Vásárlási feltételek
Szkhome.hu ÁSZF
Általános Szerződési Feltételek
Jelen dokumentum alapján létrejött szerződés nem kerül iktatásra (utólag nem hozzáférhető, a szerződés megkötését a rendelési adatok bizonyítják), ráutaló magatartással tett jognyilatkozattal jön létre, nem minősül írásbeli szerződésnek, magyar nyelven íródik, magatartási kódexre nem utal. A webshop működésével, megrendelési, és szállítási folyamatával kapcsolatosan felmerülő kérdések esetén a megadott elérhetőségeinken rendelkezésére állunk.
Jelen ÁSZF hatálya Szolgáltató weblapján (https://szkhome.hu) és aldomainjein történő jogviszonyokra terjed ki. Jelen ÁSZF folyamatosan elérhető (és letölthető, bármikor kinyomtatható) a következő weboldalról: https://szkhome.hu/aszf.
Definíciók:
Felhasználó: Bármely természetes, jogi személy, vagy szervezet, aki Szolgáltató szolgáltatásait igénybe veszi, Szolgáltatóval szerződést köt.
Fogyasztó: Olyan Felhasználó, aki a szakmája, önálló foglalkozása vagy üzleti tevékenysége körén kívül eljáró természetes személy.
Vállalkozás: A szakmája, önálló foglalkozása vagy üzleti tevékenysége körében eljáró személy.
Szolgáltató: Az információs társadalommal összefüggő szolgáltatást nyújtó természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet, aki a Felhasználó részére szolgáltatást nyújt, aki a Felhasználóval szerződést köt.
SZOLGÁLTATÓ ADATAI
A szolgáltató neve: Sz & K Bau Kft.
A szolgáltató székhelye (és egyben a panaszügyintézés helye): 2310 Szigetszentmiklós, Széna utca 12.
A szolgáltató elérhetősége, az igénybe vevőkkel való kapcsolattartásra szolgáló, rendszeresen használt elektronikus levelezési címe: info@szkhome.hu
A szolgáltató cégjegyzékszáma/nyilvántartási száma: 13-09-224624
A szolgáltató adószáma: 32169872-2-13
Nyilvántartásba bejegyző hatóság neve / engedélyező hatóság és engedély szám (ha van): Budapest Környéki Törvényszék Cégbírósága
A szolgáltató telefonszáma: +36 30 188 8524; +36 30 186 4285
A szerződés nyelve: magyar
A tárhely-szolgáltató neve, címe, e-mail címe:
Sz & K Bau Kft.
2310 Szigetszentmiklós Széna utca 12.
E-mail: info@szkhome.hu
ALAPVETŐ RENDELKEZÉSEK
3.1. A jelen ÁSZF-ben nem szabályozott kérdésekre, valamint jelen ÁSZF értelmezésére a magyar jog az irányadó, különös tekintettel a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”) és az elektronikus kereskedelmi szolgáltatások, az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. (Elker. tv.) törvény, valamint a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló 45/2014. (II. 26.) Korm. rendelet rendelkezéseire. Speciális termékekre a vonatkozó ágazati jogszabályi rendelkezések az irányadók. A vonatkozó jogszabályok kötelező rendelkezései a felekre külön kikötés nélkül is irányadók.
3.2. A jelen ÁSZF 2025. augusztus 17. napjától hatályos és visszavonásig hatályban marad. A jelen ÁSZF módosításait a Szolgáltató a weboldalon közzéteszi, illetve a regisztrált/vagy korábban már vásárló Felhasználókat a változásról e-mailben értesíti. A módosítások nem érintik a korábban megkötött szerződéseket, azaz a módosításoknak nincs visszaható hatálya.
3.3. Szolgáltató fenntart magának minden jogot a weboldal, annak bármely részlete és az azon megjelenő tartalmak, valamint a weboldal terjesztésének tekintetében. Tilos a weboldalon megjelenő tartalmak vagy azok bármely részletének letöltése, elektronikus tárolása, feldolgozása és értékesítése a Szolgáltató írásos hozzájárulása nélkül (kivéve jelen dokumentumot és az adatkezelési tájékoztatót).
3.4. Szolgáltató nem vállal felelősséget a Szolgáltatóhoz nem köthető, a Szolgáltató által nem üzemeltetett más weboldalon közzétett termékek adás-vételével kapcsolatban.
REGISZTRÁCIÓ / VÁSÁRLÁS
4.1. A szolgáltatás igénybevétele/megrendelése/előfizetése során megadott valótlan, vagy más személyhez köthető adatok esetén a létrejövő elektronikus szerződést az arra jogosult fél a bíróság előtt megtámadhatja. Az eredményes megtámadás (pernyertesség) következtében a szerződés a megkötésének időpontjától érvénytelenné válik, vagy ha az más szerződést leplez, a felek jogait és kötelezettségeit a leplezett szerződés alapján kell megítélni.
4.2. A Szolgáltatót a Felhasználó által tévesen és/vagy pontatlanul megadott adatokra visszavezethető szállítási késedelemért, illetve egyéb problémáért, hibáért semminemű felelősség nem terheli. Szolgáltató azonban tájékoztatja a Felhasználókat, hogy a Felhasználóval történt egyeztetés és egyértelmű beazonosítás után a tévesen beírt adatokat javíthatja a rendelésben, hogy a számlázás és kiszállítás ne ütközzön akadályba.
4.3. A Szolgáltatót nem terheli felelősség az abból adódó károkért, ha Felhasználó a jelszavát elfelejti, vagy az illetéktelenek számára bármely nem a Szolgáltatónak felróható okból hozzáférhetővé válik (ha van regisztráció az oldalon).
MEGVÁSÁROLHATÓ TERMÉKEK, SZOLGÁLTATÁSOK KÖRE ÉS ÁRAK
5.1. A megjelenített termékek a webáruházból online (bizonyos esetekben telefonon) rendelhetők meg. A termékekre vonatkozóan megjelenített árak forintban értendők, bruttó árak (tehát tartalmazzák a törvényben előírt áfát, illetve, ha a Szolgáltató áfa mentesen számláz, az árak a fizetendő összegek), azonban nem tartalmazzák a szállítással, fizetéssel kapcsolatos díjakat. Külön csomagolási költség -nem kerül felszámításra, kivéve ha a Felhasználó dísz-, vagy egyéb speciális csomagolást kér.
5.2. A webshopban Szolgáltató részletesen feltünteti a termék nevét, leírását, a termékekről fotót jelenít meg (ha lehetséges).
5.3. Amennyiben akciós ár kerül bevezetésre, Szolgáltató teljes körűen tájékoztatja Felhasználókat az akcióról és annak pontos időtartamáról. Szolgáltató az akciós árak meghatározásakor jogszerűen jár el, megfelelve a termékek eladási ára és egységára, továbbá a szolgáltatások díja feltüntetésének részletes szabályairól szóló 4/2009. (I. 30.) NFGM-SZMM együttes rendelet szabályainak.
5.4. Hibás ár feltüntetése esetén Szolgáltató nem köteles a megrendelést ezen az áron visszaigazolni, hanem lehetősége van az ajánlat visszautasítására és felajánlhatja a helyes, valós áron történő visszaigazolást, amelynek ismeretében Felhasználónak joga van
- nem elfogadni a módosított ajánlatot, lemondani megrendelést.
- megrendelését fenntartani a helyes áron.
A Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.) alapján a szerződés a felek akaratának kölcsönös és egybehangzó kifejezésével jön létre. Amennyiben a felek nem tudnak megállapodni a szerződéses feltételekben, azaz nincs meg a felek akaratát kölcsönösen és egybehangzóan kifejező nyilatkozat, abban az esetben nem beszélhetünk érvényesen létrejött szerződésről, amelyekből jogok és kötelezettségek fakadnának.
Hibás árnak minősül a
- 0 Ft-os,
- 1 Ft-os, illetve
- az az akciós ár, amely nem felel meg a feltüntetett kedvezmény százalékos mértékének az eredeti árhoz képest. Például, ha egy termék eredeti ára 10.000 Ft, és 50%-os kedvezmény van rá érvényben, akkor a helyes akciós ár 5.000 Ft lenne. Hibás árnak számít, ha ehelyett 1.000 Ft vagy 2.000 Ft jelenik meg.
RENDELÉS MENETE
6.1. Felhasználó a regisztrációját követően bejelentkezik a webshopba/vagy regisztráció nélkül is megkezdheti a vásárlást.
6.2. Felhasználó kosárba helyezi a kiválasztott termékeket. Felhasználó bármikor megtekintheti a kosár tartalmát a „kosár” ikonra kattintva.
6.3. Felhasználó a megvásárolni kívánt termék, termékek darabszámát beállítja.
6.4. Ha nem szeretne további terméket vásárolni, ellenőrzi a megvásárolni kívánt termék darabszámát. A „törlés - X” ikonra kattintva törölheti a kosár tartalmát. Mennyiség véglegesítéséhez a „+,-” ikonra kattint Felhasználó.
6.5. Felhasználó megadja a szállítási címet, majd a szállítási/fizetési módot, melynek típusai a következők:
6.5.1. Fizetési módok:
Fizetés készpénzzel: Felhasználónak lehetősége van a megrendelt termékek ellenértékét készpénzben befizetni a Szolgáltató számlaszámára.
Átutalással: Felhasználó a megrendelt termékek ellenértékét a visszaigazoló e-mailben található bankszámlára 3 napon belül köteles átutalni. Az összeg Szolgáltató bankszámláján történő jóváírását követően a Felhasználó jogosult a termék(ek) általa meghatározott módon történő átvételére.
Online bankkártyával: Felhasználónak lehetősége van a rendelés összértékét online, bankkártyával fizetni a Szolgáltató által igénybe vett pénzügyi szolgáltató biztonságos fizetési rendszerén keresztül.
Bankkártyás fizetés SimplePay-el:
Tudomásul veszem, hogy a(z) Sz & K Bau Kft. (2310 Szigetszentmiklós, Széna utca 12.) adatkezelő által a(z) https://szkhome.hu felhasználói adatbázisában tárolt alábbi személyes adataim átadásra kerülnek az SimplePay Zrt., mint adatfeldolgozó részére. Az adatkezelő által továbbított adatok köre az alábbi: Számlázási név és cím, e-mail, telefonszám.
Az adatfeldolgozó által végzett adatfeldolgozási tevékenység jellege és célja a SimplePay Adatkezelési tájékoztatóban, az alábbi linken tekinthető meg: https://simplepay.hu/adatkezelesi-tajekoztatok/
Fizetés SZÉP kártyával: Felhasználónak lehetősége van a rendelés összértékét SZÉP kártyával fizetni.
6.5.2. Szállítási költség és módot a 7 pontban részletesen megtalálható.
6.6. A fizetendő végösszeg a megrendelés összesítése és visszaigazoló levél alapján minden költséget tartalmaz. Felhasználó a Ptk. 6:127. §-a alapján késedelem nélkül köteles meggyőződni arról, hogy a megrendelt termék(ek) minősége és mennyisége megfelelő-e. A termék(ek) kézbesítése munkanapokon történik 8-17 óra közötti időszakban.
6.7. Az adatok megadását követően Felhasználó a ”Fizetek” gombra kattintva tudja elküldeni megrendelését, előtte azonban még egyszer ellenőrizheti a megadott adatokat, illetve megjegyzést is küldhet a megrendelésével, vagy e-mailben jelezheti felénk egyéb, rendeléssel kapcsolatos kívánságát.
6.8. Felhasználó a megrendeléssel tudomásul veszi, hogy a 45/2014. (II. 26.) Korm. rendelet 15.§-a, és egyéb feltételei (pl. 20.§) szerint a megrendeléssel fizetési kötelezettsége keletkezik.
6.9. Adatbeviteli hibák javítása: Felhasználó a megrendelési folyamat lezárása előtt minden esetben vissza tud lépni az előző fázisba, ahol javítani tudja a bevitt adatokat. Részletesen: A rendelés során lehetőség van a kosár tartalmának megtekintésére, illetve módosítására, amennyiben a kosár nem a megrendelni kívánt mennyiséget tartalmazza, úgy a mennyiség oszlopban található adatbeviteli mezőbe Felhasználó be tudja írni a rendelni kívánt mennyiség darabszámát, majd megnyomja a „+,-” gombot. Amennyiben törölni kívánja Felhasználó a kosárban található termékeket, akkor az „X” „törlés” gombra kattint. A rendelés során a Felhasználónak folyamatosan lehetősége van a bevitt adtok javítására/törlésére. Felhasználónak lehetősége van a rendelés elküldése után is kérni az esetleges hibák javítását telefonon, vagy e-mailen.
6.10. Felhasználó e-mail-ben a megrendelés elküldését követően visszaigazolást kap. Amennyiben e visszaigazolás Felhasználó megrendelésének elküldésétől számított, a szolgáltatás jellegétől függő elvárható határidőn belül, de legkésőbb 48 órán belül Felhasználóhoz nem érkezik meg, Felhasználó az ajánlati kötöttség vagy szerződéses kötelezettség alól mentesül. A megrendelés és annak visszaigazolása akkor tekintendő a Szolgáltatóhoz, illetve az Felhasználóhoz megérkezettnek, amikor az számára hozzáférhetővé válik. Szolgáltató kizárja a visszaigazolási felelősségét, ha a visszaigazolás azért nem érkezik meg időben, mert Felhasználó rossz e-mail címet adott meg regisztrációja során, vagy a fiókjához tartozó tárhely telítettsége miatt nem tud üzenetet fogadni.
6.11. Felhasználó tudomásul veszi, hogy az előző pontban taglalt visszaigazolás csupán automata visszaigazolás, az szerződést nem keletkeztet. A szerződés akkor jön létre, amikor Szolgáltató az előző pontban megnevezett automata visszaigazolást követően egy újabb e-mailben értesíti a Felhasználót a megrendelés részleteiről és várható teljesítéséről.
6.12. Vásárlói értékelések közzététele, szabályai
Webáruházunkban kizárólag olyan fogyasztói értékelések találhatók, amelyeket a terméket megvásárló vagy azt használó fogyasztók küldtek be. Nem válogatunk az értékelések között oly módon, hogy kizárólag a pozitív értékeléseket jelenítjük meg. Szigorúan tilos a termékeink népszerűsítése érdekében valótlan fogyasztói értékelések vagy ajánlások közzététele.
Szállítási mód
Felhasználó megadja a szállítási címet, majd a szállítási módot, melynek típusai a következők:
Szállítási költség (bruttó összegek):
Fáma futár szolgálat
0-2 kg 2190 Ft
2-5 kg 2490 Ft
5-10 kg 2990 Ft
10-15 kg 3990 Ft
15-20 kg 4990 Ft
20-25 kg 5990 Ft
25-30 kg 6990 Ft
30-40 kg 7990 Ft
GLS XXL
20-30 kg 11.990 Ft
30-50 kg 14.990 Ft
50-80 kg 19.990 Ft
Magyar Posta
0-10 kg 2990 Ft
10-20 kg 4990 Ft
20-40 kg 7990 Ft
A MEGRENDELÉSEK FELDOLGOZÁSA ÉS TELJESÍTÉS
8.1. A megrendelések feldolgozása a beérkezések sorrendjében munkanapokon, munkaidőben történik. A megrendelés feldolgozásaként megjelölt időpontokon kívül is van lehetőség a megrendelés leadására, amennyiben az a munkaidő lejárta után történik, az azt követő munkanapon kerül feldolgozásra. Szolgáltató ügyfélszolgálata minden esetben elektronikus úton visszaigazolja, hogy mikor tudja teljesíteni a megrendelését.
8.2. Általános teljesítési határidő, a szerződés létrejöttétől számított 1-30 munkanapon belül.
8.3. Az adásvételi szerződés alapján a Szolgáltató dolog tulajdonjogának átruházására, a Felhasználó a vételár megfizetésére és a dolog átvételére köteles.
8.4. Ha az eladó vállalkozás és a vevő fogyasztó, és az eladó vállalja a dolog vevőhöz történő eljuttatását, a kárveszély akkor száll át a vevőre, amikor a vevő vagy az általa kijelölt harmadik személy birtokba veszi a dolgot. A kárveszély a fuvarozónak történő átadáskor átszáll a vevőre, ha a fuvarozót a vevő bízta meg, feltéve, hogy a fuvarozót nem az eladó ajánlotta.
8.5. A Szolgáltató késedelme esetén a Felhasználó jogosult póthatáridőt tűzni. Ha az eladó a póthatáridőn belül nem teljesít, a vevő jogosult a szerződéstől elállni.
8.6. A Felhasználó póthatáridő tűzése nélkül jogosult a szerződéstől elállni, ha
a) a Szolgáltató a szerződés teljesítését megtagadta; vagy
b) a szerződést a felek megállapodása szerint vagy a szolgáltatás felismerhető rendeltetésénél fogva a meghatározott teljesítési időben - és nem máskor - kellett volna teljesíteni.
Ha a Szolgáltató késedelembe esik, a Felhasználó követelheti a teljesítést, vagy ha a késedelem következtében a szerződés teljesítéséhez fűződő érdeke megszűnt, elállhat a szerződéstől.
A Felhasználó elállásához nincs szükség a teljesítéshez fűződő érdek megszűnésének bizonyítására, ha
a) a szerződést a felek megállapodása szerint vagy a szolgáltatás felismerhető rendeltetésénél fogva a meghatározott teljesítési időben – és nem máskor – kellett volna teljesíteni; vagy
b) a jogosult az utólagos teljesítésre megfelelő póthatáridőt tűzött, és a póthatáridő eredménytelenül telt el.
8.7. Ha Szolgáltató a szerződésben vállalt kötelezettségét azért nem teljesíti, mert a szerződésben meghatározott termék nem áll rendelkezésére, köteles erről Felhasználót haladéktalanul tájékoztatni, valamint Felhasználó által fizetett összeget haladéktalanul visszatéríteni, továbbá Szolgáltató köteles biztosítani, hogy a Felhasználó érvényesítse a hibás teljesítés esetére a jogszabályban biztosított egyéb jogait.
8.8. Szolgáltató felhívja a Felhasználók figyelmét, hogy amennyiben a Felhasználó nem veszi át a szerződésszerűen teljesített megrendelt termék(ek)et (fizetési módtól függetlenül) szerződésszegést követ el, pontosan a Ptk. 6:156. § (1) bekezdése szerint késedelembe esik.
Ez azt jelenti, hogy Szolgáltató a megbízás nélküli ügyvitel szabályai alapján – amennyiben nem jelzi a Fogyasztó az elállási szándékát (és nem tesz nyilatkozatot, hogy át kívánja-e venni a megrendelt terméke(ke)t) – a termék(ek)hez kapcsolódó tárolás szokásos költségét és a szállítási költséget (ha van az utánvét díját) (oda-vissza) is érvényesíti a Felhasználókkal szemben.
Felhívja Szolgáltató a Felhasználók figyelmét, hogy az így keletkezett jogi igényeink érvényesítése érdekében igénybe veszi ügyvédei segítségét, így a szerződésszegésből keletkező egyéb (jogi) költségek (akár a fizetési meghagyásos eljárás díjai) megfizetése is a Felhasználót terheli.
ELÁLLÁS JOGA
9.1. Az Európai Parlament és a Tanács 2011/83/EU számú irányelvének, továbbá a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló 45/2014. (II.26.) Korm. rendelet szabályozása értelmében Fogyasztót indokolás nélküli elállási jog illeti meg.
A fogyasztó az elállási vagy felmondási jogát
a) termék adásvételére irányuló szerződés esetén
aa) a terméknek,
ab) több termék adásvételekor, ha az egyes termékek szolgáltatása eltérő időpontban történik, az utoljára szolgáltatott terméknek,
ac) több tételből vagy darabból álló termék esetén az utoljára szolgáltatott tételnek vagy darabnak,
ad) ha a terméket meghatározott időszakon belül rendszeresen kell szolgáltatni, az első szolgáltatásnak,
a fogyasztó vagy az általa megjelölt, a fuvarozótól eltérő harmadik személy általi átvételének napjától számított tizennégy napon belül gyakorolhatja.
Ha a Szolgáltató a jelen tájékoztatásnak nem tesz eleget, a 14 napos elállási határidő tizenkét hónappal meghosszabbodik. Ha a Szolgáltató a termék kézhezvételének vagy a szerződés megkötésének napjától számított 14 nap lejártát követően, de 12 hónapon belül megadja a tájékoztatást, úgy az elállásra nyitva álló határidő e tájékoztatás közlésétől számított 14 nap.
9.2. A Fogyasztó az elállási jogát gyakorolhatja az erre vonatkozó egyértelmű nyilatkozatával, vagy a 45/2014. (II.26.) Korm. rendelet 2. mellékletében meghatározott nyilatkozat-minta útján.
9.3. Az elállási jog gyakorlására nyitva álló idő attól a naptól számított 14 nap elteltével jár le, amelyen Fogyasztó, vagy az általa megjelölt, a fuvarozótól eltérő harmadik személy a terméket átveszi.
9.4. Fogyasztó a szerződés megkötésének napja, és a termék átvételének napja közötti időszakban is gyakorolhatja elállási jogát.
9.5. A termék visszaküldésének közvetlen költségét a Fogyasztónak kell viselnie, a Szolgáltató nem vállalta e költség viselését.
9.6. Az elállási jog gyakorlása esetén a Fogyasztót a termék visszajuttatásának költségén kívül más költség nem terheli.
9.7. Nem illeti meg az elállási jog Fogyasztót olyan nem előre gyártott áru esetében, amelyet a Fogyasztó utasítása alapján vagy kifejezett kérésére állítottak elő, vagy olyan termék esetében, amelyet egyértelműen a fogyasztó személyére szabtak.
9.8. A Fogyasztó szintén nem gyakorolhatja az elállási jogát (kivételek teljes felsorolása a rendelet alapján, 29. § (1)):
a) szolgáltatás nyújtására irányuló szerződés esetében a szolgáltatás maradéktalan teljesítése után, azonban ha szerződés fizetési kötelezettséget keletkeztet a fogyasztó számára, csak akkor, ha a teljesítés a fogyasztó kifejezett előzetes beleegyezésével és annak a fogyasztó általi tudomásulvételével kezdődött meg, hogy elveszíti elállási jogát, amint a vállalkozás maradéktalanul teljesítette a szerződést;
b) olyan áru vagy szolgáltatás tekintetében, amelynek ára, illetve díja a pénzpiac vállalkozás által nem befolyásolható, a 20. § (2) bekezdésében meghatározott határidő alatt is lehetséges ingadozásától függ;
c) olyan nem előre gyártott áru esetében, amelyet a fogyasztó utasítása alapján vagy kifejezett kérésére állítottak elő, vagy olyan áru esetében, amelyet egyértelműen a fogyasztó személyére szabtak;
d) romlandó vagy minőségét rövid ideig megőrző áru tekintetében;
e) olyan zárt csomagolású áru tekintetében, amely egészségvédelmi vagy higiéniai okokból az átadást követő felbontása után nem küldhető vissza;
f) olyan áru tekintetében, amely jellegénél fogva az átadást követően elválaszthatatlanul vegyül más áruval;
g) olyan alkoholtartalmú ital tekintetében, amelynek tényleges értéke a vállalkozás által nem befolyásolható módon a piaci ingadozásoktól függ, és amelynek áráról a felek az adásvételi szerződés megkötésekor állapodtak meg, azonban a szerződés teljesítésére csak a megkötéstől számított harmincadik napot követően kerül sor;
h) olyan vállalkozási szerződés esetében, amelynél a vállalkozás a fogyasztó kifejezett kérésére keresi fel a fogyasztót sürgős javítási vagy karbantartási munkálatok elvégzése céljából;
i) lezárt csomagolású hang-, illetve képfelvétel, valamint számítógépes szoftver példányának adásvétele tekintetében, ha az átadást követően a fogyasztó a csomagolást felbontotta;
j) hírlap, folyóirat és időszaki lap tekintetében, az előfizetéses szerződések kivételével;
k) nyilvános árverésen megkötött szerződések esetében;
l) lakáscélú szolgáltatás kivételével szállásnyújtásra irányuló szerződés, fuvarozás, személygépjármű-kölcsönzés, étkeztetés vagy szabadidős tevékenységekhez kapcsolódó szolgáltatásra irányuló szerződés esetében, ha a szerződésben meghatározott teljesítési határnapot vagy határidőt kötöttek ki;
m) a nem tárgyi adathordozón nyújtott digitális tartalom tekintetében, ha a vállalkozás a fogyasztó kifejezett, előzetes beleegyezésével kezdte meg a teljesítést, és a fogyasztó e beleegyezésével egyidejűleg nyilatkozott annak tudomásul vételéről, hogy a teljesítés megkezdését követően elveszíti az elállási/felmondási jogát, továbbá a vállalkozás a 12. § (2) bekezdés vagy a 18. § szerint visszaigazolást küldött a fogyasztó részére.
9.9. Szolgáltató a távollevők között kötött szerződéstől, a vállalkozás haladéktalanul, de legkésőbb az elállásról való tudomásszerzésétől számított tizennégy napon belül visszatéríti a fogyasztó által ellenszolgáltatásként megfizetett teljes összeget, ideértve a teljesítéssel összefüggésben felmerült költségeket is. Ugyanakkor a Szolgáltatót visszatartási jog illeti meg.
9.10. A visszatérítés során az eredeti ügylet során alkalmazott fizetési móddal egyező fizetési módot alkalmaz a Szolgáltató, kivéve, ha Fogyasztó más fizetési mód igénybevételéhez kifejezetten a hozzájárulását adja; e visszatérítési mód alkalmazásából kifolyólag Fogyasztót semmilyen többletköltség nem terheli.
9.11. Fogyasztó köteles az árukat indokolatlan késedelem nélkül, de a szerződéstől való elállására vonatkozó értesítés Szolgáltató részére történő megküldésétől számított 14 napnál semmiféleképpen sem később visszaküldeni vagy Szolgáltatónak visszaszolgáltatni. Ha a vállalkozás az árut üzlethelyiségben is értékesíti, és a fogyasztó a vállalkozás üzlethelyiségében személyesen gyakorolja az elállási jogát, jogosult ezzel egyidejűleg az árut visszaadni a vállalkozásnak.
9.12. Fogyasztónak írásban történő elállás esetén elegendő az elállási nyilatkozatot megküldenie 14 napon belül.
9.13. Fogyasztó akkor tartja be a határidőt, ha a 14 napos időszak letelte előtt visszaküldi, vagy átadja a termék(eke)t. A visszaküldés határidőben teljesítettnek minősül, ha a Fogyasztó a terméket a határidő lejárta előtt elküldi.
