Adatvédelmi Szabályzat

Adatvédelmi Szabályzat

Bevezető

Jelen Adatkezelési Szabályzat a Kreatív Tér Közhasznú Non-profit Kft. (Székhely: 1105 Budapest, Kápolna utca 19., Adószám: 11739432-2-42), mint adatkezelő (a továbbiakban: „Adatkezelő” és “Szolgáltató”) által üzemeltetett http://kreativter.hu/ oldalon (a továbbiakban: „Honlap”) és a 3176 Hollókő Orgona u. 31. alatti vagy más külső szállásadói szolgáltatás helyszínén, vagy a Szolgáltató székhelyén vagy telephelyén (a továbbiakban: „Kreatív Tér” és a „Helyszín”) megvalósuló személyes adatok kezelésével kapcsolatos tájékoztatást, valamint a szolgáltatása nyújtása során megvalósuló adatkezeléssel és adatfeldolgozással kapcsolatos tájékoztatást, az adatkezelés rendjét és szabályzatát tartalmazza.

Jelen Szabályzatot az Adatkezelő magára nézve kötelezőnek ismeri el. Adatkezelő ezen túlmenően kötelezettséget vállal arra, hogy a személyes adatok kezelését mindenkor a hatályos jogszabályi előírások és a jelen Szabályzatban meghatározottak szerint végzi.

Jelen Szabályzat az Adatkezelő által bármikor egyoldalúan módosítható és/vagy visszavonható, az Érintettek egyidejű tájékoztatásával. A tájékoztatás a honlapon történő közzététellel, illetve a változás jellegétől függően az Érintettek közvetlen értesítésével valósul meg.

Amennyiben a jelen Szabályzattal, vagy az adatkezeléssel kapcsolatban bármilyen kérdése vagy észrevétele lenne, kérem, forduljon bizalommal hozzánk az alábbi elérhetőségek bármelyikén: info@kreativter.hu e-mail címen vagy az Adatkezelő 1137 Budapest, Radnóti Miklós utca 14/B alatti postacímén.

Adatkezelő adatai:
A szervezet megnevezése: Kreatív Tér Közhasznú Non-profit Kft.
A szervezet székhelye: 1105 Budapest, Kápolna utca 19.
Cégjegyzékszáma: Cg. 01-09-932482
Elérhetőség: Mahner Tamás
Telefon +3613210495
Email info@kreativter.hu
Honlap www.kreativter.hu
A szabályzat tartalmáért felelős személy: Mahner Tamás
A szabályzat hatályba lépésének dátuma 2018. május 25.

I. A Szabályzat hatálya

  1. Személyi hatály: jelen Szabályzat kiterjed az Adatkezelő által az alábbi természetes személyek vonatkozásában megvalósított adatkezelésekre (a továbbiakban összefoglalóan Érintett):
      • A Honlapon keresztül történő ajánlatkérés során az ajánlatkérő személy (a továbbiakban: Ajánlatkérő)
      • az Adatkezelő természetes személy szerződéses partnerei, ideértve az egyéni vállalkozókat, csoportvezetőket is (a továbbiakban: Szerződéses Partner)
      • az Adatkezelő nem természetes személy szerződéses partnerei által meghatározott kontaktszemélyek és egyéb kapcsolattartók (a továbbiakban együtt: Kapcsolattartó)
      • továbbá egyéb természetes személyek, egyedi esetek mentén.

    A nem az Érintettől származó személyes adat esetében az adatot közlő felelőssége az Érintett hozzájárulásának beszerzése ahhoz, hogy az adat az Adatkezelővel közölhető legyen.

  2. Időbeli hatály: Jelen Szabályzat 2018. május 25. napján lép hatályba, és visszavonásig/módosításig marad hatályban. Jelen Szabályzatot a hatálybalépéskor már folyamatban lévő adatkezelésekre is alkalmazni kell.
  3. Területi hatály: jelen Szabályzat hatálya az Adatkezelő által bármely (földrajzi) területen megvalósított adatkezelésére kiterjed.
  4. Tárgyi hatály: jelen Szabályzat az Érintettek vonatkozásában az Adatkezelő által megvalósított adatkezeléseket szabályozza, meghatározva azok célját és jogalapját, az alkalmazott eszközöket és módokat, továbbá a bevezetett biztonsági intézkedéseket.

