A Lux Home Bau Kft.

Adatvédelmi és Adatbiztonsági Szabályzata

2021.

A Lux Home Bau Kft. (székhely: 1038 Budapest, Fürdő utca 2. fsz ; cégjegyzékszám: 01 09 332656, adószám: 26320834-2-41; a továbbiakban: Adatkezelő vagy Kft.) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR vagy általános adatvédelmi rendelet)az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv)., valamint az adatkezelésekre vonatkozó hatályos jogszabályok alapján működése során a személyes adatok kezelésére vonatkozóan jelen Szabályzatot tekinti kötelezőnek.

I. ÁLTALÁNOS ÉS ÉRTELMEZŐ RENDELKEZÉSEK

1. A Szabályzat célja

A Szabályzat célja, hogy a személyes adatok kezelésével kapcsolatos hatályos jogszabályokat az Adatkezelő működése során maradéktalanul betartsa.

2. A Szabályzat hatálya

A Szabályzat hatálya kiterjed a Kft. valamennyi szervezeti egységére, az általa esetlegesen igénybe vett adatfeldolgozókra.

3. Az adatkezelésre vonatkozó legfontosabb jogszabályok

A Kft. tevékenységére vonatkozó, a működésével összefüggő és az adatkezelését érintő legfontosabb jogszabályok:

4. Értelmező rendelkezések

a) személyes adat: azonosított vagy azonosítható természetes személyre (a továbbiakban: „érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

b) az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

c) tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, így például az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

d) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

e) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

f) adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

i) nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.

g) adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.

h) adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.

i) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.

j) adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

k) adatállomány: az egy nyilvántartásban kezelt adatok összessége.

l) harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

m) EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

n) harmadik ország: minden olyan állam, amely nem EGT-állam;

o) kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

p) adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

5. Az adatkezelés elvei

A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („a jogszerűség, tisztességes eljárás és átláthatóság elve”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („a célhoz kötöttség elve”);

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („az adattakarékosság elve”);

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („a pontosság elve”);

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („a korlátozott tárolhatóság elve”);

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („az integritás és bizalmas jelleg elve”).

Eme elvek betartásért az adatkezelő felelős, továbbá képesnek kell lennie e megfelelés igazolására („az elszámoltathatóság elve”).

II. AZ ADATKEZELÉS CÉLJA, JOGALAPJA, A KEZELT ADATOK KÖRE

1. 1. A személyes adatkezelés fajtái

1.

ingatlan- értékesítés

(I) GDPR 6. cikk (1) bekezdés a) pont:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez”.

GDPR 7. cikk

„(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.
(3) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
(4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez”.

(II.) GDPR 6. cikk (1) bekezdés b) pontja:

„az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”;

(III.) Számvtv.

169.§ (2) A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni. 8 év
2. ingatlanértékesítéshez kapcsolódó tanácsadás szolgáltatás nyújtása - név

Infotv. 6.§ (4)-(5)

(4) Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
(5) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában
a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

Számvtv.

169.§ (2) A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni. 8 év
3. vagyonvédelem, kamerarendszer működtetése képfelvétel Az általános adatvédelmi rendelet 6. cikk (1) bekezdésének f) pontja: „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek”.

törlés: a felvételt követő 72 óra elteltével
4. marketing, reklám, személyre szabott ajánlatok eljuttatása, ügyfél-elégedettség mérése - név

5. Az (1) Mt. szerinti foglalkoztatottak, illetve megbízási szerződés alapján teljesítők jogainak és kötelezettségeinek érvényesülése; (2) álláspályázatra jelentkezők kiválasztása, (3) munkavállalók gyermeke, valamint (4) volt munkavállalók adatainak kezelése (1)

(2)

(3)

(4) nyugdíjszámításhoz szükséges adatok, beleértve a táppénzes állományt és a megváltozott munkaképességet is. hozzájárulás + törvény + szerződéses kötelezettség teljesítése

Az irányadó jogszabályokban meghatározott időtartamok, illetve volt munkavállalóknál nem törölhető adatok (lásd pl. a nyugdíjszámításhoz kapcsolódó adatok).

Számvtv.

169.§ (2) A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni. Az álláskeresőknél a kiválasztási folyamat vége; Számtv. hatálya alá tartozó adatkezeléseknél 8 év; egyéb esetekben a hatályos és irányadó jogszabályokban meghatározott időtartam, illetve volt munkavállalónál nem törölhető adatok (pl. nyugdíjszámításhoz kapcsolódók).