9.14. A fogyasztó kizárólag a termék visszaküldésének közvetlen költségét viseli.
9.15. A Szolgáltató nem köteles a Fogyasztó részére megtéríteni azon többletköltségeket, amely a Szolgáltató által felkínált legolcsóbb szokásos fuvarozási módtól eltérő szállítási mód választásából adódik.
9.16. A visszatérítést Szolgáltató mindaddig visszatarthatja, amíg vissza nem kapta az áru(ka)t, vagy Fogyasztó bizonyítékot nem szolgáltatott arra vonatkozóan, hogy azokat visszaküldte: a kettő közül a korábbi időpontot kell figyelembe venni.
9.17. Amennyiben Fogyasztó élni szeretne elállási jogával, annak jelzését megteheti Szolgáltató elérhetőségeinek valamelyikén írásban (akár a mellékelt nyilatkozat segítségével), telefonon, vagy akár személyesen is. Írásban történő jelzés alkalmával a postára adás / futárnak adás / e-mail küldés időpontját vesszük figyelembe, telefonon történő jelzés alkalmával pedig a telefonon történő jelzését.
9.18. A Fogyasztó csak a termék jellegének, tulajdonságainak és működésének megállapításához szükséges használatot meghaladó használatból eredő értékcsökkenésért felel.
9.19. A fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló 45/2014. (II.26.) Korm. rendelet (a továbbiakban: R) itt érhető el.
9.20. Az Európai Parlament és a Tanács 2011/83/EU számú irányelve itt érhető el.
9.21. Fogyasztó egyéb panaszával is megkeresheti Szolgáltatót a jelen Szabályzatban található elérhetőségeken.
9.22. Az elállási jog csak a Polgári Törvénykönyv szerinti Fogyasztónak minősülő Felhasználókat illeti meg.
9.23. Az elállási jog nem illeti meg a vállalkozást, azaz az olyan személyt, aki a szakmája, önálló foglalkozása vagy üzleti tevékenysége körében jár el.
9.24. (Csak akkor alkalmazandó, ha Szolgáltató szolgáltatást is nyújt az értékesítés mellett.)
Ha a Fogyasztó a teljesítés megkezdését követően felmondja a távollévők között kötött szerződést, köteles a felmondás vállalkozással való közlése időpontjáig teljesített szolgáltatással arányos díjat a vállalkozás számára megfizetni. A Fogyasztó által arányosan fizetendő összeget a szerződésben megállapított ellenszolgáltatás adóval növelt teljes összege alapján kell megállapítani. Ha a Fogyasztó bizonyítja, hogy az ily módon megállapított teljes összeg túlzottan magas, az arányos összeget a szerződés megszűnésének időpontjáig teljesített szolgáltatások piaci értéke alapján kell kiszámítani. A piaci érték megállapításánál az azonos tevékenységet végző vállalkozások azonos szolgáltatásának a szerződés megkötésének időpontja szerinti ellenértékét kell figyelembe venni.
A fogyasztó a elállási/felmondási joga gyakorlása esetén nem viseli az alábbi költségeket:
a) a szolgáltatás nyújtására irányuló szerződés teljesítésének teljes vagy részleges költségeit, ha
aa) a vállalkozás a R 11. § (1) bekezdésének i) vagy k) pontjában előírt tájékoztatási kötelezettségének nem tett eleget, vagy
ab) a fogyasztó nem kérte a R 13. § és a 19. § szerint a szolgáltatás teljesítésének megkezdését a R 20. § (2) bekezdésében meghatározott határidő lejárta előtt;
b) a nem tárgyi adathordozón nyújtott digitális tartalom szolgáltatásának teljes vagy részleges költségeit, ha
ba) a fogyasztó nem adta kifejezett, előzetes beleegyezését ahhoz, hogy a teljesítés a R 20. § (2) bekezdésében meghatározott határidő lejárta előtt megkezdődjön,
bb) a fogyasztó a ba) pont szerinti beleegyezése megadásával egyidejűleg nem nyilatkozott annak tudomásulvételéről, hogy beleegyezésével elveszti a R 20. § szerinti jogát, vagy
bc) a vállalkozás elmulasztotta megadni a R 12. § (2) bekezdésében vagy a R 18. §-ban előírt visszaigazolást.
9.25. Elállási jog gyakorlásának a menete:
9.25.1. Amennyiben a Fogyasztó élni kíván az elállási joggal, úgy köteles az elállási szándékát a Szolgáltató elérhetőségein jelezni.
9.25.2. Fogyasztó határidőben gyakorolja elállási jogát, amennyiben a termék kézhezvételétől számított 14. nap lejárta előtt elküldi elállási nyilatkozatát. Írásban történő elállás esetén elég csak az elállási nyilatkozatot elküldeni 14 napon belül.
9.25.3. A Fogyasztó elállás esetén köteles a megrendelt terméket a Szolgáltató címére késedelem nélkül, de legkésőbb elállási nyilatkozatának közlésétől számított 14 napon belül visszaküldeni, vagy szolgáltató részére átadni. A határidő betartottnak minősül, amennyiben a 14 napos határidő letelte előtt elküldi a terméket (tehát nem kell megérkezni 14 napon belül). A megrendelő viseli az elállási jog gyakorlása miatt az áru visszaszolgáltatásával kapcsolatban felmerülő közvetlen költséget. Ha a vállalkozás az árut üzlethelyiségben is értékesíti, és a fogyasztó a vállalkozás üzlethelyiségében személyesen gyakorolja az elállási jogát, jogosult ezzel egyidejűleg az árut visszaadni a vállalkozásnak.
9.25.4. A Szolgáltató azonban nem köteles a Fogyasztó részére megtéríteni azon többletköltségeket, amely a Szolgáltató által felkínált legolcsóbb szokásos fuvarozási módtól eltérő szállítási mód választásából adódik. A Fogyasztó a szerződés megkötésének napja és a termék átvételének napja közötti időszakban is gyakorolja elállási jogát.
9.25.5. Több termék adásvételekor, amennyiben az egyes termékek szállítása eltérő időpontban történik, úgy az utoljára szolgáltatott termék, illetve több tételből vagy darabból álló termék esetén az utoljára kézbesített tételnek vagy darab kézhezvételtől számított 14 napon belül élhet a vásárló az elállási joggal.
JÓTÁLLÁS, SZAVATOSSÁG
Hibás teljesítés
Szolgáltató hibásan teljesít, ha a szolgáltatás a teljesítés időpontjában nem felel meg a szerződésben vagy jogszabályban megállapított minőségi követelményeknek. Nem teljesít hibásan Szolgáltató, ha a jogosult a hibát a szerződéskötés időpontjában ismerte, vagy a hibát a szerződéskötés időpontjában ismernie kellett.
Fogyasztó és vállalkozás közötti szerződésben semmis az a kikötés, amely e fejezetnek a kellékszavatosságra és a jótállásra vonatkozó rendelkezéseitől a Fogyasztó hátrányára tér el.
Több szavatossági jog csak a Polgári Törvénykönyv szerinti fogyasztónak minősülő Felhasználókat illeti meg.
Vállalkozásnak minősülő Felhasználó: olyan személy, aki a szakmája, önálló foglalkozása vagy üzleti tevékenysége körében jár el.
Kellékszavatosság
10.1. Milyen esetben élhet Felhasználó a kellékszavatossági jogával?
Felhasználó a Szolgáltató hibás teljesítése esetén a Szolgáltatóval szemben kellékszavatossági igényt érvényesíthet a Polgári Törvénykönyv szabályai szerint.
10.2. Milyen jogok illetik meg a Felhasználót a kellékszavatossági igénye alapján?
Felhasználó – választása szerint – az alábbi kellékszavatossági igényekkel élhet: kérhet kijavítást vagy kicserélést, kivéve, ha az ezek közül a Felhasználó által választott igény teljesítése lehetetlen vagy a vállalkozás számára más igénye teljesítéséhez képest aránytalan többletköltséggel járna. Ha a kijavítást vagy a kicserélést nem kérte, illetve nem kérhette, úgy igényelheti az ellenszolgáltatás arányos leszállítását vagy – végső esetben – a szerződéstől is elállhat. Választott kellékszavatossági jogáról egy másikra is áttérhet, az áttérés költségét azonban Felhasználó viseli, kivéve, ha az indokolt volt, vagy arra a vállalkozás adott okot.
A Fogyasztó akkor is jogosult - a szerződésszegés súlyához igazodva - az ellenszolgáltatás arányos leszállítását igényelni, vagy az adásvételi szerződést megszüntetni, ha
a) a vállalkozás nem végezte el a kijavítást vagy kicserélést, vagy elvégezte azt, de részben vagy egészben nem végezte el a leszerelést és az újbóli üzembe helyezést, vagy megtagadta az áru szerződésszerűvé tételét;
b) ismételt teljesítési hiba merült fel, annak ellenére, hogy a vállalkozás megkísérelte az áru szerződésszerűvé tételét;
c) a teljesítés hibája olyan súlyú, hogy azonnali árleszállítást vagy az adásvételi szerződés azonnali megszüntetését teszi indokolttá; vagy
d) a vállalkozás nem vállalta az áru szerződésszerűvé tételét, vagy a körülményekből nyilvánvaló, hogy a vállalkozás észszerű határidőn belül vagy a Fogyasztónak okozott jelentős érdeksérelem nélkül nem fogja az árut szerződésszerűvé tenni.
Ha a Fogyasztó hibás teljesítésre hivatkozva kívánja megszüntetni az adásvételi szerződést, a vállalkozást terheli annak bizonyítása, hogy a hiba jelentéktelen.
A Fogyasztó jogosult a vételár még fennmaradó részét - a szerződésszegés súlyához igazodva - részben vagy egészben visszatartani mindaddig, amíg a vállalkozás nem tesz eleget a teljesítés szerződésszerűségével és a hibás teljesítéssel kapcsolatos kötelezettségeinek.
Az áru kijavításának vagy kicserélésének elvégzésére nyitva álló észszerű határidőt attól az időponttól kell számítani, amikor a Fogyasztó közölte a hibát a vállalkozással.
A fogyasztónak az árut a kijavítás vagy kicserélés teljesítése érdekében a vállalkozás rendelkezésére kell bocsátania.
Fogyasztó és vállalkozás közötti szerződés esetén a vállalkozásnak a saját költségére kell biztosítania a kicserélt áru visszavételét. Ha a kijavítás vagy kicserélés olyan áru eltávolítását teszi szükségessé, amelyet az áru jellegének és céljának megfelelően - a hiba felismerhetővé válása előtt - üzembe helyeztek, akkor a kijavításra vagy kicserélésre vonatkozó kötelezettség magában foglalja a nem megfelelő áru eltávolítását és a csereként szállított vagy kijavított áru üzembe helyezését vagy az eltávolítás, illetve üzembe helyezés költségeinek viselését.
Az ellenszolgáltatás leszállítása akkor arányos, ha annak összege megegyezik a Fogyasztónak szerződésszerű teljesítés esetén járó, valamint a Fogyasztó által ténylegesen megkapott áru értékének különbözetével.
A Fogyasztó adásvételi szerződés megszüntetésére vonatkozó kellékszavatossági joga a vállalkozásnak címzett, a megszüntetésre vonatkozó döntést kifejező jognyilatkozattal gyakorolható.
Ha a hibás teljesítés az adásvételi szerződés alapján szolgáltatott árunak csak meghatározott részét érinti, és azok tekintetében a szerződés megszüntetésére vonatkozó jog gyakorlásának feltételei fennállnak, a Fogyasztó az adásvételi szerződést csak a hibás áru tekintetében szüntetheti meg, de az azokkal együtt szerzett bármely egyéb áru vonatkozásában is megszüntetheti, ha a Fogyasztótól nem várható el észszerűen, hogy csak a szerződésnek megfelelő árukat tartsa meg.
Ha a Fogyasztó az adásvételi szerződést teljes egészében vagy az adásvételi szerződés alapján szolgáltatott áruk egy része tekintetében szünteti meg, úgy
a) a Fogyasztónak a vállalkozás költségére vissza kell küldenie a vállalkozásnak az érintett árut; és
b) a vállalkozásnak haladéktalanul vissza kell térítenie a Fogyasztó részére az érintett áru vonatkozásában teljesített vételárat, amint az árut vagy az áru visszaküldését alátámasztó igazolást átvette.
10.3. Milyen határidőben érvényesítheti Felhasználó kellékszavatossági igényét?
Felhasználó (ha fogyasztónak minősül) köteles a hibát annak felfedezése után haladéktalanul, de nem később, mint a hiba felfedezésétől számított kettő hónapon belül közölni. Ugyanakkor felhívjuk a figyelmét, hogy a szerződés teljesítésétől számított két éves (vállalkozás vagy használt termékek esetén 1 éves) elévülési határidőn túl kellékszavatossági jogait már nem érvényesítheti. (Lejárati idővel rendelkező termékek esetében a kellékszavatosság a lejárati idő végéig érvényesíthető).
Ha a digitális elemeket tartalmazó áru esetében az adásvételi szerződés a digitális tartalom vagy digitális szolgáltatás meghatározott időtartamon keresztül történő folyamatos szolgáltatásáról rendelkezik, a vállalkozás felel az áru digitális tartalommal vagy digitális szolgáltatással kapcsolatos hibájáért, amennyiben a hiba
a) két évet meg nem haladó időtartamú folyamatos szolgáltatás esetén az áru teljesítésétől számított két éven belül; vagy
b) két évet meghaladó időtartamú folyamatos szolgáltatás esetén a folyamatos szolgáltatás teljes időtartama alatt
következik be vagy válik felismerhetővé.
10.4. Kivel szemben érvényesítheti kellékszavatossági igényét?
Felhasználó a Szolgáltatóval szemben érvényesítheti kellékszavatossági igényét.
10.5. Milyen egyéb feltétele van kellékszavatossági jogai érvényesítésének (amennyiben a Felhasználó fogyasztónak minősül)?
A teljesítéstől számított 1 éven belül a kellékszavatossági igénye érvényesítésének a hiba közlésén túl nincs egyéb feltétele, ha Felhasználó igazolja, hogy a terméket, illetve a szolgáltatást a webshopot üzemeltető vállalkozás nyújtotta. A teljesítéstől számított 1 év eltelte után azonban már Felhasználó köteles bizonyítani, hogy a Felhasználó által felismert hiba már a teljesítés időpontjában is megvolt.
Termékszavatosság
10.6. Milyen esetben élhet a Fogyasztó a termékszavatossági jogával és milyen jogok illetik meg a Fogyasztót termékszavatossági igénye alapján?
Ingó dolog hibája esetén a Fogyasztó - választása szerint - a kellékszavatossági jogát gyakorolhatja, vagy termékszavatossági igényt érvényesíthet a Polgári Törvénykönyv szabályai szerint.
Termékszavatossági igényként a Fogyasztó a hibás termék kijavítását vagy kicserélését kérheti.
10.7. Kivel szemben érvényesítheti termékszavatossági igényét?
Termékszavatossági jogait a termék előállítójával vagy forgalmazójával (a továbbiakban együtt: gyártó) szemben gyakorolhatja.
10.8. Milyen esetben minősül a termék hibásnak?
A termék akkor hibás, ha nem felel meg a forgalomba hozatalakor hatályos minőségi követelményeknek, vagy ha nem rendelkezik a gyártó által adott leírásban szereplő tulajdonságokkal.
10.9. Milyen határidőben érvényesítheti a Fogyasztó termékszavatossági igényét?
Termékszavatossági igényét a Fogyasztó a termék gyártó általi forgalomba hozatalától számított két éven belül érvényesítheti. E határidő elteltével e jogosultságát elveszti.
10.10. Milyen bizonyítási szabály érvényesül termékszavatossági igény érvényesítése esetén?
Termékszavatossági igény érvényesítése esetén Önnek kell bizonyítania, hogy a termékhiba a gyártó általi forgalomba hozatal időpontjában fennállt.
10.11. A gyártó milyen esetben mentesül termékszavatossági kötelezettsége alól?
A gyártó akkor mentesül termékszavatossági kötelezettsége alól, ha bizonyítani tudja, hogy
- a terméket nem üzleti tevékenysége körében gyártotta, illetve hozta forgalomba, vagy
- a hiba a tudomány és a technika állása szerint a forgalomba hozatal időpontjában nem volt felismerhető, vagy
- a termék hibája jogszabály vagy kötelező hatósági előírás alkalmazásából ered.
A gyártónak a mentesüléshez elegendő egy okot bizonyítania.
Felhívom figyelmét, hogy a Fogyasztó ugyanazon hiba miatt a vállalkozással szemben kellékszavatossági és a gyártóval szemben termékszavatossági igényt egyszerre, egymással párhuzamosan is érvényesíthet. Termékszavatossági igényének eredményes érvényesítése esetén a kicserélt termékre, illetve a termék javítással érintett részére vonatkozó kellékszavatossági igényét a továbbiakban már csak a gyártóval szemben érvényesítheti.
Jótállás (új tartós fogyasztási cikkek esetén)
10.12. Milyen esetben élhet Fogyasztó a jótállási jogával?
Hibás teljesítés esetén az egyes tartós fogyasztási cikkekre vonatkozó kötelező jótállásról szóló 151/2003. (IX. 22.) Korm. rendelet alapján a Szolgáltató jótállásra köteles, ha a felhasználó Fogyasztónak minősül.
10.13. Fogyasztót milyen jogok és milyen határidőn belül illetik meg jótállás alapján?
A jótállás időtartama:
a) 10 000 forintot elérő, de 250 000 forintot meg nem haladó eladási ár esetén két év,
b) 250 000 forint eladási ár felett három év.
E határidők elmulasztása jogvesztéssel jár.
A jótállási határidő a fogyasztási cikk Fogyasztó részére történő átadása, vagy ha az üzembe helyezést a Szolgáltató vagy annak megbízottja végzi, az üzembe helyezés napjával kezdődik.
Amennyiben a Fogyasztó a fogyasztási cikket az átadástól számított hat hónapon túl helyezteti üzembe, akkor a jótállási határidő kezdő időpontja a fogyasztási cikk átadásának napja.
A Fogyasztó a kijavítás iránti igényét választása szerint a Szolgáltató székhelyén, bármely telephelyén, fióktelepén és a vállalkozás által a jótállási jegyen feltüntetett javítószolgálatnál közvetlenül is bejelentheti.
Jótállási igénye alapján a jogosult választása szerint
- kijavítást vagy kicserélést igényelhet, kivéve, ha a választott jótállási jog teljesítése lehetetlen, vagy ha az a kötelezettnek - másik jótállási igény teljesítésével összehasonlítva - aránytalan többletköltséget eredményezne, figyelembe véve a szolgáltatás hibátlan állapotban képviselt értékét, a szerződésszegés súlyát és a jótállási jog teljesítésével a jogosultnak okozott érdeksérelmet; vagy
- az ellenszolgáltatás arányos leszállítását igényelheti, vagy a szerződéstől elállhat, ha a kötelezett a kijavítást vagy a kicserélést nem vállalta, e kötelezettségének a (...) nem tud eleget tenni, vagy ha a jogosultnak a kijavításhoz vagy kicseréléshez fűződő érdeke megszűnt.
Jelentéktelen hiba miatt elállásnak nincs helye.
Törekedni kell a 15 napra
A fogyasztó és vállalkozás közötti szerződés keretében eladott dolgokra vonatkozó szavatossági és jótállási igények intézésének eljárási szabályairól szóló 19/2014. (IV. 29.) NGM rendelet 5. §-a alapján a Szolgáltatónak törekednie kell arra, hogy a kijavítást vagy kicserélést legfeljebb 15 napon belül elvégezze. Ha a kijavítás vagy a kicserélés időtartama a 15 napot meghaladja, akkor a Szolgáltató a Fogyasztót tájékoztatni köteles a kijavítás vagy a csere várható időtartamáról. A tájékoztatás a Fogyasztó előzetes hozzájárulása esetén, elektronikus úton vagy a fogyasztó általi átvétel igazolására alkalmas más módon történik.
Ha kiderül, hogy nem javítható a termék
Ha a jótállási időtartam alatt a fogyasztási cikk első alkalommal történő javítása során a Szolgáltató részéről megállapítást nyer, hogy a fogyasztási cikk nem javítható, a Fogyasztó eltérő rendelkezése hiányában a Szolgáltató köteles a fogyasztási cikket 8 napon belül kicserélni. Ha a fogyasztási cikk cseréjére nincs lehetőség, a Szolgáltató köteles a vételárat 8 napon belül a Fogyasztó részére visszatéríteni.
Ha negyedszer is elromlik a termék
Ha a jótállási időtartam alatt a fogyasztási cikk három alkalommal történő kijavítást követően ismét meghibásodik, - a fogyasztó eltérő rendelkezése hiányában - a vállalkozás köteles a fogyasztási cikket nyolc napon belül kicserélni. Ha a fogyasztási cikk kicserélésére nincs lehetőség, a vállalkozás köteles a jótállási jegyen, ennek hiányában a fogyasztó által bemutatott, a fogyasztási cikk ellenértékének megfizetését igazoló bizonylaton - az általános forgalmi adóról szóló törvény alapján kibocsátott számlán vagy nyugtán - feltüntetett vételárat 8 napon belül a fogyasztó részére visszatéríteni.
Ha nem sikerül 30 napon belül kijavítani
Ha a fogyasztási cikk kijavításra a kijavítási igény vállalkozás részére való közlésétől számított 30. napig nem kerül sor, - a fogyasztó eltérő rendelkezése hiányában - a vállalkozás köteles a fogyasztási cikket a harmincnapos határidő eredménytelen elteltét követő 8 napon belül kicserélni. Ha a fogyasztási cikk cseréjére nincs lehetőség, a vállalkozás köteles a jótállási jegyen, ennek hiányában a fogyasztó által bemutatott, a fogyasztási cikk ellenértékének megfizetését igazoló bizonylaton - az általános forgalmi adóról szóló törvény alapján kibocsátott számlán vagy nyugtán - feltüntetett vételárat a 30 kijavítási határidő eredménytelen elteltét követő 8 napon belül a fogyasztó részére visszatéríteni.
A fenti hátom kitétel előírásai az elektromos kerékpárra, elektromos rollerre, quadra, motorkerékpárra, segédmotoros kerékpárra, személygépkocsira, lakóautóra, lakókocsira, utánfutós lakókocsira, utánfutóra, valamint a motoros vízi járműre nem vonatkoznak.
10.14. Mikor mentesül a vállalkozás a jótállási kötelezettsége alól?
A Szolgáltató jótállási kötelezettsége alól csak abban az esetben mentesül, ha bizonyítja, hogy a hiba oka a teljesítés után keletkezett. Felhívom a figyelmét, hogy a Fogyasztó ugyanazon hiba miatt kellékszavatossági és jótállási igényt, valamint termékszavatossági és jótállási igényt egyszerre, egymással párhuzamosan is érvényesíthet. Ha viszont a Fogyasztó egy adott hiba miatt egyszer sikerrel érvényesítette hibás teljesítésből eredő igényét (például a vállalkozás kicserélte a terméket), ugyanezen hiba tekintetében más jogi alapon erre már nem tarthat igényt.
10.15. Szolgáltató nem tartozik jótállással a jótállási időn túl (szakmailag elvárható élettartam) a természetes elhasználódásból/avulásból származó károkért.
10.16. Szolgáltató nem tartozik továbbá szavatossággal, illetve jótállással az olyan károkért, amelyek a kárveszély átszállása utáni hibás vagy gondatlan kezelésből, túlzott igénybevételből, illetve a meghatározottól eltérő behatásokból, illetve egyéb, a termékek nem rendeltetésszerű használatából keletkeztek.
10.17. Ha a Fogyasztó a fogyasztási cikk meghibásodása miatt a vásárlástól (üzembe helyezéstől) számított három munkanapon belül érvényesít csereigényt, Szolgáltató köteles a fogyasztási cikket kicserélni, feltéve, hogy a meghibásodás a rendeltetésszerű használatot akadályozza.
10.18. Milyen további követelmények támaszthatóak a jótállási jogok gyakorlásának feltételéül?
Fogyasztási cikk megfelelő üzembe helyezése vagy annak üzemben tartása érdekében támaszthatók speciális követelmények (például időszakos felülvizsgálat) a fogyasztóval szemben, feltéve, ha a megfelelő üzembe helyezés vagy üzemben tartás más módon nem biztosítható, és a követelmény teljesítése nem jelent aránytalan terhet a fogyasztó számára.
10.19. A kötelező jótállás alá tartozó fogyasztási cikkek felsorolása itt található: 10/2024. (VI. 28.) IM rendelet a kötelező jótállás alá tartozó tartós fogyasztási cikkek körének meghatározásáról
A SZAVATOSSÁGI IGÉNY ESETÉN TÖRTÉNŐ ELJÁRÁS
(FOGYASZTÓNAK MINŐSÜLŐ FELHASZNÁLÓK ESETÉN)
11.1. Fogyasztó és vállalkozás közötti szerződésben a felek megállapodása a fogyasztó és vállalkozás közötti szerződés keretében eladott dolgokra vonatkozó szavatossági és jótállási igények intézésének eljárási szabályairól szóló 19/2014. (IV. 29.) NGM rendelet) rendelkezéseitől a fogyasztó hátrányára nem térhet el.
11.2. A Fogyasztó kötelessége a szerződés megkötésének bizonyítása (számlával, vagy akár csak nyugtával).
11.3. A szavatossági kötelezettség teljesítésével kapcsolatos költségek a Szolgáltatót terhelik (Ptk. 6:166. §).
11.4. A Szolgáltató a Fogyasztó nála bejelentett szavatossági vagy jótállási igényéről jegyzőkönyvet köteles felvenni.
11.5. A jegyzőkönyv másolatát haladéktalanul, igazolható módon a Fogyasztó rendelkezésére kell bocsátani.
11.6. Ha a Szolgáltató a Fogyasztó szavatossági vagy jótállási igényének teljesíthetőségéről annak bejelentésekor nem tud nyilatkozni, álláspontjáról – az igény elutasítása esetén az elutasítás indokáról és a békéltető testülethez fordulás lehetőségéről is – öt munkanapon belül, igazolható módon köteles értesíteni a Fogyasztót.
11.7. A Szolgáltató a jegyzőkönyvet az annak felvételétől számított három évig köteles megőrizni, és azt az ellenőrző hatóság kérésére bemutatni.
11.8. A Szolgáltatónak törekednie kell arra, hogy a kijavítást vagy kicserélést legfeljebb tizenöt napon belül elvégezze. Ha a kijavítás vagy a kicserélés időtartama a 15 napot meghaladja, akkor a Szolgáltató a Fogyasztót tájékoztatni köteles a kijavítás vagy a csere várható időtartamáról. A tájékoztatás a Fogyasztó előzetes hozzájárulása esetén, elektronikus úton vagy a Fogyasztó általi átvétel igazolására alkalmas más módon történik.
