, kiemelten a személyes adatok forrására, valamint arra vonatkozóan, hogy az adatok továbbítása megtörtént-e harmadik fél számára. Az adatkezelő a kérelem benyújtásától számított legfeljebb egy hónapon belül adja meg a tájékoztatást.
12.3 Adathordozáshoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa.
12.4 Helyesbítés, módosítás joga
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse, kiegészítse a rá vonatkozó pontatlan személyes adatokat.
12.5 Elfeledtetéshez, törléshez való jog
Az adatkezelő köteles az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, ha az alábbi indokok valamelyikének fennáll:
- személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- adatkezelő által megszabott tárolási időtartam lejárt
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Amennyiben a kezelt adat jogérvényesítéshez, vagy például hatóság felé történő elszámoláshoz szükséges, az adatkezelés jogi kötelezettség teljesítése vagy jogos érdek alapján folytatható.
A törlés során adatkezelő köteles a bevont adatfeldolgozókat is értesíteni a törlési kötelezettségről.
12.6 Tiltakozás joga
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
12.7 Adatkezelés korlátozásához való jog
Korlátozás esetén a személyes adatokat pusztán tárolni lehet, egyéb adatkezelés kizárólag az érintett hozzájárulásával, jogi igény előterjesztése céljából, illetve közérdekből történhet. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül.
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
12.8 Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Profilalkotást, automata döntéshozatalt, automata mechanizmust a Szolgáltató nem használ, illetve nem végez.
13. ADATVÉDELMI INCIDENS
Az Adatkezelő az adatvédelmi incidenseket a GDPR rendelkezéseinek megfelelően kezeli és nyilvántartja. Amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő azt indokolatlan késedelem nélkül, lehetőség szerint legkésőbb 72 órán belül bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak.
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, az Adatkezelő az érintetteket is indokolatlan késedelem nélkül tájékoztatja.
Az Adatkezelő minden szükséges intézkedést megtesz az incidens hatásainak enyhítése és a hasonló esetek megelőzése érdekében.
14. BÍRÓSÁGHOZ FORDULÁS
Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik. A per az adatkezelő székhelye szerinti, vagy az érintett választása szerint az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
Ha az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni. Ha az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az Adatkezelőtől sérelemdíjat követelhet. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.
15. HATÓSÁGI ELJÁRÁS, PANASZTÉTEL
Az adatkezelő esetleges jogsértése ellen panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1055 Budapest, Falk Miksa utca 9-11.
Levelezési cím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391 1400, +36 (30) 683-5969, +36 (30) 549-6838.
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu
16. EGYÉB RENDELKEZÉSEK
Az adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.