1. 2. Az anonim felhasználó-azonosítók

Az anonim felhasználó-azonosító (süti vagy cookie) egy olyan egyedi azonosításra, illetve profilinformációk tárolására alkalmas jelsorozat, melyet a szolgáltatók az érintett számítógépére helyeznek el. Fontos tudni, hogy az ilyen jelsorozat önmagában semmilyen módon nem képes az érintettet azonosítani, csak az érintett számítógépének felismerésére alkalmas.
Az Internet hálózati világában a személyhez kötődő információkat, a testreszabott kiszolgálást csak akkor lehet biztosítani, ha a szolgáltatók egyedileg azonosítani tudják ügyfeleik szokásait, igényeit. Az anonim azonosításhoz azért fordulnak a szolgáltatók, hogy egyfelől többet tudhassanak meg az ügyfelek információhasználati szokásairól abból a célból, hogy tovább javíthassák szolgáltatásaik színvonalát, illetve másfelől kínálhassák ügyfeleiknek a testre szabási lehetőségeket.
A cookie-k segítségével például tárolhatjuk az érintettek preferenciáit és beállításait; ezek segítenek a bejelentkezésben; személyre szóló hirdetéseket jeleníthetnek meg és elemzik a webhely működését. Mindezek érdekében az olyan érintetti tevékenységek, mint például relevancia, ajánló, keresések, megnyitások, legfontosabb és leggyakrabban használt funkciók adatainak gyűjtésére és követésére használunk szolgáltatásokat.
Flash cookie-kat arra használunk, hogy például megmondja nekünk, hogy az érintett járt-e már valaha a weboldalunkon illetve segít azonosítani azokat a funkciókat/szolgáltatásokat, amelyek az érintettet a leginkább érdekelhetik. A kereső és a Flash cookie-k növelik az online élményt azáltal, hogy megőrzik a érintett által preferált információkat, amíg egy adott oldalon tartózkodik. Sem a kereső sem a Flash cookie-k nem tudják az érintettet személy szerint beazonosítani, valamint ő vissza tudja utasítani a böngésző cookie-kat a böngésző beállításain keresztül azonban ilyen cookie-k nélkül nem tudja majd kihasználni a website-unk minden szolgáltatását.
Amennyiben az érintett nem szeretné, hogy ilyen azonosító jel kerüljön a számítógépére, módja van a böngészőjét úgy beállítani, hogy az ne engedje meg az egyedi azonosító jel elhelyezését, ebben az esetben azonban lehetséges, hogy a szolgáltatásokat nem vagy nem olyan formában éri majd el az érintett, mintha engedélyezte volna az azonosítók elhelyezését.
A szolgáltatásokat nagyszámú felhasználónk használja változatos szoftver- és hardver-környezetben, eltérő felhasználási céllal és területtel. A szolgáltatások fejlesztése akkor igazodhat legjobban felhasználóink igényeihez és lehetőségeihez, ha felhasználási szokásaikról és igényeikről átfogó képet kapunk. felhasználóink nagy száma miatt azonban a személyes megkeresés és visszajelzés mellett hatékony kiegészítő módszer, ha a szokásaikat és a szolgáltatások futtatási környezetére vonatkozó adatokat automatizált módszerrel is gyűjtjük és elemezzük.

2. Az adatkezelés szabályai

a) A Kft. a központi ügyfél-adatbázisában tárolja az általa rögzített ügyfél-adatokat.
b) A Kft. a különböző célt szolgáló adatbázisokat egymástól elkülönítetten kezeli. Az egyes adatbázisokhoz való hozzáférést a Kft. működésén belüli feladatmegosztás szerint kell biztosítani.
c) A Kft. marketing-célú adatbázis-vásárlás céljából csak olyan partnerrel köt szerződést, amely felel azért, hogy az általa kínált adatbázist jogszerűen kezeli, valamint hogy az általa értékesített adatbázisban nincs olyan személy, aki korábban a Belügyminisztériumnál (Belügyminisztérium Nyilvántartások Vezetéséért Felelős Helyettes Államtitkárság) letiltotta személyes adatainak direkt-marketing, illetőleg piackutatási célú kezelését.
d) A Kft. és partnerei által kezelt személyes adatok magáncélra, illetve az e Szabályzatban foglaltaktól eltérő célra való felhasználása tilos. Ebben a körben is az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
e) A Kft. adatbázisaiból minden olyan személyes adatot törölni kell, amelynek jogalapja megszűnt: az adatkezelésre jogszabályban vagy e Szabályzatban meghatározott határidő lejárt, illetőleg amelynek kezeléséhez való hozzájárulását az ügyfél visszavonta.
f) A személyes adatok jogszerű kezeléséért a Kft. ügyvezetője, saját feladatkörében valamennyi munkavállalója és tevékenységi körükben a Kft. partnerei felelősséggel tartoznak. A Kft. ügyvezetője meghatározza az adatkezeléssel összefüggő feladat- és hatásköröket.

III. ADATFELDOLGOZÁS

1. A Kft. az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzéséhez írásban megkötött szerződés különösen előírja, hogy az adatfeldolgozó:

a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a GDPR 32. cikkében előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett GDPR III. fejezetében foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a GDPR 32–36. cikkei szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h)az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
A III. pont h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti az általános adatvédelmi rendeletet vagy a tagállami vagy az egyéb uniós adatvédelmi rendelkezéseket.
3. A szerződésnek tartalmaznia kell, hogy az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Kft. rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
4. A Kft. nem köt adatfeldolgozásra vonatkozó szerződést olyan szervezettel, amely a feldolgozandó személyes adatok üzleti célú felhasználásában érdekelt.
5. Az érintett kérelmére a Kft. tájékoztatást ad az adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről.