VEGYES RENDELKEZÉSEK
12.1. Szolgáltató kötelezettsége teljesítéséhez közreműködőt jogosult igénybe venni. Ennek jogellenes magatartásáért teljes felelősséggel tartozik, úgy, mintha a jogellenes magatartást saját maga követte volna el.
12.2. Ha a jelen Szabályzat bármely része érvénytelenné, jogtalanná vagy érvényesíthetetlenné válik, az a fennmaradó részek érvényességét, jogszerűségét és érvényesíthetőségét nem érinti.
12.3. Amennyiben Szolgáltató a Szabályzat alapján megillető jogát nem gyakorolja, a joggyakorlás elmulasztása nem tekinthető az adott jogról való lemondásnak. Bármilyen jogról történő lemondás csak az erre vonatkozó kifejezett írásbeli nyilatkozat esetén érvényes. Az hogy a Szolgáltató egy alkalommal nem ragaszkodik szigorúan a Szabályzat valamely lényegi feltételéhez, vagy kikötéséhez nem jelenti azt, hogy lemond arról, hogy a későbbiekben ragaszkodjon az adott feltétel vagy kikötés szigorú betartásához.
12.4. Szolgáltató és Felhasználó a vitás ügyeiket békés úton próbálják rendezni.
10.5. Felek rögzítik, hogy a Szolgáltató webshopja Magyarországon működik, karbantartását is itt végzik. Mivel az oldal más országokból is meglátogatható, ezért a felhasználók kifejezetten tudomásul veszik, hogy a felhasználó és a Szolgáltató viszonylatában az irányadó jog a magyar jog. Amennyiben a felhasználó fogyasztó, úgy a Pp. 26. § (1) bekezdése alapján a Fogyasztóval szemben a jelen szerződésből eredő vitás ügyekben az alperes (Fogyasztó) belföldi lakóhelye szerinti bíróság kizárólagosan illetékes.
12.6. Szolgáltató a webshopban található termékekhez való hozzáférés vonatkozásában nem alkalmaz eltérő általános hozzáférési feltételeket a Felhasználó állampolgárságával, lakóhelyével vagy letelepedési helyével kapcsolatos okokból.
12.7. Szolgáltató – az általa elfogadott fizetési módok tekintetében – nem alkalmaz eltérő feltételeket a fizetési műveletre a Felhasználó állampolgárságával, lakóhelyével vagy letelepedési helyével, a fizetési számla számlavezetési helyével, a pénzforgalmi szolgáltató letelepedési helyével vagy a készpénz-helyettesítő fizetési eszköz Európai Unión belüli kibocsátásának helyével kapcsolatos okok miatt.
12.8. Szolgáltató megfelel a belső piacon belül a vevő állampolgársága, lakóhelye vagy letelepedési helye alapján történő indokolatlan területi alapú tartalomkorlátozással és a megkülönböztetés egyéb formáival szembeni fellépésről, valamint a 2006/2004/EK és az (EU) 2017/2394 rendelet, továbbá a 2009/22/EK irányelv módosításáról szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2018/302 RENDELET-nek.
PANASZKEZELÉS RENDJE
FOGYASZTÓNAK MINŐSÜLŐ FELHASZNÁLÓK ESETÉN)
13.1. Szolgáltató célja, hogy valamennyi megrendelést megfelelő minőségben, a megrendelő teljes megelégedettsége mellett teljesítsen.
13.2. A fogyasztó szóban vagy írásban közölheti panaszát a vállalkozással.
13.3. A vállalkozás a szóbeli panaszt azonnal megvizsgálja, és szükség szerint orvosolja.
13.4. Ha a fogyasztó a panasz kezelésével nem ért egyet, vagy a panasz azonnali kivizsgálása nem lehetséges, a vállalkozás a panaszról és az azzal kapcsolatos álláspontjáról haladéktalanul jegyzőkönyvet vesz fel, és az írásbeli panaszra vonatkozó szabályok szerint jár el.
13.5. A vállalkozás a jegyzőkönyv egy másolati példányát a fogyasztónak
a) személyesen közölt szóbeli panasz esetén helyben átadja,
b) telefonon vagy egyéb elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panasz esetén legkésőbb az érdemi válasszal egyidejűleg megküldi – kivéve, ha a fogyasztó nem adta meg minden adatát a panasz kezeléséhez, a 11.8. pont szerint.
13.6. A telefonon vagy elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panaszt a vállalkozás köteles egyedi azonosítószámmal ellátni.
13.7. A panaszról felvett jegyzőkönyvnek tartalmaznia kell az alábbiakat:
a) a fogyasztó neve, lakcíme vagy elektronikus levelezési címe,
b) a panasz előterjesztésének helye, ideje, módja,
c) a fogyasztó panaszának részletes leírása, a fogyasztó által bemutatott iratok, dokumentumok és egyéb bizonyítékok jegyzéke,
d) a vállalkozás nyilatkozata a fogyasztó panaszával kapcsolatos álláspontjáról, amennyiben a panasz azonnali kivizsgálása lehetséges,
e) a jegyzőkönyvet felvevő személy és - telefonon vagy egyéb elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panasz kivételével - a fogyasztó aláírása,
f) a jegyzőkönyv felvételének helye, ideje,
g) telefonon vagy egyéb elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panasz esetén a panasz egyedi azonosítószáma, és
h) a 13.8 bekezdésben foglaltakra vonatkozó figyelmeztetés.
13.8. Ha a fogyasztó a jegyzőkönyv felvétele során a 13.7. pont a) és c) pontjában foglalt adatokat nem adja meg, vagy a jegyzőkönyv 13.7. pont e) pontja szerinti aláírását megtagadja, a vállalkozás a szóbeli panasz elintézése során a 11.9. pontban foglaltak alkalmazását mellőzi.
13.9. Az írásbeli panaszt a vállalkozás - ha az Európai Unió közvetlenül alkalmazandó jogi aktusa eltérően nem rendelkezik - a beérkezését követően harminc napon belül köteles írásban érdemben igazolható módon megválaszolni és intézkedni annak közlése iránt. Ennél rövidebb határidőt jogszabály, hosszabb határidőt törvény állapíthat meg. A panaszt elutasító álláspontját a vállalkozás indokolni köteles.
13.10. Ha a vállalkozás az írásbeli panasz bejelentésére elektronikus felületet, űrlapot biztosít, köteles a fogyasztó által megadott elektronikus levelezési címen az írásbeli panasz beérkezését haladéktalanul visszaigazolni.
13.11. A vállalkozás a szóbeli panaszról felvett jegyzőkönyvet vagy az írásbeli panaszt, továbbá a panaszra adott érdemi válaszának másolati példányát három évig köteles megőrizni, és azt az ellenőrző hatóság felhívására bemutatni.
13.12. A panasz elutasítása esetén a vállalkozás köteles a fogyasztót írásban tájékoztatni arról, hogy panaszával - annak jellege szerint - mely hatóság vagy békéltető testület eljárását kezdeményezheti. A tájékoztatásnak tartalmaznia kell továbbá az illetékes hatóság, illetve a fogyasztó lakóhelye, tartózkodási helye vagy székhelye szerinti békéltető testület székhelyét, telefonos és internetes elérhetőségét, valamint levelezési címét. A tájékoztatásnak arra is ki kell terjednie, hogy a vállalkozás tett-e általános alávetési nyilatkozatot.
13.13. A korábbi, érdemben megválaszolt panasz tartalmával azonos tartalmú, ugyanazon fogyasztó által tett, ismételt, új információt nem tartalmazó panasz, valamint az azonosíthatatlan személy által tett fogyasztói panasz kivizsgálását a vállalkozás mellőzheti.
13.14. Tájékozatjuk, hogy a panaszának elutasítása esetén panaszával hatósági vagy békéltető testület eljárását kezdeményezheti, az alábbiak szerint (általános alávetési nyilatkozatot Szolgáltató nem tett):
13.15. A Fogyasztó panasszal fordulhat a fogyasztóvédelmi hatósághoz:
A Fgytv. 45/A. § (1)-(3) bekezdéseiben, valamint a fogyasztóvédelmi hatóság kijelöléséről szóló 326/2024. (XI. 14.) Korm. rendelet alapján általános fogyasztóvédelmi hatóságként a kormányhivatal jár el: https://kormanyhivatalok.hu/kormanyhivatalok
13.16. A Fogyasztónak panasza esetén lehetősége van békéltető testülethez fordulni, melyek elérhetőségét itt találja:
|
Békéltető testület neve |
Békéltető testület székhelye, címe: |
Illetékességi terület |
|
Budapesti Békéltető Testület |
Budapest |
Budapest |
|
Baranya Vármegyei Békéltető Testület |
Pécs E-mail cím: info@baranyabekeltetes.hu |
Baranya vármegye, |
|
Somogy vármegye, |
||
|
Tolna vármegye |
||
|
Borsod-Abaúj-Zemplén |
Miskolc E-mail cím: bekeltetes@bokik.hu |
Borsod-Abaúj-Zemplén vármegye, |
|
Heves vármegye, |
||
|
Nógrád vármegye |
||
|
Csongrád-Csanád Vármegyei |
Szeged E-mail cím: bekelteto.testulet@csmkik.hu |
Békés vármegye, |
|
Bács-Kiskun vármegye, |
||
|
Csongrád-Csanád vármegye |
||
|
Fejér Vármegyei Békéltető Testület |
Székesfehérvár E-mail cím: bekeltetes@fmkik.hu; fmkik@fmkik.hu |
Fejér vármegye, |
|
Komárom-Esztergom vármegye, |
||
|
Veszprém vármegye |
||
|
Győr-Moson-Sopron Vármegyei |
Győr |
Győr-Moson-Sopron vármegye, |
|
Vas vármegye, |
||
|
Zala vármegye |
||
|
Hajdú-Bihar Vármegyei |
Debrecen |
Jász-Nagykun-Szolnok vármegye, |
|
Hajdú-Bihar vármegye, |
||
|
Szabolcs-Szatmár-Bereg vármegye |
||
|
Pest Vármegyei Békéltető Testület |
Budapest E-mail cím: pmbekelteto@pmkik.hu |
Pest vármegye |
13.17. A békéltető testület hatáskörébe tartozik a fogyasztói jogvita bírósági eljáráson kívüli rendezése. A békéltető testület feladata, hogy megkísérelje a fogyasztói jogvita rendezése céljából egyezség létrehozását a felek között, ennek eredménytelensége esetén az ügyben döntést hoz a fogyasztói jogok egyszerű, gyors, hatékony és költségkímélő érvényesítésének biztosítása érdekében. A békéltető testület a fogyasztó vagy a Szolgáltató kérésére tanácsot ad a Fogyasztót megillető jogokkal és a Fogyasztót terhelő kötelezettségekkel kapcsolatban.
A békéltetői testületi eljárásban, egyezség hiányában a tanács az ügy érdemében
a) kötelezést tartalmazó határozatot hoz, ha
aa) a kérelem megalapozott, és a vállalkozás – a békéltető testületnél vagy a kamaránál nyilvántartott, illetve kereskedelmi kommunikációjában közölt – a 36/C. § szerinti általános alávetési nyilatkozatában, az eljárás kezdetekor vagy legkésőbb a döntés meghozataláig nyilatkozatában a békéltető testület döntését magára nézve kötelezőként elismerte, vagy
ab) a vállalkozás alávetési nyilatkozatot nem tett, de a kérelem megalapozott és a fogyasztó érvényesíteni kívánt igénye – sem a kérelemben, sem a kötelezést tartalmazó határozat meghozatalakor – nem haladja meg a kétszázezer forintot, vagy
b) ajánlást tesz, ha a kérelem megalapozott, azonban a vállalkozás az eljárás kezdetekor úgy nyilatkozott, hogy a tanács döntését kötelezésként nem ismeri el, illetve ha a tanács döntésének elismeréséről egyáltalán nem nyilatkozott.
13.18. Online adásvételi vagy online szolgáltatási szerződéssel összefüggő határon átnyúló fogyasztói jogvita esetén a fogyasztóvédelemért felelős miniszter által rendeletben kijelölt kamara által működtetett békéltető testület illetékes.
13.19. A vállalkozást a békéltető testületi eljárásban együttműködési kötelezettség terheli, ennek keretében köteles Fgytv-ben meghatározott tartalommal, az ott említett határidőn belül válasziratát megküldeni a békéltető testület számára. A fogyasztói jogviták online rendezéséről, valamint a 2006/2004/EK rendelet és a 2009/22/EK irányelv módosításáról szóló, 2013. május 21-i 524/2013/EU európai parlamenti és tanácsi rendelet alkalmazásának kivételével a vállalkozás a meghallgatáson egyezség létrehozatalára feljogosított személy részvételét biztosítani köteles. Az online meghallgatáson a vállalkozás egyezség létrehozására feljogosított képviselője köteles online részt venni. Ha a fogyasztó személyes meghallgatást kér, a vállalkozás egyezség létrehozására feljogosított képviselője köteles legalább online részt venni a meghallgatáson.
13.20. Amennyiben a Fogyasztó nem fordul békéltető testülethez, vagy az eljárás nem vezetett eredményre, úgy a Fogyasztónak a jogvita rendezése érdekében lehetősége van bírósághoz fordulni. A pert keresetlevéllel kell megindítani, amelyben az alábbi információkat kell feltüntetni:
• az eljáró bíróságot;
• a feleknek, valamint a felek képviselőinek nevét, lakóhelyét és perbeli állását;
• az érvényesíteni kívánt jogot, az annak alapjául szolgáló tényeknek és azok bizonyítékainak előadásával;
• azokat az adatokat, amelyekből a bíróság hatásköre és illetékessége megállapítható;
• a bíróság döntésére irányuló határozott kérelmet .
A keresetlevélhez csatolni kell azt az okiratot, illetve annak másolatát amelynek tartalmára bizonyítékként hivatkozik.
SZERZŐI JOGOK
14.1. Miután a https://szkhome.hu, mint weboldal szerzői jogi műnek minősül, tilos a https://szkhome.hu weboldalon megjelenő tartalmak vagy azok bármely részletének letöltése (többszörözése), újra nyilvánossághoz történő közvetítése, más módon való felhasználása, elektronikus tárolása, feldolgozása és értékesítése a Szolgáltató írásos hozzájárulása nélkül - kivéve a jogi dokumentumokat, hiszen Felhasználó az ÁSZF-et és az adatkezelési tájékoztatót bárminemű feltétel és korlátozás nélkül is letöltheti, azokat bármely formában tárolhatja.
14.2. A https://szkhome.hu weboldalról és annak adatbázisából bármilyen információt, képi- vagy szövegmegjelenést, tartalmi elemet, a weboldal megjelenési formáját és jellegét átvenni írásos hozzájárulás esetén is csak az adott weboldalra való hivatkozással lehet.
14.3.. A Szolgáltató fenntartja minden jogát szolgáltatásának valamennyi elemére, a domain-neveire, az azokkal képzett másodlagos domain nevekre valamint az internetes reklámfelületeire.
14.4. Tilos a https://szkhome.hu weboldal tartalmának, illetve egyes részeinek adaptációja vagy visszafejtése; a felhasználói azonosítók és jelszavak tisztességtelen módon történő létesítése; bármely olyan alkalmazás használata, amellyel a https://szkhome.hu weboldalon vagy azok bármely része módosítható vagy indexelhető.
14.5. A https://szkhome.hu név szerzői jogi védelmet élvez, felhasználása a hivatkozás kivételével kizárólag a Szolgáltató írásos hozzájárulásával lehetséges.
14.6. Felhasználó tudomásul veszi, hogy a felhasználási engedély nélküli felhasználás esetén Szolgáltatót kötbér illeti meg. A kötbér összege képenként bruttó 60.000 Ft, szavanként bruttó 20.000 Ft, illetve 40.000 Ft/nap. A szerzői jogi jogsértés esetén Szolgáltató közjegyzői ténytanúsítást alkalmaz, melynek összegét szintén a jogsértő felhasználóra hárítja.
Elállási nyilatkozat minta
(csak a szerződéstől való elállási szándék esetén töltse ki és juttassa vissza)
Címzett: Sz & K Bau Kft., 2310 Szigetszentmiklós, Széna utca 12., info@szkhome.hu, +36 30 188 8524; +36 30 186 4285
Alulírott kijelentem hogy gyakorlom elállási/felmondási jogomat az alábbi termék/ek adásvételére:
Megrendelés időpontja /átvétel időpontja:
Fogyasztó(k) neve:
Fogyasztó(k) címe:
A fogyasztó(k) aláírása (kizárólag írásban történő értesítés esetén):
Dátum:
4 hetes Facebook nyereményjáték szabályzat
SZK Home-4 hetes Facebook nyereményjáték szabályzat
1. A nyereményjáték szervezője
SZK Home (www.szkhome.hu)
2. A játék időtartama
2026. 03. 03.– 2026. 03. 24. A játék 4 héten keresztül zajlik, minden kedden új nyereménnyel.
3. Részvételi feltételek
A játékban részt vehet minden 18. életévét betöltött, cselekvőképes személy aki követi a SZK Home Facebook-oldalát és kommentben jelzi részvételi szándékát az adott heti posztnál („Játékban!”).A poszt megosztása nem kötelező, azonban a szervező örömmel veszi, és a megosztók extra eséllyel vesznek részt a sorsoláson.
4. A nyeremények
1.hét: Arctörlő,törölköző 30x30cm
2.hét: 2db műanyag pohár
3.hét: Csörgő
4.hét: Peppa kirakó
5. Sorsolás
A szervező hetente egy nyertest sorsol ki.A sorsolásra minden héten hétfői napon kerül sor,véletlenszerű kiválasztás útján.
A nyerteseket kommentben és privát üzenetben értesítjük.
6. Adatkezelés
A játék során megadott adatokat kizárólag a nyeremény átadásához használjuk fel.Az adatokat harmadik félnek nem adjuk át.
7. Felelősségi nyilatkozat
A játék nem a Facebook által szervezett, támogatott vagy jóváhagyott promóció.A résztvevők adataikat a szervező részére adják meg, nem a Facebooknak.
Adatkezelési szabályzat
|
|
|
|
Adatkezelő
Sz & K Bau Kft Adószám: 32169872-2-13 Székhely: 2310 Szigetszentiklós Széna utca 12 Üzlet címe: 2310 Szigetszentiklós Petőfi utca 70 |
Adatvédelmi és adatbiztonsági szabályzat - Belső eljárásrend
hatályos: 2025.09.01
|
Tartalomjegyzék
- Bevezető rendelkezések. 3
- Fogalmak. 3
- Az alkalmazandó jogszabályok kijelölése. 6
- A szabályzat célja és hatálya. 7
- Az adatkezelés elvei 7
- Az adatkezelések szabályai 8
- Az adatkezelés lehetséges jogalapjai 9
- Az érintettek jogai 12
- Érdekmérlegelés és az érdekmérlegelési teszt elvégzése. 19
- A Társaság adatvédelmi rendszere. 19
- Adatbiztonsági szabályok. 21
- Adatvédelmi incidens. 24
- Adatvédelmi oktatás. 27
- Adatkezelési tevékenységek nyilvántartása. 27
- Adatfeldolgozókra vonatkozó szabályok. 28
- Adatvédelmi hatásvizsgálat 29
- Általános adatvédelmi alapvetések. 30
- Záró rendelkezések. 31
Minta – Adatkezelési tájékoztató és folyamatleírás a GDPR 13. cikk szerint 34
Minta – Adatkezelési tájékoztató és folyamatleírás a GDPR 14. cikk szerint 37
Az érintett hozzáférési jogának gyakorlása esetén adott válasz - minta. 40
Az érintett tájékoztatása a rá vonatkozó adat helyesbítéséről - minta. 42
Táblázat az érintetti jogok gyakorolhatóságáról 43
Adatvédelmi érdekmérlegelési teszt minta. 44
Jogosultságkezelési nyilvántartólap. 48
Jogosultságkezelési megrendelőlap. 49
Szerverszoba kulcsfelvételi joggal rendelkező személyek nyilvántartása. 50
Szerverszoba kulcsfelvételi engedély. 51
Adatvédelmi incidens jelentő lap - Minta. 52
Adatvédelmi incidens-nyilvántartó lap - Minta. 53
Adatvédelmi incidens értesítési lista. 54
Adatvédelmi hatásvizsgálat elkészítéséhez használatos segédanyag. 67
Adatmegsemmisítési jegyzőkönyv - minta. 70
Adatkezelő megnevezése:
Adatkezelő cégjegyzékszáma:
Adatkezelő adószáma:
Adatkezelő székhelye:
Adatkezelő e-elérhetősége:
Adatkezelő képviseletére jogosult:
Adatkezelő adatvédelmi tisztviselője:
Adatkezelő adatvédelmi tisztviselőjének e-elérhetősége:
1.1. A Szabályzatban használt rövidítések:
GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Infotv.: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
Társaság vagy Adatkezelő:
NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság
Szabályzat: jelen, kihirdetett Adatvédelmi és adatbiztonsági szabályzat
1.2. Bár a GDPR az Adatkezelő számára kifejezetten adatvédelmi szabályzatalkotási kötelezettséget nem ír elő, ám a GDPR 24. cikk (2) bekezdése és (78) preambulumbekezdése, valamint a NAIH NAIH/2018/1212/2/K és NAIH/2018/1594/2/K ügyszámú adatvédelmi reformmal kapcsolatos állásfoglalásai alapján az Adatkezelő úgy döntött, hogy a nagyszámú adatkezelési tevékenysége okán a belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából jelen Adatvédelmi és adatbiztonsági szabályzatban (a továbbiakban: Szabályzat) határozza meg az adatvédelmi és adatbiztonsági szabályait.
1.3. A Szabályzat rendelkezéseit az Adatkezelő többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent e Szabályzat és bármely más, jelen Szabályzat hatálybalépése előtt hatályba lépett szabályzat, utasítás előírásai között, úgy abban az esetben e Szabályzat rendelkezései az irányadóak.
1.4. Amennyiben ellentmondás áll fent e Szabályzat és bármely más, jelen Szabályzat hatálybalépése után hatályba lépő szabályzat vagy utasítás előírásai között, úgy csak abban az esetben nem e Szabályzat rendelkezései az irányadóak, ha a később hatályba lépő szabályzat vagy utasítás arról kifejezetten rendelkezik.
A Szabályzatban használt fogalmak megegyeznek a GDPR 4. cikkében meghatározott értelmező fogalommagyarázatokkal, figyelemmel az Infotv. 2. § (2) bekezdésében foglaltakra.
- Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.).;
- Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.).;
- Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokra, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.).;
- Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.).;
- Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.).;
- Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.).;
- Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:
- tájékoztatás joga,
- hozzáférési jog,
- helyesbítéshez való jog,
- törléshez való jog,
- adatkezelés korlátozhatóságához való jog,
- adathordozhatósághoz való jog,
- tiltakozáshoz való jog.;
- Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés).;
- Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.).;
- Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.).;
- Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.).;
- Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.).;
- Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.).;
- Adatkezelés korlátozásához való jog:
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. [GDPR 18. cikk. (1)].
Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.).;
- Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.).;
- Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.).;
- Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.).;
- Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.).;
- Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.).;
- EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.).;
- Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.).;
- Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.).;
- Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.).;
- Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.).;
- Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.).;
- A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása: 1) adattovábbítás megfelelőségi határozat alapján, 2) adattovábbítás megfelelő garanciák alapján, 3) megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR által biztosított” az eltérés lehetősége különös helyzetekben alapján történhet (GDPR 44-50. cikk).;
- Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.).;
- Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.).;
- Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is (GDPR 4. cikk 18.).;
- Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások (GDPR 4. cikk 19.).;
- Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.).;
(Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.)
- Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
- az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy
- panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.).;
- Személyes adatok határokon átnyúló adatkezelése:
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket (GDPR 4. cikk 23.).;
- Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.).;
- Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.).
Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen Szabályzat megalkotásakor a GDPR és az Infotv.) fogalommagyarázatai eltérnek jelen Szabályzat fogalommagyarázataitól, akkor a jogszabályok által meghatározott fogalmak az irányadók.
3. Az alkalmazandó jogszabályok kijelölése
A GDPR az Európai Parlament és a Tanács rendelete, amely így teljes egészében kötelező és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamban, így Magyarországon is.
Magyarország Alaptörvényének E) cikke kimondja, hogy az Európai Unió joga megállapíthat általánosan kötelező magatartási szabályt, így a Szabályzat megalkotása és alkalmazása során a szabályok elsődlegesen a GDPR-ból fakadnak.
Abban az esetben, ha a GDPR szabályainak megfelelő módon magyar jogszabály – elsősorban az Infotv., de speciális adatkezelések esetében ágazati jogszabályok – részletszabályokat alkot meg, akkor az Adatkezelő ezeket a szabályokat is alkalmazza.
Abban az esetben, amennyiben az adatkezelés nem esik a GDPR hatálya alá, úgy az Infotv. szabályait alkalmazza az Adatkezelő.
4. A szabályzat célja és hatálya
Az Adatkezelő a Szabályzat megalkotásával és elérhetővé tételével biztosítja a GDPR III. fejezetében meghatározott érintetti jogokat azzal, hogy meghatározza az adatvédelmi elvek gyakorlati megvalósulását és az Adatkezelő által folytatott adatvédelmi folyamatokat. A Szabályzat meghatározza az Adatkezelő által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott személyes adatokat, azok forrását, az adatkezelés célját, jogalapját, időtartamát, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevét, címét és az adatkezeléssel összefüggő tevékenységét, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapját és címzettjét.
A Szabályzat további célja, hogy egységes szerkezetbe foglalja az Adatkezelőnél az adatkezelésben résztvevő dolgozók számára az Adatkezelő minden adatkezelési folyamatát.
A Szabályzattal az Adatkezelő biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.
A Szabályzat személyi hatálya kiterjed minden olyan személyre, aki az Adatkezelővel fennálló, így különösen munka-, adatfeldolgozói-, megbízási jogviszonya alapján (továbbiakban: az Adatkezelő munkatársa) személyes adatokhoz hozzáfér, vagy azok birtokába jut.
A Szabályzat tárgyi hatálya kiterjed az Adatkezelőnél megvalósuló minden folyamatra, melynek során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése történik.
A jelen Szabályzat időbeli hatálya annak kihirdetésétől visszavonásáig tart. Jelen Szabályzat hatályba lépésével egyidejűleg a ………………… napjától hatályos Adatvédelmi és adatbiztonsági szabályzat hatályát veszti.
