Adatvédelmi szabályzat
Jogszabályi alapok
A Szabályzat jogszabályi alapja:
- az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről
és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban Rendelet) (2016. április 27.);
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.);
Értelmező rendelkezések
E szabályzat alkalmazásában:
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a
természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a
természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján
azonosítható;
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek
összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás,
közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés,
illetve megsemmisítés;
3. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely
természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi
állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők
elemzésére vagy előrejelzésére használják;
4. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem
állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják,
és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes
adatot nem lehet kapcsolni;
5. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok
szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
6. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének
céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg,
az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
7. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatfeldolgozó nevében
személyes adatokat kezel;
8. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot
közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami
joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg
kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
9. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel,
az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelővel vagy adatfeldolgozó közvetlen irányítása alatt a személyes
adatok kezelésére felhatalmazást kaptak;
10. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása,
amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő
személyes adatok kezeléséhez;
11. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes
megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
12. „felügyeleti hatóság”: Magyarország által a Rendelet 51. cikkének megfelelően létrehozott független közhatalmi szerv;
Adatkezelési alapelvek
(1) A személyes adatokat jogszabály felhatalmazása és az érintett hozzájárulása alapján lehet kezelni. Ez lehet szerződésen vagy jogszabályon
alapuló adatkezelés.
(2) Az érintett joga, hogy átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kapja a hozzájáruláshoz
szükséges információt.
(3) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden
szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél
elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
(4) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén a
közlésnek tartalmaznia kell az adatkezelést elrendelő jogszabályt is.
(5) A szolgáltatónak az érintettet tájékoztatnia kell az adatkezelés céljáról, időtartamáról és arról, hogy az adatokat mely rendszerek fogják
kezelni, tárolni, illetve feldolgozni.
(6) Az érintettek személyes adatainak kezelésével kapcsolatos követelmények:
- felvételük és kezelésük a jogszabályoknak megfelelő;
- pontosak, teljesek, és ha szükséges időszerűek;
- tárolásuk módja alkalmas arra, hogy az érintettet csak a felhasználás céljához szükséges ideig lehessen azonosítani.
(7) A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult,
vagy törvény azt megengedi és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Kötelező adatkezelés esetén az
adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint a szolgáltatót, mint
adatkezelőt az adatkezelést elrendelő jogszabály határozza meg. Törvény közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti
a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében
írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az érintett hozzájárulását
megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.
Az érintettek jogai
(1) Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban
elrendelt adatkezelések kivételével – törlését a szolgáltató bármelyik elérhetőségén. Az érintett kérelmére a szolgáltató tájékoztatást ad az általa
kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, a szolgáltató, mint adatfeldolgozó nevéről, címéről (székhelyéről) és az
adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
(2) A szolgáltató köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül írásban, közérthető formában,
ingyenesen megadni a tájékoztatást.
(3) A valóságnak meg nem felelő személyes adatot a szolgáltató helyesbíteni köteles.
(4) A személyes adatot a szolgáltató törli, ha
- kezelése jogellenes;
- azt az érintett kéri, vagy az adatkezelés célja megszűnt;
- az adat hiányos vagy téves és ez az állapot jogszerűen nem korrigálható – feltéve, hogy a törlést törvény nem zárja ki;
- az adatok tárolásának törvényben meghatározott határideje lejárt; vagy azt
- a bíróság vagy a NAIH elnöke elrendelte.
(5) Az érintett tiltakozhat személyes adatának kezelése ellen, - ha a személyes adatok kezelése vagy továbbítása kizárólag a szolgáltatóra
vonatkozó jogi kötelezettség teljesítéséhez vagy a szolgáltató, mint adatátvevő vagy harmadik fél jogos érdekének érvényesítéséhez szükséges,
kivéve kötelező adatkezelés esetén;
- ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
- törvényben meghatározott egyéb esetben.
(7) Amennyiben a tiltakozás indokolt, a szolgáltató köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni
és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással
érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
(8) Az érintett jogosult a róla nyilvántartott helytelen adat helyesbítését, a jogellenesen nyilvántartott adat törlését kérni, a jogellenesen kért
adat közlését megtagadni. A szolgáltató köteles a helytelen adatot haladéktalanul helyesbíteni, illetve a jogellenesen nyilvántartott adatot törölni.
(9) Az érintett jogosult megismerni, hogy a szolgáltató nyilvántartásaiban szereplő személyes adatait kinek, milyen céllal és milyen terjedelemben
továbbították.
Az érintett jogorvoslati joga
(1) Az érintett által tapasztalt jogellenes adatkezelés esetén polgári pert kezdeményezhet az adatkezelő ellen. A per elbírálása a törvényszék
hatáskörébe tartozik.
(2) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál,
ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit.
(3) Jogorvoslati lehetőséggel, panasszal a következő elérhetőségeken lehet élni:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/c
telefonszám: +36 1 391-1400
e-mail: ugyfelszolgalat@naih.hu
honlap: www.naih.hu