II. Alapfogalmak

Személyes adat: azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes
személyre („érintettre”) vonatkozó bármely információ;

Személyes adat különleges kategóriái: faji vagy etnikai származásra, politikai véleményre,
vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Az Adatkezelő fő szabály szerint különleges adatot (pl. egészségügyi adatot) az Érintett vonatkozásában nem kezel. Különleges adat kezelése kizárólag kifejezett előzetes hozzájárulás vagy jogszabályi felhatalmazás alapján kerülhet sor, a GDPR 9. cikk (2) d) pont alapján.

Érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen a
gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történt hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

felügyeleti hatóság: egy tagállam által létrehozott független közhatalmi szerv; (NAIH, Nemzeti Adatvédelmi és Információszabadság Hatóság, levelezési cím: 1530 Budapest, Pf.: 5., e-mail: ugyfelszolgalat@naih.hu)
A jelen Szabályzatban alkalmazott többi fogalom megfelel a hatályos jogszabályi előírások – így különösen: az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) – által meghatározott fogalmaknak. Adatkezelő az általa alkalmazott adatkezelések során a mindenkor hatályos jogszabályi előírások maradéktalan betartásával jár el.

III. Alapelvek

Az Adatkezelő az Érintett adatai kezelése során a következő alapelvek maradéktalan figyelembevételével jár el:

  1. Az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára
    átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
  2. az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
  3. az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
  4. pontosnak és szükség esetén naprakésznek kell lenniük („pontosság”);
  5. tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
  6. kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
  7. az adatkezelő felelős a fenti alapelveknek való megfelelésért, továbbá képesnek kell
    lennie e megfelelés igazolására („elszámoltathatóság”).

Az Adatkezelő az eljárásrendjét a fentieknek megfelelően alakította ki, azt folyamatosan felülvizsgálja és szükség szerint módosítja. Az Adatkezelő az adatkezelés során biztosítja a beépített és alapértelmezett adatvédelmet.

IV. Egyes adatkezelési célok

  1. Ajánlatkérés
  2. Vendégregisztráció
  3. Felvételre jelentkező munkavállalók és egyéb foglalkoztatási jogviszonyban foglalkoztatottak (önkéntesek)
  4. Munkaviszonyban való foglalkoztatás (egyszerűsített és általános), társasági jogi tisztség betöltése, egyéb foglalkoztatási jogviszony (Önkéntes foglalkoztatás, gyakorlat) során történő adatkezelés
  5. Fotó-, videó- és kamerafelvétel (pályázati beszámolók, program dokumentáció, promóció készítése céljából)
  6. Hírlevél
  7. Egyéb célból történő adatkezelés

1. Ajánlatkérés:

Az Adatkezelő által nyújtott szolgáltatással kapcsolatban harmadik személyek számára az
Adatkezelő információkérésre, ajánlatkérésre nyújt lehetőséget a honlapján keresztül.

  • (1). Az adatkezelés jogalapja: az érintett hozzájárulása. Az érintett: minden olyan
    természetes személy, aki az Adatkezelő szolgáltatásaival kapcsolatban információt,
    ajánlatot kér és megadja személyes adatait.
  • (2). A kezelt adatok köre: név, lakcím, telefonszám, e-mail cím.
  • (3). Az adatkezelés célja információkérés esetén: azonosítás, kapcsolattartás. Az adatkezelési cél ajánlatkérés esetén: ajánlatadás, kapcsolattartás.
  • (4). Az adatok címzettjei: információkérés, ajánlatkérés esetén: adminisztrációt, pénzügyi műveleteket végző munkatárs/vállalkozó; ügyfél kapcsolatot ellátó munkatárs.
  • (5). Az adatkezelés időtartama: az információ szolgáltatását, illetve az ajánlat nyújtását követő 5 év, kivéve ha jogszabály vagy harmadik személy jogos szerződéses érdeke hosszabb időszakot ír elő.