5.1. Az Adatkezelő az adatkezelés során az alábbi alapelvek alapján szervezi folyamatait:
5.1.1. jogszerűség, tisztességes eljárás és átláthatóság elve [GDPR 5. cikk (1) a)]: Az Adatkezelő személyes adatot csak jogszerűen és tisztességesen kezel, az adatkezelést az érintett számára átlátható módon, többek között jelen Szabályzat törzsszövegéből és egyes releváns adatkezelési tevékenységre készített adatkezelési tájékoztató nyilvánosságra hozatalával végzi.
5.1.2. célhoz kötöttség elve [GDPR 5. cikk (1) b)]: Az Adatkezelő minden esetben, ha személyes adatot kezel, az adat felvétele előtt meghatározza a személyes adat kezelésének célját, amely így előre meghatározott, egyértelmű és jogszerű. Személyes adatot az Adatkezelő az előre meghatározott céllal össze nem egyeztethető módon nem kezel. Amennyiben teljesült az adatkezelés célja és jogszabály nem írja elő kötelezően az adat további kezelését, úgy a személyes adatot az Adatkezelő törli.
5.1.3. adattakarékosság elve [GDPR 5. cikk (1) c)]: Az Adatkezelő az adatkezelés során csak olyan személyes adatot kezel, amely a cél eléréséhez megfelelő és releváns, az Adatkezelő az adatkezelést csak a cél eléréséhez szükséges minimum adatmennyiségre korlátozza.
5.1.4. pontosság elve [GDPR 5. cikk (1) d)]: Az Adatkezelő törekszik rá, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek és a jelen Szabályzatban foglalt módon törekszik rá, hogy a pontatlan személyes adatokat haladéktalanul törölje vagy – az érintett kérelmére vagy tudomására jutása esetén saját hatáskörben – helyesbítse.
5.1.5. korlátozott tárolhatóság elve [GDPR 5. cikk (1) e)]: Az Adatkezelő személyes adatot csak úgy tárol, hogy a személyes adat érintettje csak az adatkezelés céljának eléréséig azonosítható az adatkezelés során, a személyes adatok ennél hosszabb ideig történő tárolását csak jogszabály kötelező előírása alapján végzi az Adatkezelő.
5.1.6. integritás és bizalmasság elve [GDPR 5. cikk (1) f)]: Az Adatkezelő az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet.
5.1.7. elszámoltathatóság elve [GDPR 5. cikk (2)]: Az Adatkezelő az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy az adatkezelés bármely pillanatában képes legyen a jelen pontban foglalt elveknek való megfelelést igazolni.
6.1.1. Az Adatkezelő kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
6.1.2. Az Adatkezelő személyes adatot csak és kizárólag a GDPR 6. cikkében foglalt jogalapokkal, személyes adatok különleges kategóriáiba tartozó személyes adatot csak és kizárólag a GDPR 9. cikk (2) bekezdésében rögzített feltétel fennállása mellett kezel.
6.1.3. A konkrét adatkezelési folyamattal érintett jogosultság vagy kötelezettség keletkezhet az Adatkezelő, az érintett vagy harmadik fél oldalán is.
6.1.4. Az Adatkezelő kezelésében lévő személyes adat az adatkezelés során mindaddig megőrzi személyes adat minőségét, amíg belőle az érintett azonosított vagy azonosítható. Az Adatkezelő akkor tekint egy adatot személyes adatnak, amennyiben rendelkezik azzal a technikai feltétellel, amely segítségével képes az adatból azonosítani az érintettet.
6.1.5. Az Adatkezelő csak úgy folytat adatkezelést, hogy az minden szakaszában megfelel az adatkezelési célnak.
6.1.6. Az Adatkezelő jelen Szabályzat vagy a konkrét adatkezelési folyamatleírás és tájékoztatás nyilvánosságra hozatalával minden esetben közli az érintettel az adatkezelés célját, az adatkezelés jogalapját, valamint az adatkezeléssel kapcsolatos, a GDPR 13-14. cikkében meghatározott tényeket.
6.1.7. Az Adatkezelő munkaszervezési, fizikai, informatikai és jogosultságkezelési eszközökkel gondoskodik arról, hogy illetéktelen személyek a személyes adatokat ne ismerhessék meg.
6.1.8. Az Adatkezelő munkatársai és az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek munkatársai és megbízottjai (alvállalkozói) kötelesek az adatkezelés során megismert személyes adatokat titokként megőrizni.
6.2. A személyes adatokkal kapcsolatos titoktartási szabályok
6.2.1. A személyes adatok egyetlen része vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt, kivéve, ha a személyes adat közérdekből nyilvános adatként történő nyilvánosságra hozatalát jogszabály írja elő.
6.2.2. Az Adatkezelő munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.
6.2.3. Személyes adatról papíralapú vagy elektronikus másolat csak abban az esetben készíthető, ha azt az adatkezelés folyamata szükségessé teszi vagy jogszabály előírja.
6.2.4. Ha az Adatkezelő valamely munkatársa a Szabályzatot megszegi, az Adatkezelő és közte lévő jogviszony jellegétől függően felelősséggel tartozik.
6.2.5. Ha a Szabályzatot az Adatkezelővel munkaviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a munkaviszony ellátásra vonatkozó általános (a mindenkori munka törvénykönyvéről szóló, a Szabályzat kiadásakor a munka törvénykönyvéről szóló 2012. évi I. törvény) vagy speciális jogszabály munkaviszonyból származó kötelezettségének megszegésével okozott kárra vonatkozó szabályok szerint felel.
6.2.6. Ha a Szabályzatot az Adatkezelővel egyéb jogviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a mindenkori Polgári törvénykönyv (a Szabályzat kiadásakor a Polgári Törvénykönyvről szóló 2013. évi V. törvény) károkozásért való felelősségre vonatkozó szabályok szerint felel.
6.2.7. A személyes adatokkal kapcsolatos titoktartási nyilatkozat a Szabályzat 1. sz. melléklete.
7. Az adatkezelés lehetséges jogalapjai
7.1.1. Az adatkezelés jogalapját az Adatkezelő minden adatkezelési folyamatnál meghatározza. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) bekezdése határoz meg, különleges adatok kezelésének tilalma alóli feloldás feltételeit a 9. cikk (2) bekezdése határozza meg.
7.1.2. Az Adatkezelő az adatkezelési rendszerét úgy alakítja ki, hogy minden személyes adatra vonatkozóan bizonyítani tudja, hogy mikor, milyen formában történt a személyes adat felvétele és milyen tájékoztatást kapott az érintett a személyes adat felvételekor.
7.1.3. A személyes adatok különleges kategóriáiba tartozó személyes adatot főszabály szerint az Adatkezelő nem kezel, kivéve abban az esetben, amennyiben bizonyítani tudja a 7.3. pontban foglalt valamely körülmény fennállását.
7.2. Az adatkezelés lehetséges jogalapjai személyes adatok esetében
7.2.1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
7.2.2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
7.2.3. Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
7.2.4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek[1] védelme miatt szükséges.
7.2.5. Az adatkezelés közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
7.2.6. Az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
7.2.7. Az Adatkezelő a GDPR 6. cikk (1) bekezdés e) pontban nevesített, az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához kapcsolódóan, e jogalappal adatkezelést nem végez.
7.3. Körülmények, feltételek, amelyek esetén az Adatkezelő személyes adatok különleges kategóriáiba tartozó adatokat kezelhet
7.3.1. Az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy a hatályos magyar jog úgy rendelkezik, hogy a tilalom az érintett hozzájárulásával sem oldható fel.
7.3.2. Az adatkezelés az Adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy hatályos magyar jog lehetővé teszi.
7.3.3. Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni.
7.3.4. Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.
7.3.5. Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
7.3.6. Az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy a hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
7.3.7. Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy hatályos magyar jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, amennyiben az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, akire szakmai titoktartási kötelezettség hatálya alatt áll.
7.3.8. Az adatkezelés a népegészségügy területét érintő közérdekből szükséges.
7.3.9. Az adatkezelés közérdekű archiválás, tudományos és történelmi kutatási vagy statisztikai célból szükséges olyan uniós vagy hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
7.4. Hozzájárulás, mint jogalapra vonatkozó különleges szabályok
7.4.1. Amennyiben az adatkezelés az érintett hozzájárulásán alapul, úgy az érintett a hozzájárulását bármilyen bizonyítható módon megadhatja, így írásban (nyilatkozaton, dokumentumon), szóban és ráutaló magatartással is.
7.4.2. Az Adatkezelő nem tesz különbséget a hozzájárulások között azok formáját tekintve, a hozzájárulások formái egyenértékűek, de fenntartja magának a jogot, hogy egyes adatkezelések esetén a hozzájárulás egyes formáit kizárja.
7.4.3. Az Adatkezelő minden adatkezelési folyamatát úgy határozza meg jelen Szabályzat kiadásakor és minden, a későbbiekben bevezetendő adatkezelés esetén, hogy amennyiben annak jogalapja az érintett hozzájárulása, úgy képes legyen annak bizonyítására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
7.4.4. A 7.4.3. pontban foglaltakat elsősorban úgy tesz eleget az Adatkezelő, hogy elsődlegesen írásban szerzi be az érintett hozzájárulását, amelyet így az írásbeliséggel tud igazolni.
7.4.5. Amennyiben az Adatkezelő a ráutaló magatartást vagy a szóbeliséget is elfogadja a hozzájárulás jogalapjául, úgy az adatkezelés minden körülményét megvizsgálja és dokumentálja, hogy utóbb is igazolni tudja a hozzájárulást.
7.4.6. Az Adatkezelő az adatkezelései során lehetőség szerint minden egyes személyes adatnál feltünteti, hogy a hozzájárulás:
- mikor érkezett (dátum),
- milyen formában történt (írásban/szóban/ráutaló magatartással),
- milyen cselekmény eredménye, ha ez értelmezhető (például: feliratkozás / jelentkezés / kapcsolatfelvétel / stb.).
7.4.7. Az Adatkezelő biztosítja a jogot arra is, hogy az érintett ugyanúgy, ahogy a hozzájárulást megadta, a hozzájárulását visszavonja. A ráutaló magatartással megtett hozzájárulás visszavonását csak írásban fogadja el az Adatkezelő.
7.4.8. Az Adatkezelő a visszavonás tényét az adatkezelés során rögzíti, az adatot a továbbiakban nem kezeli, de az adat helyét „a hozzájárulás visszavonva” jelzéssel jelöli meg.
7.4.9. A 7.4.8. pont szerinti megjelölés tartalmazza hozzájárulás visszavonására vonatkozó, a 7.4.6. pont szerinti értelemszerű adatokat.
7.5. Szerződéses jogviszonyra, mint jogalapra vonatkozó különleges szabályok
7.5.1. Ha az adatkezelés jogalapja az Adatkezelővel írásban kötött szerződés megkötését megelőzően lépések tétele vagy teljesítése, úgy a szerződésnek minimálisan tartalmaznia kell az arra való utalást, hogy az adatkezelés a jelen Szabályzat szerint történik.
7.5.2. Csak akkor alkalmazható 7.2.2. szerinti jogalap, ha az szerződés egyik szerződő fele az érintett.
7.6. Jogi kötelezettségre, mint jogalapra vonatkozó különleges szabályok
7.6.1. Amennyiben az adatkezelés jogalapja az adatkezelőre vonatkozó jogi kötelezettség, úgy e jogi kötelezettséget csak és kizárólag az Európai Unió vagy Magyarország hatályos és alkalmazandó jogszabályának kell megállapítania.
7.6.2. Jogi kötelezettséget az Infotv. 5. § (3) bekezdése alapján csak törvény vagy önkormányzati rendelet állapíthat meg, amennyiben azonban a jogi kötelezettség más jogforrási szinten elhelyezkedő normában vannak leszabályozva, az Adatkezelő nem tekinthet el az alkalmazásától.
7.6.3. Amennyiben a 7.6.2.-ben megjelölt jogszabály adja az adatkezelés jogalapját, úgy azt csak akkor alkalmazza az Adatkezelő, amennyiben megfelel az Infotv. 5. § (3) bekezdés előírásának, így nem csak az adatkezelés kötelezettségét határozza meg, hanem a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát is.
7.6.4. Amennyiben az Adatkezelő az adatkezelése során jogalapként a jogi kötelezettséget határozza meg, úgy a 8.1.5. szerinti adatkezelési tájékoztatóban és folyamatleírásban az Adatkezelő megnevezi a jogi kötelezettséget előíró jogszabályt annak nevével és a kötelezettséget előíró pontos jogszabályi hely megjelölésével.
7.7. Létfontosságú érdekre, mint jogalapra vonatkozó különleges szabályok
7.7.1. Az Adatkezelő természetes személy létfontosságú érdekére hivatkozó, 7.2.4. pont szerinti jogalappal akkor végez adatkezelést, ha az adott adatkezelés egyéb jogalappal nem végezhető.
7.7.2. Az elszámoltathatóság elve miatt a 7.7.1. szerinti előírás szerint az Adatkezelő az adatkezelés megkezdése előtt köteles megvizsgálni, hogy a személyes adat kezelése megvalósítható-e bármely más jogalappal.
7.7.3. Ugyancsak az elszámoltathatóság elvéből fakadóan az Adatkezelőnek tudnia kell bizonyítania a létfontosságú érdek fennálltát.
7.8. Közérdekű feladatra, mint jogalapra vonatkozó különleges szabályok
7.8.1. Az Adatkezelő tevékenysége: webáruház üzemeltetés.
A fenti pontban taglalt szolgáltatás nem minősül a Szabályzat 7.2.5. pontban meghatározott közérdekű vagy közhatalmi jogosítvány gyakorlásának, így az Adatkezelő által végzett adatkezelések nem végezhetők a Szabályzat 7.2.5. pontjában meghatározott jogalappal.
7.9. Jogos érdekre, mint jogalapra vonatkozó különleges szabályok
7.9.1. Az Adatkezelő a 7.2.6. pontban foglalt jogalap alkalmazása esetén az adatkezelés megkezdése előtt az érintettek magánszférájának, érdekeinek és alapvető jogainak biztosítása érdekében a 9. pont szerinti érdekmérlegelési tesztet végez el.
7.9.2. A konkrét adatkezelési folyamat során az Adatkezelő megfelelő tájékoztatást nyújt az érintettek számára az adatkezelés jogalapjáról.
7.9.3. A 7.2.6. pontban foglalt jogalapot a szükségesség-arányosság elve alapján alkalmazza az Adatkezelő, ha az adatkezeléssel elérendő cél más jogalappal nem megvalósítható és az érintett magánszférájának korlátozása arányban áll az elérendő céllal.
7.9.4. Az érdekmérlegelési tesztet az érintett – kérelmére – bármikor megismerheti.
8.1. Az érintett tájékoztatása az adat felvételéhez kapcsolódóan a GDPR 13. és 14. cikk szerint.
8.1.1. Abban az esetben, amennyiben az adatkezelés során a személyes adatokat az Adatkezelő közvetlenül az érintettől szerzi meg, úgy a személyes adatok megszerzésének időpontjában - a jelen Szabályzat 2. sz. mellékletében foglalt minta segítségével - az alábbiakról tájékoztatja az érintettet:
- az Adatkezelő pontos megnevezése, elérhetőségei,
- az Adatkezelő adatvédelmi tisztviselőjének elérhetősége(i),
- az adatkezelés célja,
- az adatkezelés jogalapja,
- amennyiben az adatkezelés célja az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése, úgy az Adatkezelő vagy a harmadik fél jogos érdekének megnevezése,
- amennyiben az Adatkezelő a személyes adatokat az adatkezelés során harmadik fél számára átadja, a személyes adatok címzettjei, illetve (vagy) a címzettek kategóriái,
- a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatóságához való jogáról,
- a hozzájárulás visszavonására irányuló jog gyakorlásának szabályai,
- a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról,
- annak ténye, hogy a személyes adat kezelése szolgáltatása jogszabályon, szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele és az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg,
- az automatizált döntéshozatal ténye, valamint legalább az ennek során alkalmazott logika és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
8.1.2. Amennyiben az Adatkezelő a személyes adatot nem közvetlenül az érintettől szerzi meg - a jelen Szabályzat 3. sz. mellékletében foglalt minta segítségével - az alábbiakról tájékoztatja az érintettet:
- az Adatkezelő pontos megnevezése, elérhetőségei,
- az Adatkezelő adatvédelemi tisztviselőjének elérhetősége(i),
- az adatkezelés célja,
- az adatkezelés jogalapja,
- a kezelt személyes adatok kategóriái,
- amennyiben az Adatkezelő a személyes adatokat az adatkezelés során harmadik fél számára átadja, a személyes adatok címzettjei, illetve (vagy) a címzettek kategóriái,
- a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
- amennyiben az adatkezelés célja az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése, úgy az Adatkezelő vagy a harmadik fél jogos érdekének megnevezése,
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatóságához való jogáról,
- a hozzájárulás visszavonására irányuló jog gyakorlásának szabályai,
- a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról,
- a személyes adat forrása,
- amennyiben az adatok harmadik forrásból való gyűjtését jogszabály írja elő, úgy a konkrét jogszabályi hely megjelölése,
- a személyes adat az Adatkezelő általi megszerzésének időpontja,
- amennyiben az Adatkezelő által folytatott ügyben van szükség a személyes adatokra, úgy a konkrét ügy ügyszámmal vagy egyéb módon történő megjelölése,
- annak ténye, hogy a személyes adat nyilvánosan hozzáférhető forrásból származik-e,
- az automatizált döntéshozatal ténye, valamint legalább az ennek során alkalmazott logika és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
8.1.3. Amennyiben az Adatkezelő az adatkezelése során az adatot nem közvetlenül az érintettől szerzi meg, az érintettet az alábbi időpontban tájékoztatja:
- a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül,
- ha az Adatkezelő a személyes adatokat az érintettel való kapcsolattartás céljára használja, az érintettel való első kapcsolatfelvétel alkalmával vagy
- ha az Adatkezelő az adatokat várhatóan más címzettel is közli, legkésőbb a személyes adatok első alkalommal való közlésekor.
8.1.4. Ha az Adatkezelő a személyes adatot nem közvetlenül az érintettől szerzi meg, nem kell tájékoztatni, amennyiben:
- az érintett már rendelkezik az ezen pontokba foglalt információkkal,
- a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne,
- az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy a hatályos magyar jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről is rendelkezik, vagy
- a személyes adatoknak valamely uniós vagy a hatályos magyar jogban előírt szakmai titoktartási kötelezettség alapján bizalmasnak kell maradnia.
8.1.5. A tájékoztatást az Adatkezelő elsősorban a jelen Szabályzat mellékletét képező adatkezelési tájékoztatókkal/folyamatleírásokkal valósítja meg. Ezen tájékoztatókat, folyamatleírásokat az Adatkezelő minden olyan esetben elkészíti, amikor az érintettet tájékoztatnia kell az adatkezelésről. A tájékoztató, folyamatleírás nyilvánosságra hozatalának szabályai:
- a folyamatleírások/tájékoztatók a jelen Szabályzat szerint elkészített adatkezelési nyilvántartás elválaszthatatlan részét képezi,
- a folyamatleírás/tájékoztatók minden esetben az adatkezelés megkezdése előtt az érintett számára megismerhető kell, hogy legyen,
- minden olyan folyamat során, amikor az adat felvétele papíralapon történik, az adat felvételének helyén elérhetőnek kell lennie az adott folyamatleírásnak/tájékoztatónak,
- minden olyan folyamat során, amikor az adat felvétele technikai eszköz útján történik, a technikai eszköz segítségével elérhetőnek kell lennie a folyamatleírásnak/tájékoztatónak,
- minden olyan esetben, amikor az érintett ráutaló magatartással járul hozzá az adatkezeléshez, a folyamatleírásnak/tájékoztatónak a ráutaló magatartás megtételéül szolgáló helyen kell elérhetőnek lennie, hogy az érintett ennek tudatában járulhasson hozzá az adatkezeléshez,
- amennyiben feltételezhető, hogy az érintett maga fogja kezdeményezni az adatkezelést, ezen adatkezelések folyamatleírásai/tájékoztatói elérhetőnek kell lennie az Adatkezelő honlapján az érintett előzetes tájékoztatása érdekében,
- a tájékoztatókat úgy kell nyilvánosságra hozni, hogy az Adatkezelő minden esetben bizonyítani tudja, hogy az érintett azokat az adatkezelés megkezdése előtt megismerhette, így különösen online felületen történő adatfelvétel esetén egy ún. „check box” segítségével nyilatkoztatja az Adatkezelő, hogy az adatkezelés szabályait megismerte, elolvasta és azokat elfogadta, továbbá hozzájárulását adta.
Amennyiben az Adatkezelő az adatkezeléssel kapcsolatos tájékoztatót/folyamatleírást az érintettel megismerteti, úgy vélelmezi, hogy az érintett azt megismerte és elfogadta, adott esetben hozzájárulását adta.
8.2. Az érintett tájékoztatása a rá vonatkozó folyamatban lévő adatkezelésről („hozzáférési jog”)
8.2.1. Amennyiben az érintett a GDPR 15. cikke szerinti hozzáférési jogával kíván élni, úgy az Adatkezelő az alábbiakról tájékoztatja:
- az adatkezelés célja vagy céljai,
- az érintett személyes adatok kategóriái,
- azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat az Adatkezelő már közölte vagy a jövőben közölni fogja,
- a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
- a helyesbítési jog gyakorlásának szabályai,
- a törlési jog gyakorlásának szabályai,
- az adatkezelés korlátozására irányuló jog gyakorlásának szabályai,
- a tiltakozási jog gyakorlásának szabályai,
- a Nemzeti Adatvédelmi és Információszabadság Hatósághoz való panasz benyújtásának joga,
- ha a személyes adatok forrás nem az érintett, a forrásra vonatkozó minden elérhető információ,
- amennyiben az adatkezelés automatizált döntéshozatalon alapszik, úgy ennek ténye, valamint az alkalmazott logikára és arra vonatkozó érthető információk.
8.2.2. Az Adatkezelő a 8.2.1. szerinti tájékoztatás (4. sz. melléklet szerinti minta formanyomtatvány) során az adatkezelés tárgyát képező személyes adatok másolatát az érintett kérelmére az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel.
8.2.3. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett máshogy kéri.
8.2.4. Az Adatkezelő egyetlen munkatársa sem ad tájékoztatást az Adatkezelő által kezelt konkrét személyes adatról telefonos úton.
8.3. Az érintett helyesbítéshez való joga
8.3.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.
8.3.2. Amennyiben az érintett személyes adatának helyesbítését kéri és nem áll rendelkezésre a személyes adat, amelyre a már kezelt adatot helyesbíteni kell, hiánypótlásra hívja fel az Adatkezelő az érintettet.
8.3.2. Amennyiben az érintett személyes adatának helyesbítését kéri és a személyes adat rendelkezésre áll, az Adatkezelő a személyes adatot helyesbíti és azzal egyidőben írásban tájékoztatja az érintettet a helyesbítés tényéről és időpontjáról az 5. sz. melléklet szerinti formanyomtatvány felhasználásával.
8.4. Az érintett törléshez való joga („az elfeledtetéshez való jog”)
8.4.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
- az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
- a személyes adatokat jogellenesen kezelték,
- a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,
- a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
8.4.2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a 8.4.1. pontban írtak szerint törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
8.4.3. A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.
8.4.4. A személyes adatot az Adatkezelő olyan módon törli, hogy helyreállítása többé ne legyen lehetséges.
8.4.5. Amennyiben a személyes adat a személyes adatot hordozó adathordozóról nem törölhető, az Adatkezelő a személyes adat adathordozóját köteles megsemmisíteni.
8.4.6. Amennyiben az érintett olyan személyes adatot kíván töröltetni, amely hiányában az érintett és az Adatkezelő közötti jogviszony nem tartható fenn, a jogviszony megszűnik. Erről azonban a törlés előtt az Adatkezelő tájékoztatja az érintettet és amennyiben törlési kérelmét fenntartja, a törlés megtörténik. A törlési kérelem fenntartásának minősül, ha a tájékoztatás kézbesítésétől számított 3 napon belül az érintett törlési kérelmét nem vonja vissza.
8.4.7. A személyes adat törlésére vagy az adathordozó megsemmisítésre az alábbi szabályok közül a felsorolásban előbb szereplő szabályt kell alkalmazni. Amennyiben az alkalmazandó szabály az adott személyes adatra nézve nem értelmezhető, a felsorolásban soron következő szabályt kell alkalmazni:
- a személyes adat kezelésének megszüntetésére vonatkozó kötelező jogszabályi előírás,
- az Adatkezelő iratkezelési szabályzatának a személyes adatot hordozó papíralapú dokumentum megsemmisítésére vonatkozó előírás,
- a Szabályzat konkrét adatkezelésre vonatkozó, adattörlési vagy adatmegsemmisítési GDPR szerinti adattörlési, vagy adatmegsemmisítési szabálya.
8.5. Az adatkezelés korlátozásához fűződő érintetti jog
8.5.1. Az érintett kérelmezheti az Adatkezelőnél a rá vonatkozóan az Adatkezelő által tárolt személyes adatok megjelölését jövőbeli kezelésük korlátozása céljából.
8.5.2. Az Adatkezelő az érintett kérelmére akkor korlátozza az adatkezelést, amennyiben az alábbi feltételek egyike fennáll:
- az érintett kérelmében vitatja a rá vonatkozó személyes adatok pontosságát, ebben az esetben a korlátozás arra az időtartamra vonatkozik, ameddig az Adatkezelő ellenőrzi a személyes adatok pontosságát,
- az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
- bár az Adatkezelőnek az adatkezelés megkezdése előtt meghatározott cél eléréséhez már nincs szüksége a személyes adat kezelésére, de az érintett kérelmében igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
- az érintett a 8.6. pont alapján az tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
8.5.3. Amennyiben a személyes adat kezelését korlátozza az Adatkezelő, úgy a korlátozás időtartama során csak az érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve a valamely tagállam fontos közérdekéből lehet kezelni.
8.5.4. A 8.5.3. pont nem vonatkozik az adat tárolására, mint adatkezelési műveletre, azt a korlátozás alatt is köteles megtenni az Adatkezelő.
8.5.5. Amennyiben az adatkezelés korlátozását az Adatkezelő feloldja, a korlátozás feloldása előtt legkésőbb három (3) munkanappal korábban a korlátozás feloldásának tényéről írásban tájékoztatja azt az érintettet, akinek a kérésére a korlátozás megtörtént.
8.6. Tiltakozás a személyes adat kezelése ellen
8.6.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.
8.6.2. Az Adatkezelő a 8.6.1. szerinti tiltakozás esetén megvizsgálja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
8.6.3. Amennyiben az Adatkezelő a 8.6.2. szerinti vizsgálata során megállapítja, hogy a 8.6.2. pontban foglalt feltételek egyike sem érvényesül, a tiltakozással érintett személyes adatot nem kezeli tovább.