IV. ADATTOVÁBBÍTÁS, ADATTOVÁBBÍTÁSI NYILVÁNTARTÁS

1. A Kft. partnerei az érintett adatait marketing célú felhasználás és ügyfél-elégedettség mérése céljából továbbítják a Kft. számára.
2. A Kft. és partnerei külső megkeresés alapján kizárólag akkor továbbítanak ügyfél-adatokat, ha ezt jogszabály előírja.
3. A Kft. az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását.
4. Az érintett kérelmére a Kft. tájékoztatást ad az adattovábbítás jogalapjáról és címzettjéről.

V. AZ ÉRINTETTEK JOGAI

Az érintetteket teljes körűen megilletik az általános adatvédelmi rendelet III. fejezetébe foglalt jogok. Így különösen:

1. A tájékoztatáshoz való jog és a személyes adatokhoz való hozzáférés joga

a) A Kft. az általa kiadott Adatvédelmi Tájékoztatókat a honlapján az érintettek számára hozzáférhetővé teszi.
b) Az érintett a Kft.-nál kérelmezheti a tájékoztatást személyes adatai kezeléséről, személyes adatainak helyesbítését, valamint személyes adatainak – a kötelező adatkezelés kivételével – törlését.
c) Az érintett kérelmére a Kft. tájékoztatást ad az érintett általa kezelt adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról.
d) A Kft. a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadja a tájékoztatást.
e) Az érintett számára adott tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet a Kft.-hoz még nem nyújtott be. Egyéb esetekben a költségtérítés összege: 1000 Ft. A már megfizetett költségtérítést a Kft. visszatéríti, ha bizonyítást nyer, hogy az adatokat jogellenesen kezelte, vagy a tájékoztatás kérése helyesbítéshez vezetett.
f) A tájékoztatás megtagadása esetén a Kft. írásban közli az érintettel, hogy a felvilágosítás megtagadására mely jogszabály, mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a Kft. tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH vagy felügyeleti hatóság), illetve a bírósághoz fordulás lehetőségéről.

2. A helyesbítéshez való jog

Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a Kft. rendelkezésére áll, a személyes adatot helyesbíti.

3. A törléshez való jog

A Kft. a személyes adatot az érintett kérésére törli, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett az általános adatvédelmi rendelet 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor. g) azt a bíróság vagy a NAIH elrendelte.

4. Indokolási kötelezettség

Ha a Kft. az érintett helyesbítés vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban közli a helyesbítés vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait.

5. Tájékoztatás a jogorvoslati lehetőségekről

A helyesbítés vagy törlés iránti kérelem elutasítása esetén a Kft. tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH-hoz) fordulás lehetőségéről.

VI. ADATBIZTONSÁG

1. A Kft. az adatkezelési műveleteket úgy tervezi meg és úgy hajtja végre, hogy az általános adatvédelmi rendelet és az Infotv., valamint az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának (információs önrendelkezési jogának) védelmét és érvényesülését.
2. A Kft., illetve az általa megbízott adatfeldolgozó gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a GDPR, az Infotv. és egyéb adatvédelmi szabályok érvényre juttatásához szükségesek.
3. A Kft. az általa kezelt adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
4. A személyes adatok automatizált feldolgozása során a Kft. és az általa megbízott adatfeldolgozó további intézkedésekkel biztosítja
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

VII. ADATVÉDELMI INCIDENSEK BEJELENTÉSE ÉS NYILVÁNTARTÁSA

1. Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Ennek értelmében adatvédelmi incidensnek minősül minden olyan adatkezelési vagy adatfeldolgozási művelet, amely jogellenes, függetlenül attól, hogy a jogellenesség szándékosság, gondatlan magatartás vagy technikai hiba, esetlegesen külső behatás következménye-e.
2. A Kft. az adatvédelmi incidensekről nyilvántartást vezet, mely nem tartalmazza az incidenssel érintett természetes személyek személyes adatait, csupán az adatfajtákra, az incidenssel érintett személyek körére, számára vonatkozó információt, valamint az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására tett intézkedéseket.
3. A Kft. által vezetett nyilvántartás az általa igénybevett adatfeldolgozó adatfeldolgozási tevékenysége során bekövetkezett adatvédelmi incidenseket is tartalmazza. Ennek teljesítése érdekében az adatfeldolgozó részéről szükséges információátadást a Kft. és az adatfeldolgozó közötti adatfeldolgozási szerződés rögzíti.
5. Az adatvédelmi incidenst be kell jelenteni a felügyeleti hatóságnak. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
6. A felügyeleti hatóságnak való bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők. A VII. 2. pont szerinti nyilvántartás tartalmazza az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze GDPR vonatkozó rendelkezései követelményeinek való megfelelést.
7. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
8. 1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az általános adatvédelmi rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
8. 2. Az érintettet nem kell a VII. 8. 1. pont szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.