2. Vendégregisztráció

Az érintettek a Kreatív Tér munkatársánál papír alapon és elektronikusan elérhető
regisztrációs ív.

  • (1). Az adatkezelés jogalapja: az érintett hozzájárulása. Érintettek köre: Minden természetes személy, aki az Adatkezelő szolgáltatásait igénybe vette és tapasztalatait, véleményét a vendégkönyv segítségével kívánja megosztani az Adatkezelővel és másokkal.
  • (2). A kezelt adatok köre: név, születési idő, neme, lakcím, e-mail, diéta és allergia (szolgáltatások biztosításával összefüggő különleges adat)
  • (3). Az adatkezelés célja: az érintett az Adatkezelő jogszabályi kötelezettsége (ideértve a statisztikai, szállásadói kötelezettségeket is) és az Adatkezelő szolgáltatásai minőségének javítása érdekében.
  • (4). Az adatok címzettjei: az Adatkezelő és minden harmadik személy. Az Érintett tudomásul veszi, hogy a vendégregisztrációt más érintettek, és harmadik személyek is elérhetik, ezért a vendégregisztráció használatával kifejezetten hozzájárul ahhoz, hogy a vendégregisztrációban meghatározott adatait és véleményét más érintettek, valamint harmadik személyek is megismerhessék.
  • (5). Az adatkezelés időtartama: 5 év, kivéve ha jogszabály vagy harmadik személy jogos szerződéses érdeke hosszabb időszakot ír elő

3. Felvételre jelentkező munkavállalók, vállalkozók (szerződéses partnerek), önkéntesek (egyéb foglalkoztatási jogviszonyban való foglalkoztatottak) adatainak kezelése, pályázatok, önéletrajzok

  • (1). Az adatkezelés jogalapja: az érintett hozzájárulása. Érintettek köre: Minden természetes személy, aki felvételre jelentkezik az Adatkezelőnél.
  • (2). A kezelt adatok köre: a természetes személy neve, neme, születési ideje, helye, anyja neve, lakcím, képzési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről interjú során készített feljegyzés (ha van).
  • (3). Az adatkezelés célja: jelentkezés, pályázat elbírálása, kapcsolattartás a felvételi eljárás eredménye kapcsán.
  • (4). Az adatok címzettjei: a Társaságnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók, vállalkozók.
  • (5). Az adatkezelés időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell, kivéve, ha az érintett kifejezett hozzájárulását adta az adatok további kezeléséhez. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta, kivéve, ha az érintett kifejezett hozzájárulását adta az adatok további kezeléséhez.

A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.

4. Munkaviszonyban való foglalkoztatás, társasági jogi tisztség betöltése, Egyéb foglalkoztatási jogviszony (Önkéntes foglalkoztatás, gyakorlat) során történő adatkezelés

  • (1). Az adatkezelés célja: Munkaügyi, személyzeti nyilvántartás A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
    A munkáltató a munkaszerződés megkötésével egyidejűleg a jelen Szabályzat és a Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és személyhez fűződő jogokról.
  • (2). Az adatkezelés jogalapja: Az Adatkezelő munkáltatói jogos érdekeinek érvényesítése (Rendelet 6. cikk (1) bekezdése f) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait.
  • (3). A kezelt adatok köre: név, születési név, születési ideje, anyja neve, lakcíme, állampolgársága, adóazonosító jele, TAJ száma, telefonszám, e-mail cím, személyi igazolvány száma, külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma; lakcímet igazoló hatósági igazolvány száma, bankszámlaszáma, iskolai végzettségét, szakképzettségét igazoló okmány másolata, fénykép, önéletrajz, munkabérének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok, a munkavállaló munkájának értékelése, a munkaviszony megszűnésének módja, indokai, a munkaköri alkalmassági vizsgálatok összegzése, magán nyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma, az Adatkezelő eszközével rögzített fotó, videó képmás. Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
  • (4). Az adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, az Adatkezelő munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.
  • (5). Az adatkezelés időtartama: a munkaviszony megszűnését követő 20 év.