8.7. Az adathordozhatósághoz való érintetti jog gyakorlása
8.7.1. Amennyiben az adatkezelés jogalapja az érintetti hozzájárulása vagy 7.2.2. pont szerinti szerződésen alapul, úgy az érintett jogosult arra, hogy az általa az Adatkezelő részére átadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja.
8.7.2. Az Adatkezelő a 8.7.1. szerinti megfelelést elsősorban .xml, .csv, .txt, .xls vagy .doc formátumban teljesíti a kérelemmel érintett személyes adatok jellegétől függően.
8.7.3. Az érintett kérelmezheti továbbá az Adatkezelőtől, hogy az általa kezelt személyes adatokat egy másik, az érintett által egyértelműen megjelölt adatkezelőnek továbbítsa.
8.7.4. E pontban foglalt jog nem illeti meg az érintettet, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges, valamint, ha ez a jog hátrányosan érintené mások jogait és szabadságait.
8.8. Jogorvoslat
8.8.1. Az érintett a GDPR 77. cikk (1) bekezdése alapján az Adatkezelő adatkezelési eljárásával kapcsolatos panasszal a NAIH-hoz fordulhat.
8.8.2. Az érintett a GDPR 79. cikk (1) bekezdése szerint az Adatkezelő adatkezelési eljárásával kapcsolatos jogsértés miatt a lakóhelye vagy tartózkodási helye szerint illetékes törvényszékhez fordulhat.
8.9. Az érintett jogainak érvényesítése az Adatkezelő adatkezelései során
8.9.1. Az Adatkezelő annak érdekében, hogy az érintettek érintetti jogaikkal élhessenek, jelen pontban rögzíti az érintetti joggyakorlással kapcsolatos jogokat, kötelezettségeket és eljárási szabályokat.
8.9.2. Az Adatkezelő minden esetben törekszik arra, hogy az érintettnek adott tájékoztatása minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.
8.9.3. Az Adatkezelő az érintettnek adott minden tájékoztatást főszabály szerint írásban tesz meg, ideértve az elektronikus utat is.
8.9.4. Amennyiben az érintett kéri a személyes szóbeli tájékoztatást, úgy személyazonossága igazolását követően az Adatkezelő erre felhatalmazott munkatársa a tájékoztatást szóban is megadhatja.
8.9.5. Az Adatkezelő az érintett számára tájékoztatást csak és kizárólag abban az esetben nyújt, ha az Adatkezelő erre felhatalmazott munkatársa meggyőződött az érintett személyazonosságáról.
8.9.6. Az érintett személyazonosságáról való meggyőződésnek számít, ha az Adatkezelő erre felhatalmazott munkatársa előtt:
- az érintett személyazonosságát a hatályos magyar jog szerinti személyazonosság igazolására alkalmas okmány bemutatásával (így különösen, de nem kizárólagosan személyazonosító igazolvánnyal, útlevéllel, vezetői engedéllyel) igazolja,
- az érintett személyazonosságát az Európai Unió joga szerint személyazonosság igazolására alkalmas okmány bemutatásával igazolja,
- az érintett kérelme az Adatkezelő előtt már korábbi ügyből ismert, az érintetthez köthető e-mail címről érkezik,
- az érintett kérelme az Adatkezelő által biztosított, zárt, a megfelelő személyazonosítás megtörténte után használható csatornán érkezik.
8.9.7. Az Adatkezelő nem fogadja el a személyazonosítás telefonos úton történő egyetlen formáját sem, így az érintett telefonon nem kezdeményezheti az érintetti jogainak érvényesítését.
8.9.8. Amennyiben a személyazonosság igazolása nem történik meg, az Adatkezelő az érintetti joggyakorlási kérelmet elutasítja és egyben tájékoztatja az érintettet, hogy a Szabályzatban írtak szerint miként gyakorolhatja érintetti jogait.
8.9.9. Az Adatkezelő az érintettet a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintetti joggyakorlásra vonatkozó kérelme kapcsán tett intézkedésről.
8.9.10. Beérkezésnek az számít, ha az igényt az érintett:
- szóban személyesen az Adatkezelőnek személyazonosítást követően megteszi,
- az írásba foglalt igény az Adatkezelő elérhetőségére megérkezik.
8.9.11. Az egy hónapos határidőt az Adatkezelő maximum további két hónappal meghosszabbítja, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma azt indokolja.
8.9.12. A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül az Adatkezelő tájékoztatja az érintettet.
8.9.13. Amennyiben az Adatkezelő nem intézkedik az érintett kérelmére, úgy az érintett a 8.8. pontban foglalt jogorvoslati jogával élhet az Adatkezelő ellen.
8.9.14. Az Adatkezelő a tájékoztatást és intézkedéseket díjmentesen végzi.
8.9.15. A tájékoztatás és intézkedés megtételéréért az Adatkezelő felelős vezetője felelős a szakterületek által szolgáltatott adatok alapján az adatvédelmi tisztviselő közreműködésével.
8.9.16. A tájékoztatást a felelős vezető teszi meg.
8.9.17. A tájékoztatásra vonatkozó adatok birtokában lévő szakterület köteles a felelős vezetővel együttműködni, számára előzetesen írásban minden információt, adatot megadni a tájékoztatás teljesítéséhez.
Az adatkezelés során az érintett - az egyes jogalapoktól függően – a GDPR alapján a 6.számu mellékletben megjelöltek szerint élhet
9. Érdekmérlegelés és az érdekmérlegelési teszt elvégzése
9.1. A jogos érdekre, mint jogalapra való hivatkozás (7.9. pont) esetén a 7. sz. melléklet felhasználásával elkészített érdekmérlegelési tesztnek sorrendben az alábbiakra kell kiterjednie:
- a kezelni kívánt személyes adat meghatározása,
- annak a személynek a meghatározása, akinek a jogos érdekében az adatkezelés szükséges,
- a jogos érdek bemutatása,
- az adatkezelés céljának meghatározása,
- annak vizsgálata, hogy az adatkezelés feltétlenül szükséges-e a feltárt jogos érdek érvényesítéséhez,
- ha az adatkezelés szükséges a jogos érdek érvényesítéséhez, annak vizsgálata, hogy az érvényesíthető-e más, az érintett magánszféráját nem vagy kevésbé érintő folyamattal,
- ha a jogos érdek nem érvényesíthető más folyamattal annak vizsgálata, hogy az adatkezelés esetén az érintett érdekei, alapjogai mennyiben korlátozódnak vagy sérülnek,
- a jogos érdek és az érintetti alapjogi korlátozás összevetése,
- az érdekmérlegelési teszt eredménye,
- az érdekmérlegelési teszt elvégzésének dátuma,
- amennyiben az érdekmérlegelési teszt eredményeként a személyes adat kezelhető, úgy az adatkezelési folyamat bevezetésének időpontjának meghatározása.
9.2. Amennyiben az érdekmérlegelési teszt eredményeként az Adatkezelő megállapítja, hogy az adatkezeléssel érintett jogos érdekkel szemben elsőbbséget élveznek az érintett érdekei és alapvető jogai, a 7.2.6. pontban foglalt (jogos érdek érvényesítése) adatkezelési jogalapot nem alkalmazza.
10. A Társaság adatvédelmi rendszere
10.1.1. Az Adatkezelő felelős vezetője az Adatkezelő sajátosságainak figyelembevételével e Szabályzatban határozza meg az adatvédelmi előírások megvalósításához szükséges feladat- és hatásköröket.
10.1.2. Az Adatkezelő minden adatkezelése felett a felügyeletet elsődlegesen a felelős vezető látja el. Feladatát a kinevezett vagy megbízott adatvédelmi tisztviselő támogatja.
Az Adatkezelő az adatvédelmi tisztviselő elérhetőségét közzéteszi honlapján, valamint bejelenti nevét és elérhetőségét a NAIH részére.
10.1.3. A Szabályzatban előírtak betartatásáért az Adatkezelő minden munkatársa felelős.
10.1.4. Mindenki köteles gondoskodni arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.
10.2. Hatáskörök az adatvédelemmel kapcsolatosan
A felelős vezető
- felelős az érintettek 8.2. pontban foglalt jogainak gyakorlásához szükséges feltételek biztosításáért,
- felelős az Adatkezelő által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért,
- felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért,
- felügyeli az adatvédelmi tisztviselő tevékenységét,
- belső adatvédelmi vizsgálatot rendelhet el,
- kiadja az Adatkezelő adatvédelemmel és adatbiztonsággal kapcsolatos belső szabályzatait,
- különösen súlyos törvénysértés esetén a munkajogi szabályok alapján fegyelmi eljárást indít a személyes adatot jogszabálysértő módon kezelő személy ellen.
- feladatait a kijelölt dolgozóra delegálhatja.
- segítséget nyújt az érintett jogainak biztosításában;
- jogosult a Szabályzat betartását ellenőrizni,
- kezeli az adatkezelési tevékenységek és egyéb nyilvántartást, és az adatkezelések nyilvántartását szükség esetén módosítja vagy – új folyamat esetén – kiegészíti azt, különös tekintettel az adatvédelmi folyamatleírásokra;
- ellenőrzi a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását és az ellenőrzés tapasztalatairól tájékoztatja a felelős vezetőt,
- figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi a Szabályzat módosítását,
- közreműködik a NAIH-tól az Adatkezelőhöz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett eljárás során, együttműködik a NAIH-al, kapcsolattartói pontként szolgál a NAIH felé,
- általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé,
- kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés vagy annak veszélyének észlelése esetén annak megszüntetésére hívja fel az Adatkezelőt vagy az adatfeldolgozót,
- javaslatot tesz a szükséges intézkedésekre az ellenőrzési tapasztalatai és az adatvédelmi előírások megszegéséről készült jegyzőkönyvek alapján,
- felügyeli a külső szervezetektől érkező személyes adatokat érintő megkeresések teljesítését,
- gondoskodik az adatvédelmi ismeretek oktatásáról,
- közreműködik, valamint segítséget nyújt az adatkezeléssel kapcsolatos döntések meghozatalában,
- szükség esetén felvilágosítást nyújt az Adatkezelő munkatársai számára adatvédelmi kérdésekben,
- véleményezi az Adatkezelő által kiadandó szabályzatok azon részeit, amelyek adatvédelmi kérdést érintenek,
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- ellátja a jogszabályok által ráruházott adatvédelemmel kapcsolatos feladatokat.
Az informatikáért felelős személy adatvédelemmel kapcsolatos feladatai:
- ellátja a rendszergazdai feladatokat,
- ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására,
- a közreműködik a dolgozók egyéni kódjának, jelszavának, jogosultságának beállításában azon számítógépek, szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik,
- használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását),
- a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról,
- igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban,
- elvégzi a szervereken, számítógépeken tárolt adatok biztonsági mentését, naplózását,
- vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését,
- szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről,
- ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül,
- üzemzavar esetén elvégzi az informatikai rendszerek újraindítását, a hálózat alkalmazásainak és adatainak a visszatöltését,
- folyamatosan üzemelteti a számítógépes hálózatot,
- igény esetén segítséget nyújt a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél,
- ellátja az informatikai biztonság keretében az általánosan elvárt feladatokat, biztosítja az abban foglaltak teljesítését.
Az adatkezelésben érintett munkatársak
- kötelesek a Szabályzat és a vonatkozó jogszabályok előírásai szerint kezelni a személyes adatokat,
- felelősek feladatkörükben eljárva a személyes adatok a Szabályzat és vonatkozó jogszabályok szerinti kezeléséért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért,
- amennyiben szükséges, előzetesen egyeztetnek a felettesükkel és az adatvédelmi tisztviselővel a személyes adatok kezelését érintő ügyekben,
- a tudomásukra jutott adatkezeléssel kapcsolatos jogsértésekről, incidensről haladéktalanul tájékoztatják a felettesüket.
11.1. Az Adatkezelő, illetőleg tevékenységi körében az Adatkezelő által megbízott, kijelölt adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, valamint a Szabályzat érvényre juttatásához szükségesek.
11.2. Az Adatkezelő az adatbiztonsági folyamatait úgy alakítja ki, hogy azok a személyes adatokat megvédjék a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen.
11.3. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR, valamint az adatkezelésre vonatkozó külön törvények keretei között az Adatkezelő határozza meg. Az általa adott utasítások jogszerűségéért az Adatkezelő felel.
11.4. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
11.5. A papíralapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza:
- az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók,
- a dokumentumokat jól zárható, száraz, tűzvédelmi és adott esetben vagyonvédelmi berendezéssel ellátott helyiségben helyezi el,
- a személyes adatokat tartalmazó iratokhoz csak az illetékesek férhetnek hozzá,
- az Adatkezelő adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja,
- az Adatkezelő adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja,
- amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza az Adatkezelő.
11.6. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket és garanciális elemeket alkalmazza:
- az adatkezelés során használt számítógépek, szerver az Adatkezelő tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír,
- a számítógépen, szerveren található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről az Adatkezelő utasítása szerint a dolgozó rendszeresen, illetve indokolt esetben gondoskodik,
- az adatokkal történő műveletek naplózásra kerülnek,
- a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak a belső hálózatból van lehetőség hozzáférni, hozzáférésre az arra kijelölt személyeknek van megfelelő jogosultsággal,
- amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető,
- az Adatkezelő a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el,
- a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentés készül, a mentés időzített,
- a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik,
- a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését,
- a szerverek külön erre a célra létesített zárt helyiségben lettek elhelyezve, a szerverhez kijelölt dolgozó férhet hozzá.
A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti az Adatkezelőt a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez.
Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, jogosultságok módosítása, megszűnése) dokumentálni kell.
A személyes adatok biztonsága érdekében az Adatkezelő az alábbi jogosultságkezelési előírásokat alkalmazza:
- Alapelvek
- Új jogosultság beállítását, illetve jogosultság megváltoztatását a felelős vezető felhatalmazása alapján az informatikusi feladatokat ellátó munkatárs végzi.
- A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat kell kiosztani.
- El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek.
- Adminisztrátori jogosultsággal rendelkező, nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő felelős vezetője vagy akadályoztatása esetén a helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
- Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkezhet.
11.8. Jogosultságkezelési folyamat
A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen.
A jogosultság kiosztása, annak módosítása és törlése a rendszergazda feladatokat ellátó informatikai feladatot ellátó feladata a felelős vezető utasításra.
A jogosultság igényléshez, módosításhoz, törléséhez az informatikai feladatot ellátó részére címzett, aláírt „Jogosultságkezelési megrendelőlapot” is lehet alkalmazni. Jogosultságot, vagy a dolgozó felettese igényelhet dolgozójának, vagy a dolgozó saját magának, vezetői jóváhagyással. A jogosultságok változásáról (igénylés, módosítás, törlés) az informatikai feladatot ellátó nyilvántartást vezet.
A jogosultságkezelési nyilvántartó és megrendelőlap minta jelen Szabályzat 8/1. sz. és 8/2. sz. melléklete. A szerverszoba kulcsfelvételi nyilvántartó és engedélyező lap mintája jelen Szabályzat 9. sz. és 10. sz. melléklete.
11.9. Álnevesítés
Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel az Adatkezelő az ilyen további információt külön tárolja, technikai és szervezési intézkedések megtételével biztosítja, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
11.10. Oktatás és tréningrendszer
A munkatársak adatvédelmi és biztonságtudatossági képzése a hibák, támadások megelőzésében játszanak szerepet.
Nem elegendő az információbiztonsági rendelkezések és adatvédelmi, adatbiztonsági szabályozás megléte a szervezetben, az alkalmazottakban rendszeres képzések, tréningek során kell tudatosítani, hogy a kialakított szabályrendszer és az IT eszközök önmagukban nem képesek garantálni a szervezet számára az adat- és információbiztonságot, ehhez a napi munkatevékenységük során felelős magatartásukkal a dolgozóknak is hozzá kell járulniuk.
Az Adatkezelő dolgozóinak általános adatvédelmi-információbiztonsági tréningje évente (kapcsolható más rendszeres képzésekhez, tréningekhez, mint pl.: tűz- és munkavédelem) történik.
12.1. Adatvédelmi incidens észlelése és jelentése
12.1.1 Az Adatkezelő minden munkatársa köteles a tudomására jutott adatvédelmi incidenst haladéktalanul jelenteni a felelős vezetőnek és az adatvédelemi tisztviselőnek. A jelentésnek legalább az alábbi adatokat tartalmaznia kell:
- az adatvédelmi incidenst észlelő személy neve,
- amennyiben az adatvédelmi incidens észlelő és jelentő személy nem azonos, úgy az adatvédelmi incidenst jelentő személy nevét,
- az adatvédelmi incidens észlelésének időpontját (tudomásszerzés),
- az adatvédelmi incidens rövid leírását, valamint
- annak tényét, hogy az észlelt adatvédelmi incidens érinti-e az Adatkezelő informatikai rendszerét vagy sem.
Az adatvédelmi incidensről, amennyiben az informatikai rendszert érint, azonnal értesítik az adatvédelmi tisztviselőn túl az informatikai feladatokat ellátó dolgozót is, annak érdekében, hogy megkezdődhessen az adatvédelmi incidens kivizsgálása és értékelése.
12.1.2. Az adatvédelmi incidens jelentésének bizonyítható módon kell megtörténnie, ezért az Adatkezelő az adatvédelmi incidensek jelentésére formanyomtatványt rendszeresít (11/1. sz. melléklet). A jelentést a formanyomtatvány megfelelő kitöltésével, dátumozásával, aláírásával és iktatásával, belső levélként kell megküldeni a felelős vezetőnek és az adatvédelemi tisztviselőnek. Amennyiben elháríthatatlan okból kifolyólag az adatvédelmi incidenst észlelő vagy jelentő személy nem tudja írásban megtenni a jelentést, és ezért szóban tesz jelentést, úgy az adatvédelemi tisztviselő köteles erről jegyzőkönyvet felvenni, amelynek tartalmaznia kell a legalább az előző pont szerinti információkat. Az akadály megszűnését követően haladéktalanul az adatvédelmi incidenst észlelő vagy jelentő személy köteles a bejelentést írásban is megerősíteni, azaz a kitöltött formanyomtatványt utólag megküldeni az adatvédelmi tisztviselőnek.
12.1.3. A bejelentés érkezését követően az Adatkezelő vezetője és a kivizsgálásba bevont adatvédelmi tisztviselő, munkatársak haladéktalanul megkezdik az adatvédelmi incidens kivizsgálását és értékelését. A kivizsgálásban és értékelésben valamennyi érintett (pl. dolgozó) együttműködni köteles.
12.2. Adatvédelmi incidens kivizsgálása
12.2.1. Az adatvédelmi incidens kivizsgálását végző személyek (különösen felelős vezető, adatvédelmi tisztviselő, munkatársak, informatikai feladatot ellátó) megvizsgálják a jelentést és amennyiben szükséges, a bejelentőtől, a munkatársaktól további adatokat kérnek az incidensre vonatkozóan.
12.2.2. Az Adatkezelő az alábbi információkat (amennyiben azok a jelentésből nem derülnek ki) lehetőségéhez mérten köteles felderíteni:
- az adatvédelmi incidens bekövetkezésének időpontja és helye,
- az adatvédelmi incidens által érintett adatok köre,
- az adatvédelmi incidenssel érintett személyek köre és száma.
12.2.3. Ezen adatokból az Adatkezelő az adatvédelemi tisztviselő bevonásával összegzést készít az adatvédelmi incidens várható hatásairól és cselekvési tervet készít a következményeinek enyhítése érdekében, az érintett szakterületek szakmai véleményei és javaslatai figyelembevételével.
12.2.4. Az adatvédelmi incidenssel érintett munkatársak kötelesek együttműködni az adatvédelemi tisztviselővel.
12.2.5. A vizsgálatot legkésőbb az adatvédelmi incidens bekövetkezésének tudomásra jutástól számított 72 órán belül amennyiben lehetséges be kell fejezni, és bejelenteni a NAIH részére egészben vagy részletekben, amennyiben valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve.
12.3. Adatvédelmi incidens értékelése
12.3.1. Az Adatkezelő az adatvédelmi incidenseket három kategóriába sorolja:
- kategória: valószínűsíthetően kockázattal nem járó incidens.
- kategória: valószínűsíthetően alacsony kockázattal járó incidens.
- kategória: valószínűsíthetően magas kockázattal járó incidens.
12.3.2. Az Adatkezelő az adatvédelmi incidenst az alábbi szempontok szerint értékeli:
- az adatkezelő típusa,
- az incidens típusa (bizalmassági, integritási vagy elérhetőségi),
- a személyes adatok jellege/típusa (személyes adat / különleges kategória/bűnügyi adat),
- a személyes adatok érzékenysége (gyermek, kiszolgáltatott személy),
- a személyes adatok száma,
- az érintett személyek száma,
- az érintett természetes személyek kategóriái,
- az érintett természetes személyek azonosíthatósága,
- az érintett adatkezelés jogalapja,
- az adatkezelés jellege, típusa
- automatizált adatkezeléssel hozott döntés jellemzően magasabb kockázatú
- pontozással, értékeléssel járó adatkezelés
- érintett módszeres megfigyelése
- a természetes személyre nézve fennálló következmények valószínűsége és súlyossága,
- Érintettet érintő esetleges hátrányos jogkövetkezmények értékelése
- vagyoni kár
- hátrányos megkülönböztetés
- kirekesztés
- egyéb magánjellegű jogkövetkezmények
- érintett nem rendelkezhet az adataival
- személyazonossággal visszaélés kockázata
- joggyakorlás korlátozottsága/elvesztése
- üzleti hátrány, bevételkiesés,
- Adatkezelő és érintett közötti viszonyrendszer
- érintettnek tartozása áll fenn az adatkezelővel szemben
- munkaviszony megszüntetéssel érintettek adatkezelése (azonnali hatályú felmondással került megszüntetésre a munkaviszony)
- folyamatos konfliktus az érintett-adatkezelő között.
12.3.3. Az Adatkezelő az incidens értékelése során az alábbi konkrét szempontok alapján értékeli:
- az incidensben érintett adatok között találhatóak a személyes adatok különleges kategóriáiba eső adatok,
- az incidensben érintett személyes adatok száma nagy,
- az incidensben érintett természetes személyek között találhatóak kiskorú természetes személyek,
- az incidensben érintett természetes személyek száma nagy,
- az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre (így különösen lakcím, telefonszám, e-mail cím)
- az incidensben érintett adatkezelés jogalapja 7.2.4. szerinti jogalap,
- az incidensben érintett adatkezelés jogalapja 7.2.5. szerinti jogalap,
- az incidensben érintett adatkezelés jogalapja 7.2.6. szerinti jogalap,
- a személyes adatok alkalmasak az érintett természetes személy személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
- az incidensben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.
12.3.4. Az incidenst az Adatkezelő „1. kategória: valószínűsíthetően kockázattal nem járó incidens” -nek minősíti, ha:
- a 12.3.3. pontban felsorolt feltételek közül legfeljebb kettő áll fenn és
- az Adatkezelő képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.
12.3.5. Az incidenst az Adatkezelő „2. kategória: valószínűsíthetően alacsony kockázattal járó incidens” -nek minősíti, ha:
- a 12.3.3. pontban felsorolt feltételek közül egy áll fenn és
- az Adatkezelő nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.
12.3.6. Az incidens az Adatkezelő „3. kategória: valószínűsíthetően magas kockázattal járó incidens” -nek minősíti, ha:
- a 12.3.3. pontban felsorolt feltételek közül legalább kettő áll fenn és
- az Adatkezelő nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.
12.3.7. Abban az esetben, ha a kockázat besorolására az Adatkezelő felügyeleti hatósága vagy az Európai Adatvédelmi Testület útmutatást ad ki, az Adatkezelő a 12.3. pontot felülvizsgálja.
12.4. Adatvédelmi incidens bejelentése a NAIH-nak:
12.4.1. Amennyiben az Adatkezelő a 12.3.5. szerint 2. kategóriába vagy a 12.3.6. szerint 3. kategóriába tartozónak minősíti, úgy az adatvédelmi tisztviselő az értékelés megtörténtét követően, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens az Adatkezelő tudomására jutott, az adatvédelmi incidenst bejelenti a NAIH-nak.
12.4.2. A NAIH-nak történő bejelentésnek tartalmaznia kell:
- az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
- az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
- az adatvédelmi incidens jellegét, körülményeit,
- az adatvédelemi tisztviselő nevét és elérhetőségét,
- az adatvédelmi incidens valószínűsíthető következményeit és
- az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.
12.5. Az érintettek tájékoztatása az adatvédelmi incidensről
12.5.1. Amennyiben az adatvédelmi incidens veszélyességének súlyossága valószínűsíthetően magas kockázattal jár az érintett személyek jogaira nézve, az Adatkezelő a kockázatértékelés elvégzését követően azonnal tájékoztatja az adatvédelmi incidensben érintetteket.
12.5.2. Az érintettek írásban elektronikus vagy postai úton kell tájékoztatni, amely kizárólag akkor mellőzhető, ha az érintett elérhetősége ismeretlen.
12.5.3. Az érintetteket úgy kell tájékoztatni minden esetben, hogy annak ténye, tartalma és a tájékoztatott érintetti kör bizonyítható legyen.
12.6. Helyesbítő-megelőző intézkedések bevezetése
12.6.1. A 12.2. pont szerinti vizsgálat eredménye, valamint az incidens kivizsgálásába bevont szakterületek észrevételei, javaslatai alapján az adatvédelmi tisztviselő javaslatot tesz a felelős vezetőnek helyesbítő és/vagy megelőző intézkedések bevezetésére a hasonló adatvédelmi incidensek megelőzése érdekében.
12.6.2. A javasolt helyesbítő és/vagy megelőző intézkedések bevezetéséről a felelős vezető dönt.
12.7. Az adatvédelmi incidens nyilvántartása
12.7.1. Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet a Szabályzat 11/2. sz. melléklete szerinti nyilvántartó-minta alkalmazásával.
12.7.2. A nyilvántartás tartalmazza:
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját,
- az adatvédelmi incidens körülményeit,
- az adatvédelmi incidens hatásait,
- az elhárítására megtett intézkedéseket,
- az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket.
12.8. Az adatvédelmi értesítési lista jelen Szabályzat 11/3. sz. melléklete.
13.1. Az Adatkezelő évente legalább egy alkalommal oktatást szervez az adatvédelmi tudatosság emelése érdekében, amelyen kötelesek részt venni az Adatkezelő dolgozói. Az adatvédelmi oktatásnak legalább az alábbi témákra kiterjed:
- az előző oktatás óta eltelt időszak tapasztalatai az adatvédelem területén,
- amennyiben az előző oktatás óta módosult a Szabályzat, a módosítással kapcsolatos legfontosabb tudnivalók,
- az esetlegesen megtörtént adatvédelmi incidens bemutatása, értékelése, a helyesbítő-megelőző intézkedések ismertetése,
- az adatvédelem területén történt általános változások, jogszabály módosítások, Magyarországon és az Európai Unióban, különös tekintettel a hatóságok bírságolási gyakorlatára.
13.2. Az Adatkezelőnél rendkívüli oktatást tart – amennyiben az indokolt – az alábbi esetekben:
- adatvédelmi incidens megtörténte,
- marasztalással záruló NAIH-eljárás lefolytatása az Adatkezelővel szemben,
- adatvédelmi bírság kiszabása bármely, hasonló vagy azonos feladatot ellátó jogi személy ellen, ha eltérő gyakorlatot igényel az Adatkezelő adatvédelmi rendszerében.
14. Adatkezelési tevékenységek nyilvántartása
14.1. Az Adatkezelő minden általa végzett adatkezelési tevékenységről nyilvántartást vezet.
14.2. A 14.1. szerinti nyilvántartást az Adatkezelő elektronikusan vezeti.
14.3. A 14.1. szerinti nyilvántartás legalább a következő információkat tartalmazza:
- az Adatkezelő neve és elérhetősége,
- az Adatkezelő adatvédelmi tisztviselőjének neve és elérhetősége,
- az adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása jelen Szabályzat vagy egyéb, technikai és szervezési intézkedéseket tartalmazó egyéb belső szabályzat vonatkozó pontjára való utalással,
- adatkezelésenként:
- adatkezelés célja(i),
- az érintettek kategóriái,
- a személyes adatok kategóriái,
- olyan címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közli, vagy várhatóan közölni fogja,
- a különböző adatkategóriák törlésére előirányzott határidők, ha lehetséges,
- az adatkezelési tájékoztatót/folyamatleírást.
14.4. Az adatkezelési nyilvántartást az adatvédelmi tisztviselő tartja naprakészen és módosítja szükség esetén.
14.5. Az adatkezelési nyilvántartás naprakészsége biztosítása érdekében a munkatársak, az általuk végzett adatkezelési folyamatban bekövetkező változásokat (módosítás, megszűnés stb.) vagy általuk tervezett új adatkezelési műveletet a tervezett változás vagy a bevezetés előtt legkésőbb 5 munkanappal kötelesek írásban bejelenteni a felelős vezetőnek és az adatvédelmi tisztviselőnek.
14.6. Az adatvédelmi tisztviselő a 14.5. szerinti bejelentés alapján gondoskodik:
- az adatkezelés 14. pont szerinti nyilvántartásban való átvezetéséről, adatkezelési tájékoztató és folyamatleírás elkészítéséről,
- szükség esetén a 16. pontban foglalt hatásvizsgálat lefolytatásáról.
15. Adatfeldolgozókra vonatkozó szabályok
15.1. Az Adatkezelő csak és kizárólag olyan adatfeldolgozót vesz igénybe bármely adatkezelési folyamata során, aki, vagy amely megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfeleléséről és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtásáról.
15.2. Az Adatkezelő minden adatfeldolgozójával adatfeldolgozói írásbeli szerződést köt, amely legalább az alábbi kérdéseket tisztázza:
- az adatkezelést, amelybe az Adatkezelő az adatfeldolgozót bevonta,
- az adatfeldolgozó által ellátott adatkezelői tevékenységet,
- az adatfeldolgozás időtartamát, jellegét és célját,
- az adatfeldolgozásra átadott adatok típusát,
- az adatfeldolgozással érintett érintettek kategóriáit,
- az adatkezelő jogait és kötelezettségeit,
- az adatfeldolgozó jogait és kötelezettségeit.
15.3. Az Adatkezelő csak olyan adatfeldolgozóval köt szerződést adatfeldolgozói feladatra, aki a 15.2. pont szerinti szerződésben vállalja, hogy:
- a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli,
- az általa személyes adatok feldolgozásában résztvevő személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,
- biztosítja a GDPR 32. cikk szerinti adatbiztonsági szabályokat,
- adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vesz igénybe,
- az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett 8. pontban foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,
- adatvédelmi incidens esetén az incidens tudomására jutása pillanatában azonnal értesíti az Adatkezelőt és együttműködik az adatvédelmi incidens 12. pont szerinti kezelésében,
- az adatfeldolgozási szolgáltatásának nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az Adatkezelőnek, valamint a személyes adatokról készült másolatokat ezzel egyidőben megsemmisíti vagy törli,
- lehetővé teszi és elősegíti, hogy az Adatkezelő ellenőrizhesse az adatvédelmi szabályok megvalósulását,
- vezeti a GDPR 30. cikk (2) bekezdése szerinti adatfeldolgozói nyilvántartást.
15.4. Az adatfeldolgozói szerződés minta a Szabályzat 12. sz. melléklete.
16. Adatvédelmi hatásvizsgálat
16.1. Az adatvédelmi hatásvizsgálat-köteles adatkezelések
16.1.1. Ha a Szabályzat hatályba lépését követően az Adatkezelő új adatkezelést kíván rendszerébe bevezetni, úgy jelen 16. pont szerint köteles megvizsgálni, hogy az adatkezelés megkezdése előtt köteles-e adatvédelmi hatásvizsgálatot lefolytatni.
16.1.2. Az Adatkezelő adatvédelmi hatásvizsgálatot köteles lefolytatni, ha az alábbi feltételek legalább egyike fennáll:
- az adatkezelés természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
- az adatkezeléssel érintett adatok száma nagy, a személyes adatok különleges kategóriáiba eső adat kezelését valósítja meg,
- az adatkezelés nyilvános helyek nagymértékű, módszeres megfigyelését valósítja meg,
- a 16.1.3. pontban sorolt feltételek közül az adatkezelésre legalább három szempont igaz,
- ha az Infotv. 25/G. (3) bekezdése alapján az adatkezelés magas kockázatát vélelmezni kell.
16.1.3. Az Adatkezelő a bevezetendő új adatkezelés hatásvizsgálat-kötelességét az alábbi szempontok alapján ítéli meg:
- az adatkezelésben érintett személyes adatok száma nagy,
- az adatkezelésben érintett természetes személyek között találhatóak kiskorú természetes személyek,
- az adatkezelésben érintett természetes személyek száma nagy,
- az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre (így különösen lakcím, telefonszám, e-mail cím)
- az adatkezelés jogalapja a 7.2.4. szerinti jogalap,
- az adatkezelés jogalapja a 7.2.5. szerinti jogalap,
- az adatkezelés jogalapja a 7.2.6. szerinti jogalap,
- az adatkezelésben érintett személyes adatok alkalmasak az érintett természetes személy személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
- az adatkezelésben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.
16.1.4. Abban az esetben, ha az Adatkezelő felügyeleti hatósága a már összeállított és nyilvánosságra hozott adatkezelések jegyzékét módosítja és nyilvánosságra hozza, amelyekre hatásvizsgálatot kell lefolytatni vagy összeállítja és nyilvánosságra hozza az olyan adatkezelések jegyzékét, amely esetben nem kell végezni, úgy a 16.1. pontot az Adatkezelő felülvizsgálja.
16.2. Az adatvédelmi hatásvizsgálat lefolytatása
16.2.1. Az adatvédelmi hatásvizsgálatnak ki kell terjednie:
- a tervezett adatkezelési művelet módszeres leírására és az adatkezelés céljainak ismertetésére,
- ha a tervezett adatkezelés jogalapja a 7.2.6. szerinti jogalap, akkor az Adatkezelő által érvényesíteni kívánt jogos érdekre,
- az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,
- az érintett jogait és szabadságait érintő kockázatok vizsgálatára és
- a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
16.2.3. Az adatvédelmi tisztviselő az adatkezelés bevezetését követő hat hónap elteltével köteles megvizsgálni, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
16.2.4. Az adatvédelmi hatásvizsgálat elvégzéséhez használatos segédanyag jelen szabályzat 13. sz. melléklete.
17. Általános adatvédelmi alapvetések
17.1. Személyazonosító igazolványok, okmányok kezelése
17.1.1. Az adatkezelés alapelvei, a szükségesség és a célhoz kötöttség elvének való megfelelés érdekében az Adatkezelő nem készít fénymásolatot személyazonosító igazolványokról, végzettséget igazoló dokumentumról, okmányokról.
Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján az Adatkezelő megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek.
17.1.2. Az Adatkezelő fenntartja magának a jogot, hogy az okmány érvényességét a https://www.nyilvantarto.hu/ugyseged/OkmanyErvenyessegLekerdezes.xhtml oldalon ellenőrizze.
17.2. Az érintettek értesítése elektronikus kapcsolattartás során
17.2.1. Abban az esetben, ha az Adatkezelő bármely munkatársa az érintett számára elektronikus levelet küld, az érintett elektronikus levélcímét köteles a küldés során úgy megjelölni, hogy az az elektronikus levél egyetlen címzettje számára se legyen látható. Ezt az Adatkezelő munkatársai elsősorban „titkos másolat”-tal történő címzéssel kötelesek megtenni, de az Adatkezelő kidolgozhat olyan üzenetküldő rendszert, amely alapvető beállításként, további emberi beavatkozás nélkül automatikusan így küldi meg az információt az érintettek számára.
17.2.2. Ez a szabály érvényes elsősorban, de nem kizárólagosan, hírlevél-listára történő levélírásra és az ügyintézés során használt elektronikus kapcsolattartásra.
17.3. A személyes adatok megsemmisítése
17.3.1. Abban az esetben, ha az Adatkezelő az általa kezelt személyes adatokat az adatkezelés szabályai alapján a továbbiakban nem kezelheti, köteles a személyes adatokat tartalmazó adathordozót megsemmisíteni, a megsemmisítés tényéről pedig jelen Szabályzat 14. sz. melléklete szerinti megsemmisítési jegyzőkönyvet felvenni.
17.3.2. A megsemmisítési jegyzőkönyv tartalmazza az alábbiakat:
- az adatmegsemmisítésért felelős munkavállaló azonosító adatait,
- a megsemmisítést engedélyező személy azonosító adatait,
- a megsemmisítés tárgya,
- az adathordozók száma legalább megközelítőlegesen,
- a megsemmisítéssel érintett adatkezelési folyamat megnevezése,
- az adatmegsemmisítés módja,
- a megsemmisítés időpont, helyszíne,
- a megsemmisítést ténylegesen lefolytató, illetve azon jelen lévők neve és aláírása (minimum három fő).
A Szabályzat személyi, tárgyi és időbeli hatályára a 4. pontban írt rendelkezések az irányadók.
Mellékleteknyilvántartás minták, adatkezelési folyamatleírások és tájékoztatók az adatkezelő adatvédelmi szabályzatához
- 1. sz. melléklet
Jelen nyilatkozatunkban megerősítjük abbeli megállapodásunkat és egyetértésünket, miszerint a ……………………………… által ……………………………. (név) (……………………………………….. - anyja neve, születési hely és idő) előtt az eddigiekben feltárt és a jövőben feltárandó bizonyos információk, így különösen üzleti tervek, kereskedelmi titkok, ügyfelek adatai és egyéb tulajdonosi információk, az Európai Parlament és a Tanács (EU) 2016/679 Rendelet hatálya alá tartozó személyes adatok (összefoglalóan: információk) bizalmas jellegűek.
……………………………………….. a nyilatkozat aláírásával elfogadja, hogy az ilyen információk egyetlen részét vagy töredékét sem teszi közzé, nem bocsátja rendelkezésre, vagy nem tárja fel más módon semmilyen harmadik fél előtt ………………………………….. felelős vezetőjének erre felhatalmazó előzetes írásbeli beleegyezése nélkül, kivéve, ha ezek az információk bizonyító erejű dokumentumokként nyilvánosságra bocsáthatók. Az ilyen információk nem tekintendők nyilvánosságra bocsáthatónak pusztán azért, mert ezekből további általános információkat lehet szerezni, vagy mert begyűjthetők egy vagy több forrásból is, vagy ha abból adódóan kerültek nyilvánosságra, mert megszegték a jelen nyilatkozatot, vagy harmadik személlyel vagy jogi személlyel kötött hasonló nyilatkozatokat.
Nyilatkozattevő beleegyezését adja, hogy mindent és minden ésszerű elővigyázatossági intézkedést megtesz annak érdekében, hogy szóban, írásos anyagban, vagy elektronikus adattároló eszközben vagy más módon feltárt ilyen információkat megfelelő védelemmel látja el bármely harmadik fél előtti jogosulatlan feltárással szemben, így különösen betartja a --------------------------------------. Adatvédelmi és adatbiztonsági szabályzatának irányadó rendelkezéseit. Beleegyezését adja ahhoz is, hogy egyetlen anyagról sem készít másolatot és az ilyen anyagok valamennyi másolatát kérésre azonnal visszaszolgáltatja.
Nyilatkozattevő elfogadja továbbá, hogy valamennyi ilyen információ jogosultja a ……………………. és hogy a ……….. folyamatos üzletvezetése érdekében mindezen információk bizalmas jellegűek, értékesek és nélkülözhetetlenek. Beleegyezését adja, hogy az ilyen információkat nem fogja felhasználni, kiaknázni és/vagy üzleti alapokra helyezni saját javára vagy bármely egyéb harmadik fél javára.
Jelen nyilatkozat aláírása nevezettet nem ruházza fel semmiféle jogosultsággal vagy egyéb joggal.
Jelen titoktartási nyilatkozat ……………………………………….. (dátum vagy konkrétan meghatározható esemény, így pl.: „munkaszerződés aláírásával”) lép életbe.
Jelen titoktartási nyilatkozaton megadott, az Európai Parlament és a Tanács (EU) 2016/679 Rendelet hatálya alá tartozó személyes adatot a ………………….. Adatvédelmi és adatbiztonsági szabályzata alapján kezeli.
Kelt: […………….], 20………………………
_________________________________ ______________________________
Nyilatkozattevő -------------------------------------
képviseletében
Minta – Adatkezelési tájékoztató és folyamatleírás a GDPR 13. cikk szerint
(amikor a személyes adatok az érintettől kerülnek gyűjtésre)
Adatvédelmi tájékoztató és folyamatleírás xXx adatkezelésről
A(z) [adatkezelő], a továbbiakban (Adatkezelő) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban GDPR) előírásai szerint ezúton tájékoztatja, jelen tájékoztatóval és folyamatleírással az Ön személyes adatai kezelésével kapcsolatos minden tényről. A folyamatban való részvétellel Ön, mint érintett a jelen folyamatleírás szerint válik az adatkezelés érintettjévé.
Az adatkezelő pontos megnevezése, elérhetőségei:
név: xXx
(rövid név: xXx)
székhely: xXx
postacím: xXx
honlap: xXx
központi e-mail cím: xXx
központi telefonszám: xXx
törvényes képviselő: xXx
Az adatkezelő adatvédelmi tisztviselőjének[2] neve és elérhetősége:
xXx
Az adatkezelés célja:
xXx
A kezelt adatok kategóriái:
Az adatkezelés jogalapja: (az alábbi felsorolásból egy választandó)
- a GDPR 6. cikk (1) bekezdés a) szerinti az érintett hozzájárulása
- a GDPR 6. cikk (1) bekezdés b) szerinti szerződés teljesítése vagy megkötése, amelyben az egyik fél az érintett (a szerződés típusának megnevezése, valamint annak megjelölése, hogy az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg)
- a GDPR 6. cikk (1) bekezdés c) szerinti jogi kötelezettség teljesítése (a konkrét jogszabályi hely megjelölésével)
- a GDPR 6. cikk (1) bekezdés d) szerinti létfontosságú érdek védelme (a létfontosságú érdek és az érintettjének megjelölése)
- a GDPR 6. cikk (1) bekezdés e) szerinti közérdekű jogosítvány gyakorlásának keretében végzett feladat végrehajtása (a közérdekű jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével)
- a GDPR 6. cikk (1) bekezdés e) szerinti, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása [a közhatalmi jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével az Infotv. 5. § (3) szerint]
- a GDPR 6. cikk (1) bekezdés f) szerinti jogos érdek érvényesítése (az Adatkezelő vagy a harmadik fél jogos érdekének megnevezésével)
Az adatszolgáltatás elmaradásának lehetséges következményei:
Az adatkezelésbe bevont adatfeldolgozók és az adatfeldolgozási művelet megjelölése:
Az Adatkezelő az adatkezelésbe adatfeldolgozót nem von be. / Az Adatkezelő az adatkezelésbe adatfeldolgozót bevon. xXx (adatfeldolgozó vagy kategóriái, és az általa végzett adatkezelési művelet vagy műveletek nevesítése)
Az adatkezelés során az adat az alábbi harmadik személyek részére, a megjelölt jogalappal kerül továbbításra:
(1. lehetséges verzió)
Az Adatkezelő az adatokat harmadik fél részére nem továbbítja, ám felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi Adatkezelőt, úgy Adatkezelő, jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.
(2. lehetséges verzió)
- címzett neve, az átadott adatok, az adat átadásának jogalapja
Az Adatkezelő azonban felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi az Adatkezelőt, úgy Adatkezelő, jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.
[ide sorolandó a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás is, ebben az esetben a GDPR 13. cikk (1) f) szerinti adatok is feltüntendőek]
A személyes adatok tárolásának időtartama:
xXx
Automatizált döntéshozatal ténye:
(1. lehetséges verzió) Az adatkezelés során automatizált döntéshozatal nem zajlik.
(2. lehetséges verzió) xXx [automatizált döntéshozatal bemutatása a GDPR 13. cikk (2) bekezdés f) alapján]
Az adatkezelés folyamatának leírása:
xXx
Adat eltérő célra történő felhasználásának ténye és az erre vonatkozó információk: [csak abban az esetben kell a tájékoztató részét képeznie, amennyiben az adatkezelő az adatot előreláthatólag az adat felvételekor meghatározottól eltérő célból is kívánja kezelni]
Adatbiztonsági intézkedése
Adatkezelő minden tőle elvárható szükséges intézkedést megtesz az adatok biztonsága érdekében, gondoskodik azok megfelelő szintű védelméről különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Adatkezelő az adatok biztonságáról megfelelő technikai és szervezési intézkedésekkel gondoskodik.
Adatkezelő a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
- az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
- hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
- változatlansága igazolható (adatintegritás);
- a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
Adatkezelő az adatkezelés során megőrzi:
- a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
- a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
- a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
Az érintetti joggyakorlásra vonatkozó szabályok:
Az Adatkezelő tájékoztatja, hogy a GDPR alapján Ön, személyazonosságának igazolását követően az alábbi jogérvényesítési lehetőségekkel élhet:
- kérheti tájékoztatását személyes adatai kezeléséről, (mindegyik jogalap esetén, kötelező elem)
- kérheti személyes adatainak helyesbítését, (mindegyik jogalap esetén, kötelező elem)
- visszavonhatja az adatkezeléshez adott hozzájárulását, [csak abban az esetben, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a), eshetőleges elem]
- kérheti személyes adatai törlését, amennyiben a GDPR 17. cikk (1) bekezdésében foglalt valamely feltétel fennáll, (mindegyik jogalap esetén, kötelező elem)
- kérheti személyes adatai kezelésének korlátozását, (mindegyik jogalap esetén, kötelező elem)
- élhet adathordozhatósághoz való jogával, [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) vagy b) és az adatkezelés automatizált módon történik, eshetőleges elem]
- tiltakozhat az adatkezelés ellen, [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) vagy f), eshetőleges elem]
- jogorvoslattal élhet.
Adatkezelő törekszik arra, hogy az Önnek adott tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.
Kérelmét elsősorban írásban terjesztheti be az adatvédelmi tisztviselőnek címzett, jelen tájékoztatóban feltüntetett elérhetősége(ke)n. Az igényt munkatársunk rögzíti és a kérelem beérkezésétől számított legkésőbb egy hónapon belül tájékoztatjuk Önt kérelmével kapcsolatosan. Ezt a határidőt maximum további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton tájékoztatjuk.
Amennyiben nem intézkedünk a kérelmére vagy az intézkedésünket nem fogadja el, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal Ön fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye, vagy tartózkodási helye szerinti törvényszékhez.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei
Cím: 1055 Budapest, Falk Miksa u. 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Telefonos ügyfélszolgálat: +36 (30) 683-5969 és +36 (30) 549-6838
A kérelmek benyújtásával kapcsolatban itt tájékozódhat: https://www.naih.hu
Minta – Adatkezelési tájékoztató és folyamatleírás a GDPR 14. cikk szerint
(amikor a személyes adatok nem az érintettől kerülnek gyűjtésre)
A(z) [adatkezelő], a továbbiakban (Adatkezelő) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban GDPR) előírásai szerint ezúton tájékoztatja, jelen tájékoztatóval és folyamatleírással Önt, hogy az adatkezelése részesévé vált.
Az adatok forrása: xXx
A kezelt adatok kategóriái: xXx
Az adatkezelés célja:
xXx
Az adatkezelő pontos megnevezése, elérhetőségei:
név: xXx
(rövid név: xXx)
székhely: xXx
postacím: xXx
honlap: xXx
központi e-mail cím: xXx
központi telefonszám: xXx
törvényes képviselő: xXx
Az adatkezelő adatvédelemi tisztviselő neve és elérhetősége:
xXx
Az adatkezelés jogalapja: (az alábbi felsorolásból egy választandó)
- a GDPR 6. cikk (1) bekezdés a) szerinti az érintett hozzájárulása
- a GDPR 6. cikk (1) bekezdés b) szerinti szerződés teljesítése vagy megkötése, amelyben az egyik fél az érintett (a szerződés típusának megnevezése, valamint annak megjelölése, hogy az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg)
- a GDPR 6. cikk (1) bekezdés c) szerinti jogi kötelezettség teljesítése (a konkrét jogszabályi hely megjelölésével)
- a GDPR 6. cikk (1) bekezdés d) szerinti létfontosságú érdek védelme (a létfontosságú érdek és az érintettjének megjelölése)
- a GDPR 6. cikk (1) bekezdés e) szerinti közérdekű jogosítvány gyakorlásának keretében végzett feladat végrehajtása (a közérdekű jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével)
- a GDPR 6. cikk (1) bekezdés e) szerinti, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása [a közhatalmi jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével az Infotv. 5. § (3) szerint]
- a GDPR 6. cikk (1) bekezdés f) szerinti jogos érdek érvényesítése (az Adatkezelő vagy a harmadik fél jogos érdekének megnevezésével)
Az adatkezelésbe bevont adatfeldolgozók és az adatfeldolgozási művelet megjelölése:
Az Adatkezelő az adatkezelésbe adatfeldolgozót nem von be. / Az Adatkezelő az adatkezelésbe adatfeldolgozót bevon. xXx (adatfeldolgozó vagy kategóriái, és az általa végzett adatkezelési művelet vagy műveletek nevesítése)
Az adatkezelés során az adat az alábbi harmadik személyek részére, a megjelölt jogalappal kerül továbbításra:
(1. lehetséges verzió)
Az Adatkezelő az adatokat harmadik fél részére nem továbbítja, ám felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi Adatkezelőt, úgy Adatkezelő, jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.
(2. lehetséges verzió)
- címzett neve, az átadott adatok, az adat átadásának jogalapja
Az Adatkezelő azonban felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi az Adatkezelőt, úgy Adatkezelő, jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.
[ide sorolandó a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás is, ebben az esetben a GDPR 13. cikk (1) f) szerinti adatok is feltüntendőek]
A személyes adatok tárolásának időtartama:
xXx
Automatizált döntéshozatal ténye:
(1. lehetséges verzió) az adatkezelés során automatizált döntéshozatal nem zajlik.
(2. lehetséges verzió) xXx [automatizált döntéshozatal bemutatása a GDPR 13. cikk (2) f) alapján].
Az adatkezelés folyamatának leírása:
xXx
Adat eltérő célra történő felhasználásának ténye és az erre vonatkozó információk: [csak abban az esetben kell a tájékoztató részét képeznie, amennyiben az adatkezelő az adatot előreláthatólag az adat felvételekor meghatározottól eltérő célból is kívánja kezelni]
Adatbiztonsági intézkedése
Adatkezelő minden tőle elvárható szükséges intézkedést megtesz az adatok biztonsága érdekében, gondoskodik azok megfelelő szintű védelméről különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Adatkezelő az adatok biztonságáról megfelelő technikai és szervezési intézkedésekkel gondoskodik.
Adatkezelő a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
- az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
- hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
- változatlansága igazolható (adatintegritás);
- a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
Adatkezelő az adatkezelés során megőrzi:
- a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
- a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
- a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
Az érintetti joggyakorlásra vonatkozó szabályok:
Az Adatkezelő tájékoztatja, hogy a GDPR alapján Ön, személyazonosságának igazolását követően az alábbi jogérvényesítési lehetőségekkel élhet:
- kérheti tájékoztatását személyes adatai kezeléséről, (mindegyik jogalap esetén, kötelező elem)
- kérheti személyes adatainak helyesbítését, (mindegyik jogalap esetén, kötelező elem)
- visszavonhatja az adatkezeléshez adott hozzájárulását, [csak abban az esetben, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a), eshetőleges elem]
- kérheti személyes adatai törlését, amennyiben a GDPR 17. cikk (1) bekezdésében foglalt valamely feltétel fennáll, (mindegyik jogalap esetén, kötelező elem)
- kérheti személyes adatai kezelésének korlátozását, (mindegyik jogalap esetén, kötelező elem)
- élhet adathordozhatósághoz való jogával, [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) vagy b) és az adatkezelés automatizált módon történik, eshetőleges elem]
- tiltakozhat az adatkezelés ellen, [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) vagy f), eshetőleges elem]
- jogorvoslattal élhet.
Adatkezelő törekszik arra, hogy az Önnek adott tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.
Kérelmét elsősorban írásban terjesztheti be az adatvédelmi tisztviselőnek címzett, jelen tájékoztatóban feltüntetett elérhetősége(ke)n. Az igényt munkatársunk rögzíti és a kérelem beérkezésétől számított legkésőbb egy hónapon belül tájékoztatjuk Önt kérelmével kapcsolatosan. Ezt a határidőt maximum további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton tájékoztatjuk.
Amennyiben nem intézkedünk a kérelmére vagy az intézkedésünket nem fogadja el, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal Ön fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye, vagy tartózkodási helye szerinti törvényszékhez.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei
Cím: 1055 Budapest, Falk Miksa u. 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Telefonos ügyfélszolgálat: +36 (30) 683-5969 és +36 (30) 549-6838
A kérelmek benyújtásával kapcsolatban itt tájékozódhat: https://www.naih.hu
- sz. melléklet
Az érintett hozzáférési jogának gyakorlása esetén adott válasz - minta
Tisztelt [xXx]!