5. Fotó-, videó- és kamerafelvétel

  • (1). Az adatkezelés célja: pályázati beszámolók, program dokumentáció, promóció készítése céljából
  • (2). Az adatkezelés jogalapja: az érintett kifejezett hozzájárulása. Érintettek köre: a Helyszínen tartózkodó természetes személyek és a Kreatív Tér programjainak résztvevői, vendégei
  • (3). A kezelt adatok köre: személyes adatot, képmást tartalmazó kép és hangfelvételek
  • (4). Az adatok címzettjei: az Adatkezelő programvezető munkavállalója, egyéb foglalkoztatási jogviszonyban foglalkoztatottak (önkéntesek), akik feladata a hang- és képfelvétel dokumentáció, pályázati beszámoló elkészítése, promóció, hirdetés az adatok feldolgozása az Adatkezelő szervezetén belül.
  • (5). Az adatkezelés időtartama: 5 év, kivéve ha az Adatkezelő jogszabályi vagy szerződéses kötelezettségén alapuló jogos érdekének, valamint a törvényi felhatalmazásának ideje ennél hosszabb.

6. Hírlevél küldés

  • (1). Az adatkezelés célja: hírlevélben történő tájékoztatás, promóció
  • (2). Az adatkezelés jogalapja: az érintett kifejezett hozzájárulása. Érintettek köre: a Helyszínen tartózkodó természetes személyek és a Kreatív Tér programjainak résztvevői, vendégei
  • (3). A kezelt adatok köre: név, email cím, születési dátum
  • (4). Az adatok címzettjei: az Adatkezelő adminisztrációs feladatokat végrehajtó munkavállalója
  • (5). Az adatkezelés időtartama: az érintett visszavonásáig, amelyet a hírlevél alján található közvetlen linken bármikor megtehet

7. Egyéb célból történő adatkezelés

Amennyiben az Adatkezelő szervezet olyan adatkezelést kíván végezni, amely ebben a szabályzatban nem szerepel, előzetesen ezen belső szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész szabályokat hozzákapcsolni. Mivel a természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie azonosítókkal, ezért ezek az adatok egyéb információkkal összekapcsolva alkalmasak és felhasználhatók a természetes személyek profiljának létrehozására és az adott személy azonosítására.Az adatkezelésre csak akkor kerülhet sor, ha az érintett személy egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatok kezeléséhez. Az adatkezeléshez való hozzájárulásnak minősül az is, ha az érintett személy az internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak. Hozzájárulásnak minősül az is, ha valamely felhasználó az elektronikus szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, vagy olyan nyilatkozatot illetve cselekedet tesz, amely az adott összefüggésben az érintett személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi. Nem kell külön hozzájárulás az érintett személytől a jogszabály alapján történő személyes adatkezeléshez, azonban az érintettet tájékoztatni kell az adatkezelésről és jogairól.

V. Adatbiztonság

A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést meg kell tenni.
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Az Adatkezelő számítástechnikai rendszerei és más személyes adatmegőrzési helye:

    • saját szerver (1137 Budapest, Radnóti Miklós. u. 14/B)
    • www.kreativter.hu (WordPress.org; Egyesült Államok)
    • Asana szerverek (asana.com; Egyesült Államok)
    • Google szerverek (google.com; Egyesült Államok)
    • SurveyMonkey (surveymonkey.com; Egyesült Államok)
    • Billingo számlázó program (billingo.hu; Magyarország)
    • NTAK szoftver szervere

Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy biztosítsa az érintettek magánszférájának védelmét.
Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Info tv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az Adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi  – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:

  • a jogosulatlan adatbevitel megakadályozását
  • az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását
  • annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják
  • annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe
  • a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.
Tájékoztatjuk az érintetteket ezúton arról, hogy az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő az adatkezelő megtesz minden tőle elvárható óvintézkedést.
Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  • a személyes adatok álnevesítését és titkosítását
  • a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét
  • fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani
  • az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

Az Adatkezelő minden szükséges technikai és szervezési intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése, eltűnése, illetéktelenek számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a szükséges intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezetünk, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

  1. Az adatkezelés jogszerűsége

    A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

    • a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
    • b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
    • c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez
    • d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
    • e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
    • f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
  2. Az érintett tájékoztatása az adatvédelmi incidensről

    Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
    Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

    Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

    • az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és
    • ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében
    • alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
    • az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
    • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását.
  3. Az adatvédelmi incidens bejelentése a hatóságnak

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

VI. Jogorvoslat

  1. Eljárási szabályok:

    Az Adatkezelő az adatkezeléssel kapcsolatos felhasználói panaszokat megvizsgálja, és annak megalapozottsága kérdésében döntést hoz, amelyről értesíti a kérelmezőt írásban () legkésőbb 30 napon belül tájékoztatja. Ha az Adatkezelő a felhasználó kérelmét nem teljesíti, közli a kérelem elutasításának ténybeli és jogi indokait a felhasználóval.

    Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.

    Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri.

    Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

    Adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

  2. Kártérítés és sérelemdíj:

    Minden olyan személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Ha több adatkezelő vagy több adatfeldolgozó, vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.

    Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

  3. Bírósághoz fordulás joga és adatvédelmi hatósági eljárás:

    Amennyiben az érintett úgy véli, hogy Adatkezelő az adatkezelése során megsértette a személyes adatok védelméhez való jogát, az irányadó jogszabályok szerint jogorvoslattal élhet a hatáskörrel rendelkező szerveknél az alábbiak szerint:

    • panasszal élhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál
      cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.;
      honlap: www.naih.hu;
      e-mail cím: ugyfelszolgalat@naih.hu;
      telefon: +36-1-391-1400
    • az illetékes bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Adatkezelő vállalja, hogy ezen eljárások során az érintett bírósággal vagy a NAIH-hal mindenben együttműködik, az adatkezelésre vonatkozó adatokat a NAIH vagy az érintett bíróság részére kiadja.

VII. Jogszabályi, törvényi felhatalmazás az adatkezelés jogalapja tekintetében:

Az Adatkezelő tevékenysége a vonatkozó jogszabályok rendelkezéseivel összhangban történik. Az adatkezelés jogalapjának tekintendő törvényi felhatalmazást tartalmazó jogszabályok – nem teljeskörűen – az alábbiak:

  • 2011. évi CXII törvény az információs önrendelkezési jogról és az információszabadságról szóló tv.
  • 2016/679/EU Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről
  • Magyarország Alaptörvénye
  • 2013. évi V. tv. a Polgári Törvénykönyvről
  • 2012. évi I. tv a Munka Törvénykönyvéről
  • 2012. évi C. tv. a Büntető Törvénykönyvről
  • 2003. évi C. tv. az Elektronikus Hírközlésről
  • 2013. évi CLXV. tv. a Panaszokról és a Közérdekű bejelentésekről
  • 2003. évi XCII. tv. az adózás rendjéről
  • 2013. évi L. tv. az állami és önkormányzati szervek elektronikus információbiztonságáról
  • 2001. évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
  • 2008. évi XLVIII. tv. a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
  • 2000. évi tv. a számvitelről
  • 2017. évi LIII. tv. a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról
  • 2017. évi CLI törvény az adóigazgatási rendtartásról
  • 1995. évi LXVI. törvény a köziratokról, közlevéltárakról és magánlevéltári anyag védelméről
  • 2005. évi CLXIV. törvény a kereskedelemről
  • 2012. évi LXXXVIII. törvény a termékek piacfelügyeletéről
  • 210/2009. (IX. 29.) Korm. rendelet a kereskedelmi tevékenységek végzésének feltételeiről
  • 239/2009. (X. 20.) Korm. rendelet a szálláshely-szolgáltatási tevékenység folytatásának részletes feltételeiről és a szálláshely-üzemeltetési engedély kiadásának rendjéről
  • 62/2011. (VI. 30.) VM rendelet a vendéglátó-ipari termékek előállításának és forgalomba hozatalának élelmiszerbiztonsági feltételeiről
  • 1995. évi CXIX. tv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok
    kezeléséről