Tájékoztatjuk, hogy [dátum] érkezett kérelme alapján, amelyben személyes adatainak kezeléséről szóló tájékoztatását kérte.
Az Adatkezelő az Önre nézve kezelt adat(ok)ra vonatkozóan az alábbi tájékoztatást adja:
(1) Az Adatkezelő Önre nézve adatot nem kezel. Ez alól kivételt képeznek a jelen hozzáférési jog érvényesítése során megadott adatai, amelyet a cél eléréséig kezel Társaságunk.
(2) Az Adatkezelő Önre nézve az alábbi adatokat az alábbiak szerinti kezeli:
Az adatkezelés célja:
xXx
Az érintett személyes adatok kategóriái:
xXx
Azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják:
xXx
A személyes adatok tárolásának időtartama:
xXx
Az adatok forrása:
Ön/xXx
Automatizált döntéshozatal ténye:
(1. lehetséges verzió) az adatkezelés során automatizált döntéshozatal nem zajlik.
(2. lehetséges verzió) xXx [automatizált döntéshozatal bemutatása a GDPR 13. cikk (2) f) alapján].
Az Adatkezelő tájékoztatja, hogy a GDPR alapján Ön, személyazonosságának igazolását követően az alábbi jogérvényesítési lehetőségekkel élhet:
- kérheti tájékoztatását személyes adatai kezeléséről, (mindegyik jogalap esetén, kötelező elem)
- kérheti személyes adatainak helyesbítését, (mindegyik jogalap esetén, kötelező elem)
- visszavonhatja az adatkezeléshez adott hozzájárulását, [csak abban az esetben, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a), eshetőleges elem]
- kérheti személyes adatai törlését, amennyiben a GDPR 17. cikk (1) bekezdésében foglalt valamely feltétel fennáll, (mindegyik jogalap esetén, kötelező elem)
- kérheti személyes adatai kezelésének korlátozását, (mindegyik jogalap esetén, kötelező elem)
- élhet adathordozhatósághoz való jogával, [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) vagy b) és az adatkezelés automatizált módon történik, eshetőleges elem]
- tiltakozhat az adatkezelés ellen, [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) vagy f), eshetőleges elem]
- jogorvoslattal élhet.
Adatkezelő törekszik arra, hogy az Önnek adott tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.
Kérelmét elsősorban írásban terjesztheti be az adatvédelmi tisztviselőnek címzett, jelen tájékoztatóban feltüntetett elérhetősége(ke)n. Az igényt munkatársunk rögzíti és a kérelem beérkezésétől számított legkésőbb egy hónapon belül tájékoztatjuk Önt kérelmével kapcsolatosan. Ezt a határidőt maximum további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton tájékoztatjuk.
Amennyiben nem intézkedünk a kérelmére vagy az intézkedésünket nem fogadja el, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal Ön fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye vagy tartózkodási helye szerinti törvényszékhez.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei
Cím: 1055 Budapest, Falk Miksa u. 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Telefonos ügyfélszolgálat: +36 (30) 683-5969 és +36 (30) 549-6838
A kérelmek benyújtásával kapcsolatban itt tájékozódhat: https://www.naih.hu
- sz. melléklet
Az érintett tájékoztatása a rá vonatkozó adat helyesbítéséről - minta
Tisztelt [xXx]!
Tájékoztatjuk, hogy [dátum] érkezett kérelme alapján, amelyben személyes adatának helyesbítését kérte [……………………..] az Adatkezelőtől. Az Adatkezelő az Önre nézve kezelt és az Ön által megjelölt adato(ka)t [dátum] helyesbítette.
A helyesbítő adat(ok): [xXx]
Az adatkezelési folyamat(ok), amely(ek)ben az adat helyesbítését kérte: [xXx]
A helyesbítést úgy végezte el az Adatkezelő, hogy a helyesbített adat a továbbiakban nem áll az Adatkezelő rendelkezésére, így annak adatkezelését megszüntettük, helyette – az eredeti célnak megfelelően a továbbiakban – a helyesbítő adatot kezeli a XXx
helység, …… év …… hó …… nap
- sz. melléklet
Táblázat az érintetti jogok gyakorolhatóságáról
Az adatkezelés során az érintett - az egyes jogalapoktól függően – a GDPR alapján a következő jogokat gyakorolhatja:
|
jogalap érintetti jog |
6. cikk (1) |
9. cikk (2) a) hozzájárulás |
|||||
|
a) hozzájárulás |
b) szerződés |
c) jogi kötelezettség |
d) létfontosságú érdek |
e) közhatalmi jogosítvány |
f) jogos érdek |
||
|
tájékoztatás |
igen |
igen |
igen |
igen |
igen |
igen |
igen |
|
hozzáférés |
igen |
igen |
igen |
igen |
igen |
igen |
igen |
|
helyesbítés |
igen |
igen |
igen |
igen |
igen |
igen |
igen |
|
törlés |
igen |
igen |
igen |
igen |
igen |
igen |
igen |
|
törlés: hozzájárulás visszavonás |
igen |
nem |
nem |
nem |
nem |
nem |
igen |
|
korlátozás |
igen |
igen |
igen |
igen |
igen |
igen |
igen |
|
tiltakozás |
nem |
nem |
nem |
nem |
igen |
igen |
nem |
|
adathordozhatóság |
igen |
igen |
nem |
nem |
nem |
nem |
igen |
Adatvédelmi érdekmérlegelési teszt minta
Érdekmérlegelési teszt – minta
|
Adatkezelő megnevezése: |
|
|
Adatkezelés megnevezése: |
|
|
Adatkezelés sorszáma: |
|
|
Az érdekmérlegelési teszt elvégzésnek dátuma: |
....(év) ………(hó) …(nap) |
|
Az érdekmérlegelési teszt elvégzője: |
név, beosztás |
Tekintettel arra, hogy a nevezett adatkezelést az Adatkezelő az Európa Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a továbbiakban GDPR/Rendelet – 6. cikk (1) bekezdés f) pontjában megjelölt jogalappal végzi, ezért jelen érdekmérlegelési teszt elvégzésével megvizsgálta, hogy az adatkezelés megfelel-e a GDPR alapelveinek és ezen jogalapon valóban végezheti-e az adatkezelést.
- Az adatkezelés célja
[az adatkezelés folyamatának és az elérendő cél bemutatása]
- Az adatkezelés céljához fűződő jogos érdek bemutatása
2.1. A jogos érdek bemutatása
[az adatkezelő adatkezeléshez fűződő jogos érdekének bemutatása]
2.2. Annak a személyének meghatározása, akinek az adatkezeléshez jogos érdeke fűződik
[a GDPR 6. cikk (1) bekezdés f) pontja szerint ezen a jogalapon az adatkezelőnek vagy harmadik félnek a jogos érdeke alapján történhet adatkezelés, ezért nevesítendő, hogy kinek a jogos érdeke fűződik az adatkezelés céljának eléréséhez]
Megállapítás: az adatkezelő/[nevesített harmadik fél] adatkezelés céljához fűződő jogos érdeke fennáll/nem áll fenn
- Az adatkezelés szükségességének vizsgálata
3.1. Az adatkezelő által elérendő cél személyes adat kezelése nélküli elérhetősége
[annak vizsgálata, hogy az adatkezelő által elérendő cél elérhető-e úgy, hogy az adatkezelő személyes adatok megismerése, kezelése nélkül végzi a tevékenységet]
3.2. Az adatkezelő oldalán jelentkező előny, amennyiben az adatkezelést végezheti
[annak leírása, hogy milyen előny vagy előnyök jelentkeznek az adatkezelő oldalán, amennyiben az adatkezelést végezheti]
3.3. Az adatkezelő oldalán jelentkező hátrány, amennyiben az adatkezelést nem végezheti
[annak leírása, hogy milyen hátrány vagy hátrányok jelentkeznek az adatkezelő oldalán, amennyiben az adatkezelést nem végezheti]
Megállapítás: az adatkezelő céljának eléréséhez szükséges/nem szükséges az adatkezelés
- Annak vizsgálata, hogy az adatkezelés más jogalappal végezhető-e
4.1. lehetséges jogalap: GDPR 6. cikk (1) bekezdés a) „az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez”
[a jogalap alkalmazhatóságának vizsgálata]
Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető
4.2. lehetséges jogalap: GDPR 6. cikk (1) bekezdés b) „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”
[a jogalap alkalmazhatóságának vizsgálata]
Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető
4.3. lehetséges jogalap: GDPR 6. cikk (1) bekezdés c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
[a jogalap alkalmazhatóságának vizsgálata]
Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető
4.4. lehetséges jogalap: GDPR 6. cikk (1) bekezdés d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges
[a jogalap alkalmazhatóságának vizsgálata]
Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető
4.5. lehetséges jogalap: GDPR 6. cikk (1) bekezdés e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
[a jogalap alkalmazhatóságának vizsgálata]
Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető
Megállapítás: az adatkezelés egyetlen lehetséges jogalapja a GDPR 6. cikk (1) bekezdés f) pont.
- Az adattakarékosság elvének való megfelelés vizsgálata
5.1. Az adatkezelés során kezelt, az érintettre vonatkozó személyes adatok megnevezése
[az adatkezelés során kezelt adatok felsorolása, lehetőség szerint minél pontosabban, de amennyiben ez nem veszélyezteti a teszt eredményét, a kezelt adatok kategóriákba is rendezhetőek]
5.2. Az adatkezelés során különleges személyes adat kezelése
Az adatkezelés során különleges személyes adat kezelése történik/nem történik.
5.3. Különleges személyes adat kezelése esetén a GDPR 9. cikk (1) bekezdésében nevesített tilalom alóli felmentő GDPR 9. cikk (2) bekezdésében nevesített körülmény
[a GDPR 9. cikk (2) bekezdés a)-j) pontjai közül legalább egy nevesítése, amely indokkal együtt alátámasztja, hogy az adat kezelése a GDPR 9. cikk (1) bekezdésben meghatározott tilalom ellenére kezelhető]
5.4. Olyan adat kezelésének ténye, amelyhez tagállami tilalom vagy korlátozás fűződik
[a GDPR 9. cikk (4) bekezdés kimondja, genetikai, biometrikus és egészségügyi adatok kezelésére vonatkozóan a tagállamok további feltételeket, köztük korlátozásokat tarthatnak hatályban vagy vezethetnek be, ezért vizsgálandó, hogy az adatkezelés során ilyen adat történik-e és amennyiben igen, úgy az vizsgálandó, hogy az adatkezelő vagy az adatkezelés által meghatározható tagállam – elsősorban Magyarország – ilyen jogot alkotott-e és annak megfeleltethető-e az adatkezelés]
5.5. Annak vizsgálata, hogy az adatkezelés során bármely adat elhagyható-e úgy, hogy a cél továbbra is elérhető maradjon
[annak bemutatása, hogy az adatkezelő adatonként – vagy adatkategóriánként, ha úgy határozta meg – alá tudja támasztani, hogy az adott adat – vagy kategória – kezelése mennyiben indokolt a cél eléréséhez]
Megállapítás: az adatkezelés során az adatkezelő csak/nem csak olyan adatot kezel, amely elengedhetetlen a cél megvalósításához, így az adatkezelés megfelel/nem felel meg az adattakarékosság elvének
- Az adatkezelés az érintett oldalán
6.1. Az érintett oldalán jelentkező hátrány, amennyiben az adatkezelést az adatkezelő végzi
[annak leírása, hogy milyen hátrány vagy hátrányok jelentkeznek az érintett oldalán, amennyiben az adatkezelést az adatkezelő végzi – a leírás során különös figyelem fordítandó az érintett információs önrendelkezéshez és a magánszférához fűződő alapjogára]
6.2. Az adatkezelő oldalán jelentkező előny, amennyiben az adatkezelést az adatkezelő végzi
[annak leírása, hogy milyen előny vagy előnyök jelentkeznek az érintett oldalán, amennyiben az adatkezelést az adatkezelő végzi]
6.3. Az érintett tájékozottsága az adatkezelés során
Az adat forrása: az érintett / [nevesített harmadik személy]
[annak kifejtése, hogy hogyan tesz eleget az adatkezelő az érintett GDPR 13. vagy 14. cikke szerinti tájékoztatásnak attól függően, hogy ki az adat forrása]
6.4. Az adatkezelés során alkalmazott automatikus döntéshozatal ténye és hatása az érintettre
Az adatkezelés során automatikus döntéshozatal: történik / nem történik
[az automatizált döntéshozatal – pl. profilozás – bemutatása és az érintett magánszférájára gyakorolt hatásának bemutatása]
6.5. Az érintett jogainak biztosítottságának vizsgálata
[annak leírása, hogy az érintett milyen módon tudja érvényesíteni a GDPR 15-22. cikkekben meghatározott, az adatkezelés kapcsán értelmezhető érintetti jogait különös tekintettel a tiltakozáshoz való jogára]
- Garanciák az adatkezelés során
7.1. A jogszerűség, tisztességes eljárás és átláthatóság elvének való megfelelés vizsgálata
[annak vizsgálata, hogy az adatkezelés sért-e jogot vagy jogszabályt, tisztességes és átlátható-e – utóbbinál hivatkozható a 6.3. pont]
7.2. A célhoz kötöttség elvének való megfelelés vizsgálata
[annak vizsgálata, hogy az adatkezelés megfelel-e a célhoz kötöttség elvének, azaz az adatot az adatkezelő csak a hivatkozott cél elérése használja fel, eltérő célra nem – amennyiben eltérő célra is felhasználja, úgy csak a GDPR-ban meghatározottak szerint, önálló jogalappal és esetlegesen újabb érdekmérlegelési teszt lefolytatásával támasztható alá]
7.3. A pontosság elvének való megfelelés vizsgálata
[annak vizsgálata, hogy az adatkezelő mit tesz meg azért, hogy az adatkezelésben érintett személyes adatok pontosak és naprakészek legyenek]
7.4. A korlátozott tárolhatóság elvének való megfelelés vizsgálata, az adatkezelés időtartama
[annak vizsgálata, hogy az adatkezelő meddig kezeli a személyes adatok különös tekintettel arra, hogy az időtartam meghatározása milyen szempontok alapján történt, a cél elérést miként észleli és szünteti meg ekkor az adatkezelést]
7.5. Az integritás és bizalmas jelleg elvének való megfelelés vizsgálata, az adatbiztonsági szabályok bemutatása
[az adatok biztonságát garantáló szervezeti, szervezési, technikai szabályok és eljárások bemutatása vagy az azokat lefektető szabályozásra való hivatkozás]
- Az érdekmérlegelési teszt eredménye
Az adatkezelés szükségessége: szükséges / nem szükséges
[….]
Az adatkezelés folyamatának arányossága: arányos / nem arányos
[….]
Az adatkezelés az adatkezelő által meghatározottak szerint az érdekmérlegelési tesztben bemutatott és megvizsgált módon végezhető / nem végezhető.
Jogosultságkezelési nyilvántartólap
Adatkezelő neve:
Székhelye:
|
Dolgozó neve |
Munkaköre |
Jogosultság megadásának napja |
Jogosultság megszűnésének napja |
Jogosultság leírása/típusa |
Jóváhagyó |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
..............................................................................
8/2. sz. melléklet
Jogosultságkezelési megrendelőlap
Adatkezelő neve:
Székhelye:
Felhasználó neve:______________________________________________________________
Munkakör:___________________________________________________________________
Az igény:
* jogosultságigénylés
* meglévő jogosultság módosítása
* összes jogosultság törlése munkaviszony megszűnése miatt
Az igény indokolása:
* új munkavállaló
* jelenlegi munkavállaló pozícióváltása
* jogosultság törlés
A meglévő jogosultság leírása:
___________________________________________________________________________
Az igényelt jogosultság, a jogosultság jóváhagyásához szükséges információ leírása:
___________________________________________________________________________
A jogosultság törlésének indoka:
___________________________________________________________________________
Amennyiben értelmezhető: a hozzáférés típusa (csak olvasás, írás-olvasás, tulajdonos stb,)
___________________________________________________________________________
Dátum: ______________________________________
igénylő aláírása
***
Az igénylőlap beérkezésének dátuma:
Az igénylőlapot iktatta:
***
Az igény * indokolt * indokolatlan
informatikáért felelős aláírása
***
Az igény * indokolt * indokolatlan
felelős vezető aláírása
***
Az igény teljesülésének dátuma:
informatikáért felelős aláírása
Szerverszoba kulcsfelvételi joggal rendelkező személyek nyilvántartása
Adatkezelő neve:
Székhelye:
|
Kulcsfelvétel jogosultjának neve |
Munkaköre |
Jogosultság megadásának dátuma |
Jogosultság megszűnésének dátuma |
Jogosultság típusa (állandó/eseti) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- sz. melléklet
Szerverszoba kulcsfelvételi engedély
Állandó engedély:
KULCSBIRTOKLÁSI ENGEDÉLY
Jelen engedély birtokosa
név:
munkakör:
jogosult a szerverszoba kulcsát jelen engedély visszavonásáig állandó jelleggel magánál tartani.
Engedély kiállítójának neve:
Dátum,
Aláírás
Eseti engedély:
KULCSFELVÉTELI ENGEDÉLY
Jelen engedély birtokosa
név:
munkakör:
jogosult a szerverszoba kulcsát …………………..-tól (dátum, időpont) felvenni és ……………..-ig (dátum, időpont) magánál tartani.
Engedély kiállítójának neve:
Dátum,
Aláírás
11/1. sz. melléklet
Adatvédelmi incidens jelentő lap - Minta
Ikt. sz:………/20…………
Adatvédelmi incidens jelentő lap
(lehetőleg az adatvédelmi incidenst észlelő munkatárs töltse ki!)
Adatkezelő neve:
Székhelye:
Az adatvédelmi incidenst bejelentő személy neve: ………………………………………………,
beosztása: ………………………………………………, törzsszáma: ……………………………,
szervezeti egysége: …………………………………………………………………………………..
Az adatvédelmi incidens adatai:
- mikor észlelte az adatvédelmi incidenst?: ……. év ….. hó …. nap … óra ….. perc
- hol észlelte az incidens bekövetkezését?: …………………………………………………………..
- hogyan észlelte az incidens bekövetkezését?:
…………………………………………………………………………………………………………………………………………………………………………………………………………………………
- az incidens bekövetkezésének ideje (amennyiben ismeri): ……. év ….. hó …. nap ….. perc vagy: ……. év ….. hó …. nap … óra ….. perc és ……. év ….. hó …. nap … óra ….. perc közötti időszakban
- az incidens rövid leírása:
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
- Az Ön tudomása szerint milyen személyes adatok érintettek az incidensben?
........................................................................................................................................................................................................................................................................................................................................
- Az észlelt adatvédelmi incidens érinti-e a Társaság informatikai rendszerét (bármely adatbázisát, levelező rendszerét, személyes adatokat tartalmazó elektronikus dokumentumait, stb.)? IGEN /NEM
Amennyiben az incidens a Társaság informatikai rendszerét, illetve eszközeit (telefon, mobil telefon, számítógép, stb.) érinti, azt köteles haladéktalanul bejelenteni az informatikai feladatok ellátásáért felelősnek is!
Az informatikai feladatok ellátásért felelős értesítése megtörtént-e? IGEN / NEM
Kelt, …………………….., 20…….. év ………. hó …… nap …….. perc
...................................................
bejelentő aláírása
11/2. sz. melléklet
Adatvédelmi incidens-nyilvántartó lap - Minta
……/20…/AVINC
(Értelemszerűen iktatva, például 1/2020/AVINC, azaz a 2020-as év 1-es számú incidense.)
Adatvédelmi incidens-nyilvántartó lap[3]
Adatkezelő neve:
Székhelye:
Az adatvédelmi incidens időpontja: (incidens kezdetének dátumától (nap-óra-perc) az incidens végleges elhárításának dátumáig (nap-óra-perc)
Az adatvédelmi incidens tudomásra jutásának időpontja:
Az adatvédelmi incidenssel érintett szervezeti egység(ek):
Az adatvédelmi incidens észlelésének releváns körülményei:
Az adatvédelmi incidenssel érintett személyes adatok köre:
Az adatvédelmi incidenssel érintettek köre és száma:
Az adatvédelmi incidens körülményeinek leírása:
Az adatvédelmi incidens hatásai:
Az adatvédelmi incidens elhárítására tett intézkedések leírása:
Az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket:
Egyéb megállapítás:
Kelt, ………………………., 20 ………. év ………. hó …… nap
.............................................................
adatvédelmi tisztviselő
Adatvédelmi incidens értesítési lista
Adatkezelő neve:
Székhelye:
- Az adatvédelmi incidensben érintett magánszemélyek köre (adatvesztés esetén a redundáns mentési helyről való adathozzáférés útjának megadásával):
Érintett neve és elérhetősége:
- ……………………………………………………
- ……………………………………………………
- …………………………………………………….
- ……………………………………………………
- Az adatvédelmi incidensben érintett szervezet adatai, illetve a szervezeti adatok/információk köre (adatvesztés esetén a redundáns mentési helyről való adathozzáférés útjának megadásával):
Érintett szervezetek neve, címe, adóazonosítója és elérhetősége:
- ……………………………………………………
- ……………………………………………………
- …………………………………………………….
- ……………………………………………………
Az értesítési rend: elsődleges az érintett magánszemélyek értesítése.
Dátum: ………………………………..
……………………..………………….
aláírás
[adatvédelmi tisztviselő]
- sz. melléklet
az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének 28. cikke szerint
(minta)
amely létrejött egyrészről
Név/Cégnév: ………………………………………………………………
Székhely: ………………………………………………………………
Cégjegyzékszám: ………………………………………………………………
Adószám: ………………………………………………………………
Postacím: ………………………………………………………………
Képviselő: ………………………………………………………………
Adatvédelemért felelős személy: ……………………………………………………………….
mint megbízó (a továbbiakban: Adatkezelő)
másrészről
Név/Cégnév: ………………………………………………………………
Székhely: ………………………………………………………………
Cégjegyzékszám: ………………………………………………………………
Adószám: ………………………………………………………………
Postacím: ………………………………………………………………
Képviselő: ………………………………………………………………
Adatvédelemért felelős személy: ……………………………………………………………….
mint megbízott (a továbbiakban: Adatfeldolgozó), (Adatkezelő és Adatfeldolgozó a továbbiakban együtt: Szerződő Felek) között alulírott helyen és napon az alábbi feltételekkel:
- Szerződő Felek jelen Adatfeldolgozási Megbízási Szerződés (a továbbiakban: Szerződés) keretei között rögzítik az Adatkezelő megbízása alapján az Adatfeldolgozó által ellátott adatfeldolgozási tevékenység szabályait.
- Fogalmak
- A Szerződés vonatkozásában a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletben (általános adatvédelmi rendelet, a továbbiakban: Rendelet), valamint a Rendelet végrehajtásához rendelkezéseket megállapító információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.) meghatározott kifejezések a Rendeletben és az Infotv.-ben meghatározott jelentéssel bírnak.
- A Szerződés tárgya
- Adatkezelő jelen Szerződés aláírásával megbízást ad Adatfeldolgozó részére jelen Szerződés elválaszthatatlan részét képező 1. sz. függelékben részletezett adatfeldolgozási feladatok ellátására.
- Adatfeldolgozó kijelenti, hogy a 3.1. pontban foglalt megbízást elfogadja, egyúttal kijelenti, hogy nem érdekelt a feldolgozás alá eső személyes adatokat felhasználó üzleti tevékenységében.
- A Szerződés teljesítésének általános szabályai
- Adatkezelő az adatfeldolgozás teljesítésével összefüggésben személyes adatokat ad át, illetve tesz hozzáférhetővé az Adatfeldolgozó részére. Az átadott személyes adatok körét jelen Szerződés elválaszthatatlan részét képező 1. sz. függelék tartalmazza.
- Adatfeldolgozó a jelen Szerződés 1. sz. függelékben meghatározott feladatok ellátására, az Adatkezelő előzetes írásban tett felhatalmazása alapján vehet igénybe további adatfeldolgozót (a továbbiakban: al-adatfeldolgozó).
- Az Adatfeldolgozó az Adatkezelő általános felhatalmazása alapján legalább x nappal írásban – ideértve az elektronikus utat is - tájékoztatja az Adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben a további adatfeldolgozó(k) igénybevételét megelőzően kifogást emeljen. Az adatkezelő a tájékoztatástól számított x napon belül írásban - ideértve az elektronikus utat is – kifogást emelhet.
- Az Adatfeldolgozó tájékoztatja az Adatkezelőt, hogy az Adatkezelő nevében végzett mely konkrét adatkezelési tevékenységhez vesz igénybe további adatfeldolgozót, valamint rendelkezésére bocsát minden olyan információt, amely az adatkezelési tevékenység szempontjából lényeges. Az Adatkezelő a további adatfeldolgozó bevonásáról az Adatfeldolgozó tájékoztatását követő x napon belül dönt.
- Amennyiben az adatfeldolgozó konkrét adatkezelési tevékenységeknek az adatkezelő nevében történő végzése céljából további adatfeldolgozót vesz igénybe, az adott további adatfeldolgozót ugyanazon adatvédelmi kötelezettségek terhelik, mint amelyek jelen szerződési feltételekben szerepelnek, különösen megfelelő garanciákat nyújtva a megfelelő technikai és szervezési intézkedések oly módon történő végrehajtására, hogy az adatkezelés megfeleljen e szerződésben meghatározott feltételeknek és az általános adatvédelmi rendelet követelményeinek. Ilyen esetben azonban Adatfeldolgozó szavatol azért, hogy az általa igénybe vett további adatfeldolgozó a tevékenységét az Infotv. és a Rendelet rendelkezéseinek betartásával, valamint a jelen Szerződésben foglaltaknak megfelelően végzi.
- Szerződő Felek kötelesek az Infotv. és a Rendelet, valamint az adatfeldolgozásra vonatkozó bármely más jogszabály rendelkezései, az egyéb felügyeleti szervek által kiadott ajánlások, iránymutatások mindenkori betartására valamennyi olyan adat tekintetében, amelyet jelen szerződéses kötelezettségei teljesítése során kezelnek, feldolgoznak, továbbítanak, vagy hozzáférhetővé tesznek.
- Szerződő Felek jelen Szerződés teljesítése érdekében együttműködési kötelezettséget vállalnak, melynek keretében kötelesek a Szerződés teljesítését befolyásoló minden lényeges körülményt egymással haladéktalanul, de legkésőbb három munkanapon belül közölni.
- Szerződő Felek rögzítik, hogy az érintett előzetes beleegyezésének hiánya jelen Szerződés teljesítését nem érinti, az érintett tájékoztatása az Adatkezelő feladata.
- Szerződő Felek, valamint Szerződő Felek képviselője feladatai végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködik.
- Az Adatkezelő és az Adatfeldolgozó nyilatkozik, hogy nem csatlakozott jóváhagyott magatartási kódexhez.
- Az Adatkezelő és az Adatfeldolgozó nyilatkozik, hogy nem csatlakozott jóváhagyott tanúsítási mechanizmushoz.
- Adatkezelő jogai és kötelezettségei
- Adatkezelő kizárólagosan jogosult az Adatfeldolgozónak továbbított, vagy Adatfeldolgozó részére hozzáférhetővé tett adatok feldolgozási célját és módját meghatározni, ellenőrizni a Szerződés tárgyát képező tevékenység végrehajtását.
- Adatkezelő – adatkezelésre vonatkozó döntéseinek végrehajtására – műveleteket határozhat meg Adatfeldolgozó részére, a Szerződésben foglalt feladatok megfelelő ellátásának biztosítása érdekében.
- Adatkezelőnek a Szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért Adatkezelőt terheli felelősség, ugyanakkor Adatfeldolgozó köteles haladéktalanul jelezni Adatkezelőnek, amennyiben Adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne. Adatkezelő csak írásban adhat utasítást Adatfeldolgozónak.
- Az Adatkezelő köteles ésszerű határidőn belül az Adatfeldolgozó rendelkezésére bocsátani minden olyan információt, amely a kötelezettsége teljesítéséhez szükséges.
- Az Adatkezelő jogosult az Adatfeldolgozó adatfeldolgozással kapcsolatos rendszerei, nyilvántartásai, adatai, információi és eljárásai körében lefolytatott ellenőrzés, vizsgálat lefolytatására. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
- Adatfeldolgozó jogai és kötelezettségei
- Adatfeldolgozó kötelezettséget vállal, illetőleg megfelelő garanciákat nyújt az általa adatfeldolgozóként ellátott adatkezelési tevékenységnek a Rendeletben szabályozott követelményrendszernek való megfelelésre és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
- Az Adatfeldolgozó kizárólag az Adatkezelő írásbeli utasításai alapján kezelheti a személyes adatokat, kivéve, ha arra az adatfeldolgozóra alkalmazandó uniós vagy tagállami jogszabály kötelezi. Az utasításokat az Adatkezelő elektronikus úton, dokumentált formában is megteheti. Továbbá az Adatkezelő a személyes adatok kezelésének teljes időtartama alatt további utasításokat is adhat, ezeket az utasításokat azonban a szerződési feltételekkel összefüggésben mindig dokumentálni kell, és írásban – akár elektronikus formában is – meg kell őrizni.
- Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a Rendeletet, vagy a tagállami, vagy az uniós adatvédelmi rendelkezéseket.
- Adatfeldolgozó az Adatkezelő utasítására, az adatvédelmi szabályokkal és alapelvekkel összhangban dolgozza fel az adatokat és köteles figyelemmel lenni az Adatkezelőnek az Adatfeldolgozó által ismert szerződéses kötelezettségeire.
- Adatfeldolgozó az Adatkezelő által részére átadott adatokat nem módosíthatja, nem törölheti, nem másolhatja, nem kapcsolhatja össze más adatbázisokkal, az adatokat nem használhatja a jelen Szerződéstől eltérő célra, sem saját célra, nem közölheti harmadik felekkel, kivéve olyan mértékben, amennyiben az Adatkezelő azt számára kifejezetten előírja és az adatfeldolgozás céljából szükséges.
- Adatfeldolgozó nem jogosult az Adatkezelő képviseletére, vagy az Adatkezelő nevében jognyilatkozat tételére, kivéve akkor, ha erre az Adatkezelővel kötött megállapodás, vagy más okirat kifejezetten felhatalmazza.
- Adatfeldolgozó köteles az adatok biztonságáról gondoskodni, köteles mindazon technikai és szervezési intézkedések megtételére, amelyek szükségesek az adatvédelmi szabályok érvényre juttatásához, ennek megfelelően intézkedéseket köteles tenni az adatokhoz való jogosulatlan hozzáférés ellen, az adatok jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, törlése, megsemmisítése ellen. Köteles továbbá megfelelő intézkedéseket foganatosítani a véletlen megsemmisülés és sérülés, továbbá a technikai változásokból eredő hozzáférhetetlenné válás ellen.
- Az Adatfeldolgozó a 6.7. pontban foglalt kötelezettsége teljesítése érdekében legalább a jelen Szerződés 2. sz. függelékében meghatározott adatbiztonsági intézkedéseket alkalmazza. A technikai és szervezési intézkedéseknek a műszaki fejlődést és a folyamatos fejlesztést kell szolgálniuk. Ebben az összefüggésben az Adatfeldolgozó jogosult a 2. sz. függelékben foglalt biztonsági intézkedésekhez képest megfelelő alternatív biztonsági intézkedéseket végrehajtani, azonban az adott intézkedések biztonsági szintje a korábbi – 2. sz. függelékben is rögzítettek szerinti - megfelelő biztonsági intézkedések védelmi szintjénél nem lehet alacsonyabb. Adatfeldolgozó az adatbiztonsági intézkedések bármely okból történő változása esetén a bevezettet új intézkedésről, vagy az intézkedések módosításáról az Adatkezelőt írásban tájékoztatja. Adatfeldolgozó kizárólag azon személyek részére biztosít hozzáférést az adatokhoz, akiknek az adatfeldolgozási tevékenység ellátása érdekében arra szükségük van, továbbá tájékoztatással látja el a hozzáféréssel rendelkezőket a biztonsági követelményeknek való megfelelési és titoktartási kötelezettségről.
- Az Adatfeldolgozó az érintetti kérelemmel kapcsolatban önállóan nem jogosult intézkedni, az Adatkezelő írásbeli utasítása alapján azonban az érintett kérelmével összefüggésben jogosult lehet adatkezelési műveletek végzésére, így különösen helyesbítheti, törölheti vagy korlátozhatja a személyes adatokat. Ha bármely érintetti joggyakorlással kapcsolatos kérelem az érintettől közvetlenül az Adatfeldolgozóhoz érkezik, az Adatfeldolgozó haladéktalanul továbbítja ezt a kérést az Adatkezelőnek. Az Adatfeldolgozó az érintetti joggyakorlással kapcsolatos kérelmek megválaszolására nem jogosult, azok megválaszolására kizárólag Adatkezelő jogosult.
- Az Adatfeldolgozó a lehető legnagyobb mértékben segíti és támogatja az Adatkezelőt, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében, amely jogok a tájékoztatáshoz való jog, a helyesbítéshez való jog, a törléshez való jog, a hozzájárulás visszavonásához való jog, az adatok korlátozásához való jog, a tiltakozáshoz, valamint az adathordozhatósághoz való jog. Az Adafeldolgozó ennek keretében – az adatkezelő által megjelölt ésszerű határidőben - tájékoztatást ad az Adatkezelőnek, kérésre megküldi az Adatkezelő által kért, rendelkezésére álló dokumentumokat, biztosítja az Adatkezelő részére a nevében kezelt személyes adatok vonatkozásban az adatkezelési műveletekbe, rendszerekbe, a kezelt személyes adatokba történő betekintést, az azokhoz történő hozzáférést.
- Adatfeldolgozó kötelezettséget vállal az általa feldolgozott adatok Adatkezelő utasításainak megfelelő módosítására, kiegészítésére, kijavítására, korlátozására, illetve törlésére.
- Adatfeldolgozó köteles az Adatkezelőt haladéktalanul értesíteni minden, az adatok biztonságát érintő eseményről, vagy kockázatról, az ezekkel kapcsolatos intézkedéseket megtenni és teljeskörűen együttműködni az Adatkezelővel.
- Adatfeldolgozó kötelezi magát arra, hogy az Adatkezelő és annak megbízottjai részére az adatfeldolgozással kapcsolatos rendszerei, nyilvántartásai, adatai, információi és eljárásai körében lefolytatott ellenőrzés, vizsgálat során teljeskörűen együttműködik. Ennek keretében biztosítja az ellenőrzésre jogosult személy számára azt, hogy az adatfeldolgozással kapcsolatos nyilvántartásokhoz, az azokban tárolt adatállományokhoz, az adatfeldolgozás során alkalmazott eljárásokhoz teljeskörűen hozzáférjen.
- A további adatfeldolgozó igénybevételéből eredő esetleges kárért Adatfeldolgozó felelős.
- Adatfeldolgozót – a Szerződés teljesítésére, illetőleg megszűnésére tekintet nélkül – határidő nélkül titoktartási kötelezettség terheli. A titoktartási kötelezettség megsértéséből, illetőleg az adatok jogosulatlan nyilvánosságra hozatalából származó hátrányok, valamint az ezek kiküszöböléséhez szükséges költségek, ideértve mind a vagyoni, mind a nem vagyoni kár megtérítését – az egyéb felelősségen túl – azt a felet terhelik, akinek a jogosulatlan nyilvánosságra hozatal tekintetében felelőssége fennáll.
- Adatfeldolgozó haladéktalanul, de legkésőbb három munkanapon belül értesíti Adatkezelőt, ha a szerződés teljesítése során bármikor olyan körülmény áll elő, mely akadályozza az időben történő teljesítést. Az értesítés magában foglalja a késedelem várható időtartamáról és okairól való tájékoztatást.
- A személyes adat feldolgozására irányuló szolgáltatás megszüntetésekor az adatfeldolgozó köteles [1. LEHETŐSÉG] az adatkezelő nevében kezelt valamennyi személyes adatot törölni, és igazolni az adatkezelő felé, hogy ezt megtette / [2. LEHETŐSÉG] az összes személyes adatot visszaküldeni az adatkezelőnek, és törölni a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő. Ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jogszabályok megkövetelik a személyes adatoknak az adatfeldolgozási szolgáltatások megszűnését követő tárolását az adatfeldolgozó kötelezettséget vállal arra, hogy kizárólag az e jogszabály által előírt célokra, illetve időtartamra és a vonatkozó szigorú feltételek mellett kezeli a személyes adatokat.
- Adatvédelmi incidens
- Az Adatfeldolgozó az általa folytatott adatkezeléssel kapcsolatban tudomására jutott adatvédelmi incidensekről, illetve az adatbiztonsági intézkedések olyan sérelméről, amely nem éri el az adatvédelmi incidens szintjét (a továbbiakban: adatvédelmi rendellenesség), az azokról való tudomásszerzést követően haladéktalanul köteles bejelentést tenni az Adatkezelő felé és az Adatkezelő felelős vezetőjének.
- Az adatvédelmi incidenssel, illetve adatvédelmi rendellenességgel kapcsolatosan a következő információkról kell az Adatkezelőt tájékoztatnia:
- az adatvédelmi incidens, adatvédelmi rendellenesség leírása, jellege, időpontja, tartama, az érintettek és az érintett kezelt adatok köre/[kategóriái] és száma;
- az adatvédelmi incidensből, adatvédelmi rendellenességből eredő már bekövetkezett, vagy várható következmények;
- az adatvédelmi incidens, adatvédelmi rendellenesség orvoslására tett intézkedések és az adatvédelmi incidensből, adatvédelmi rendellenességből eredő esetleges negatív következmények enyhítését szolgáló intézkedések;
- az adatvédelmi incidenssel, adatvédelmi rendellenességgel összefüggő minden egyéb releváns információ.
- Az Adatfeldolgozó köteles megtenni minden szükséges intézkedést, valamint együttműködik az Adatkezelővel és az Adatkezelő felelős vezetőjével is az adatvédelmi incidens vagy adatvédelmi rendellenesség okának feltárásban, orvoslásában és azok esetleges negatív következményeinek felszámolásában és biztosítja, hogy az általa igénybe vett további adatfeldolgozók ugyanígy járnak el.
- Ha az adatvédelmi incidens az Adatfeldolgozó több megbízóját is érinti, az Adatfeldolgozó az adatvédelmi incidens okainak feltárásánál és a következmények elhárításánál az Adatkezelőt más adatkezelőkkel szemben előnyben részesíti.
- Érintetti jogok gyakorlásának biztosítása
- Az Adatfeldolgozó az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
- Az Adatfeldolgozóhoz érkezett adatigényléseket és más, az érintetti jogok gyakorlására vonatkozó kérelmeket az Adatfeldolgozó további intézkedés céljából három munkanapon belül továbbítja az Adatkezelő részére.
- Az Adatfeldolgozó az adatigénylés, vagy az érintetti jogok gyakorlására vonatkozó kérelem kézhezvételétől számított három munkanapon belül átadja az Adatkezelőnek a kérelem teljesítéséhez szükséges, általa kezelt adatokat és minden más, a birtokában levő információt, ami szükséges a kérelem teljesítéséhez, illetve javaslatot tesz az Adatkezelő részére a kérelem teljesítése érdekében általa ellátandó teendőkre, minden olyan esetben, amikor a kérelemben foglaltakkal összefüggésben a Szerződés alapján adatkezelési tevékenységet végez.
- A 8.3. pontban meghatározott kötelezettség abban az esetben is fennáll, ha az az adatigénylés, vagy az érintetti jogok gyakorlására vonatkozó kérelem érkezéséről az Adatkezelő tájékoztatja az Adatfeldolgozót.
- Fenti esetben az Adatkezelő a kérelem érintett részére történt megválaszolásának tényéről az Adatfeldolgozót tájékoztatja.
- Az Adatfeldolgozó biztosítja, hogy az általa igénybe vett további adatfeldolgozók is a fentiek szerint járjanak el.
- Amennyiben az Adatkezelő az érintetti jogok gyakorlásának biztosítása érdekében szükségesnek látja, konkrét utasítást adhat az Adatfeldolgozó eljárására nézve.
- Hatásvizsgálat, előzetes konzultáció
- Abban az esetben, ha az Adatkezelőnek jelen Szerződéssel kapcsolatos adatkezelés vonatkozásában adatvédelmi hatásvizsgálatot kell elvégeznie, az Adatfeldolgozó – Adatkezelő kérésére – minden szükséges információt megad és együttműködik az Adatkezelővel a hatásvizsgálat elvégzése vagy ilyen hatásvizsgálattal kapcsolatos, az adatvédelem felügyeletét ellátó szervvel való konzultáció céljából.
- Felelősség
- Az Adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a Rendeletet sértő adatkezelés okozott.
- Amennyiben az Adatfeldolgozó al-adatfeldolgozót von be a szerződéses jogviszonyba, úgy az al-adatfeldolgozó minden tevékenységéért Adatkezelő felé Adatfeldolgozó felel. A szerződés jelen pontjában az al-adatfeldolgozó által okozott kárt Adatfeldolgozó által okozott kárként kell tekinteni.
- A Szerződő felek rögzítik, hogy teljes körű kártérítési felelősséggel tartoznak minden olyan, egymásnak okozott kárért, amely az általa végzett adatkezelési tevékenységből ered. Így különösen, ha az Adatfeldolgozó vagy bármely al-adatfeldolgozó nem tartotta be a Rendeletben meghatározott és jelen Szerződés alapján fennálló kötelezettségeit, vagy ha az Adatfeldolgozó vagy bármely al-adatfeldolgozó nem az Adatkezelő által a személyes adatok kezelésével kapcsolatban adott jogszerű utasításoknak megfelelően járt el.
- Ha az Adatkezelő és az Adatfeldolgozó is részt vesz ugyanabban az adatkezelésben, és az adatkezelés az érintett számára kárt okoz, akkor mindannyian egyetemleges felelősséggel tartoznak az adatkezelés által az érintettnek okozott károkért.
- Ha valamely adatkezelő vagy adatfeldolgozó kártérítést fizetett az érintett számára a részére okozott kárért, jogosult arra, hogy az ugyanazon adatkezelésben részt vevő többi adatkezelőtől vagy adatfeldolgozótól visszaigényelje a kártérítésnek azt a részét, amely megfelel a károkozásért viselt felelősségük mértékének.
- Amennyiben Adatfeldolgozó túlterjeszkedik jelen Szerződésben és az Adatkezelőtől kapott írásos utasításokban meghatározott jogain, az adott túlterjeszkedésre vonatkozóan önálló adatkezelővé válik és Adatkezelőnek, az érintettnek vagy harmadik félnek okozott kárért a károkozás általános szabályai szerint köteles helytállni.
- Amennyiben az Adatfeldolgozó al-adatfeldolgozót von be a szerződéses jogviszonyba, úgy az al-adatfeldolgozó minden tevékenységéért Adatkezelő felé Adatfeldolgozó felel.
- A szerződés hatálya, módosítása és megszűnése
- Jelen Szerződés az aláírása napján lép hatályba és jelen Szerződés 1. sz. függelékében megjelölt ideig tart.
- Jelen Szerződés módosítása kizárólag írásban, a Szerződő Felek közös megállapodása alapján érvényes.
- Szerződő Felek jelen Szerződést írásba foglalt közös megegyezésükkel megszüntethetik.
- Szerződő Felek rögzítik, hogy jelen Szerződés osztja a Szerződő Felek között létrejött alap megbízási szerződés sorsát, annak bármely okból történő megszűnése esetén jelen Szerződés is megszüntetésre kerül.
- Jelen Szerződés megszűnése esetén Adatfeldolgozó – Adatkezelő döntése alapján – harminc napon belül minden általa átvett személyes adatot töröl vagy visszajuttat Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő. Az adatok megsemmisítésének tényét Adatfeldolgozó jegyzőkönyvben rögzíteni és a jegyzőkönyvet Adatkezelő részére átadni köteles.
- Záró rendelkezések
- Jelen Szerződésben nem szabályozott kérdésekben a Polgári Törvénykönyvről szóló 2013. évi V. törvény, valamint az Infotv. és a Rendelet vonatkozó rendelkezései az irányadóak.
- Szerződő Felek megállapodnak, hogy jelen Szerződéssel kapcsolatos vitás kérdéseiket egymás között tárgyalás útján kísérlik meg rendezni. Ennek eredménytelensége esetére – a pertárgy értékétől függően – a ……………….. Ítélőtábla, illetve a …………………Törvényszék illetékességét kötik ki.
- Jelen Szerződés bármely pontjának vagy rendelkezéseinek érvénytelensége nem eredményezi a teljes Szerződés érvénytelenségét, kivéve, ha az érvénytelennek minősülő pont vagy rendelkezés hiányában a szerződés megkötésére nem került volna sor, vagy az érvénytelen rendelkezés nélkül a Szerződés értelmetlenné vagy értelmezhetetlenné válna.
Kelt, 201….. év………………. hónap ……….nap
|
…………………… |
…………………… |
|
Adatkezelő |
Adatfeldolgozó |
Mellékletek:
- függelék: Adatkezelés leírása
- függelék: Adatfeldolgozás leírása
- függelék: Technikai és szervezési intézkedések
- függelék
Adatkezelés leírása
- Adatkezelés célja:
……………………………………………………………………………………………………………………………………………………………………………………………………
- Adatkezelés jogalapja:
……………………………………………………………………………………………………………………………………………………………………………………………………
- Kezelt adatok köre:
……………………………………………………………………………………………………………………………………………………………………………………………………
- Személyes adatok tárolásának határideje:
……………………………………………………………………………………………………………………………………………………………………………………………………
- Adatkezelés folyamatának leírása:
……………………………………………………………………………………………………………………………………………………………………………………………………
- függelék
Adatfeldolgozás leírása
- Adatkezelés tárgya, amelyben az Adatkezelő adatfeldolgozót kíván bevonni: ………………………………………………………………………………………………
- Az adatfeldolgozó által végzett adatkezelés időtartama:
………………………………………………………………………………………………
- A személyes adat adatkezelő nevében, az adatfeldolgozó által végzett kezelése elsősorban a következőkre terjed ki (az adatkezelés jellege):
………………………………………………………………………………………………………………………………………………………………………………
- A személyes adat adatkezelő nevében, az adatfeldolgozó által végzett kezelésének célja:
……………………………………………………………………………….…………………………………………………………………………………….…………………………
- A kezelt személyes adatok típusa:
- …………………………………………………………………………………….
- …………………………………………………………………………………….
- ……………………………………………………………………………………..
- Az adatkezelés az érintettek alábbi kategóriáit érinti:
……………………………………………………………………………………………………………………………………………………………………………………………..
- Az adatfeldolgozás helye:
- ……………………………………………………………………………………..
- ……………………………………………………………………………………..
- ……………………………………………………………………………………..
- A szerződés időtartama:
- határozatlan időtartam
- határozott időtartam
- visszavonásig
- A Szerződő Felek kapcsolattartói:
Adatkezelő részéről:
- Név: …………………………………………………………………
- Telefonszám: ………………………………………………..………………..
- E-mail cím: …………………………………………………………………
Adatfeldolgozó részéről:
- Név: …………………………………………………………………
- Telefonszám: ………………………………………………..………………..
- E-mail cím: …………………………………………………………………
- függelék
Technikai és szervezési intézkedések
Az Adatfeldolgozó köteles az adatkezelés egyedi sajátosságaira tekintettel szükséges adatbiztonsági intézkedések alkalmazására, így különösen:
- Titoktartási szabályok:
- Az Adatkezelő nevében az Adatfeldolgozó által kezelt személyes adatok egyetlen része vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt.
- Az Adatfeldolgozó munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.
- Fentiek keretében gondoskodik az adatkezelésben közreműködő személyek vonatkozásban arról, hogy velük titoktartási kötelezettségre vonatkozó nyilatkozat kerüljön aláírásra.
- A személyes adatokhoz való hozzáférés szabályozása
Az Adatfeldolgozó kizárólag azon alkalmazottai részére biztosít hozzáférést a személyes adatokhoz, akiknek az adatfeldolgozási tevékenység ellátása érdekében arra szükségük van, továbbá tájékoztatással látja el a hozzáféréssel rendelkezőket a biztonsági követelményeknek való megfelelési és titoktartási kötelezettségről. Adatfeldolgozó kötelezettsége, hogy az általa kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen.
- A papíralapon kezelt személyes adatok biztonságával összefüggő megállapítások:
- az Adatfeldolgozó gondoskodik róla, hogy az Adatkezelő által az Adatkezelő telephelyén papír alapon rendelkezésére bocsátott személyes adatokat csak az arra jogosult munkatársai ismerhetik meg, akiknek a feladatuk ellátásához a személyes adatok megismerése szükséges, azokhoz más nem férhet hozzá;
- az Adatfeldolgozó gondoskodik arról, hogy az Adatkezelő telephelyén adatkezelést végző munkatársa a nap folyamán úgy hagyja el azt a helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy a helyiséget bezárja;
- az Adatfeldolgozó gondoskodik arról, hogy az adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
- az Adatfeldolgozó rendelkezik kulcsnyilvántartással azon helyiségek vonatkozásában, ahol a személyes adatok kezelése megvalósul.
- A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az Adatfeldolgozó legalább az alábbi intézkedéseket és garanciális elemeket köteles alkalmazni:
- az adatkezelés során használt számítógépek az Adatfeldolgozó tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír;
- a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről az Adatfeldolgozó havonta rendszeresen, illetve indokolt esetben gondoskodik;
- az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül;
- a számítógépeken tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
- az Adatfeldolgozó a számítógépeken tárolt adatok biztonsága érdekében az adatokat védi, az adatvesztést mentésekkel és archiválással kerüli el;
- folyamatosan gondoskodik a vírusvédelemről számítógépei tekintetében;
- a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését (pl.: A vendégek és a mobiltelefonok nem érik el a belső hálózatot.)
- A szerverszobákban tárolt szerverek fizikai védelme érdekében az Adatfeldolgozó legalább az alábbi intézkedéseket és garanciális elemeket köteles alkalmazni:
- a szerverszoba klimatizált és tűzjelző berendezéssel ellátott,
- a szerverszobába csak a szerverszoba kulcsfelvételi engedéllyel rendelkező személy rendelkezhet saját kulccsal vagy veheti át a kulcskezelési szabályok alapján a kulcs kezelőjétől a szerverszoba kulcsát,
- a kulcsfelvételi engedéllyel rendelkezőkről nyilvántartást vezet az Adatfeldolgozó,
- aki nem az Adatfeldolgozó alkalmazottja, az nem rendelkezhet kulcsfelvételi engedéllyel,
- a kezelt kulcsok típusa lehet állandó vagy eseti, állandó kulcsfelvételi jogosultság birtokában dedikált kulccsal rendelkezhet az engedély birtokosa,
- az Adatfeldolgozó ezen feladattal megbízott munkatársa a kulcskezelési szabályok alapján folyamatosan rögzíti a nem dedikált kulcsok felvételét és leadását,
- amennyiben olyan személynek kell tevékenysége ellátása miatt bemenni a szerverszobába, aki nem jogosult a kulcs felvételére vagy nem az Adatfeldolgozó alkalmazottja, akkor minden esetben tartózkodik vele egy olyan személy is, aki kulcsfelvételi engedéllyel rendelkezik.
- Amennyiben az adatfeldolgozás VPN segítségével távoli elérés (Távoli asztal) útján valósul meg, a személyes adatok biztonsága érdekében az Adatfeldolgozó az alábbi előírásokat köteles betartani:
- A távoli elérésre használt eszközön az Adatfeldolgozó gondoskodik az operációs rendszer legfrissebb változatáról.
- A távoli elérésre használt eszközön aktív, vírusvédelmi program frissítéséről az Adatfeldolgozó gondoskodik.
- A távoli elérésre használt eszközt használó személy a munkamenet befejeztével, vagy abban az esetben, ha az eszköztől el kell távolodnia köteles az informatikai rendszerből, valamint a távoli elérést lehetővé tevő VPN, vagy Távoli Asztali kapcsolatból kilépni.
- A felhasználó nem teheti lehetővé mások számára – családtagok számára sem -, hogy a nevében az Adatfeldolgozó vagy az Adatkezelő rendszerében tevékenykedjenek, illetve a rendszerekhez jogosulatlanul hozzáférjenek. Ennek érdekében – többek között – mindent meg kell tennie a jelszavai titkosságának megőrzése érdekében, továbbá biztosítania szükséges, hogy a személyazonosító eszközeit (például, de nem kizárólag: VPN kulcs, azonosító kártya, mobil telefon) más ne használhassa.
- Tilos az interneten keresztül belső használatú, bizalmas vagy titkos dokumentumokat, adatokat a vállalati / hivatali rendszerből engedély nélkül kijuttatni, illetéktelen személyek részére hozzáférhetővé tenni, illetve a rendelkezésre bocsátott adatokat, információkat más adattároló eszközre menteni, nyilvánossá tenni, vagy egyéb módon terjeszteni!
Kelt, 201… év………………..hónap …………nap
|
…………………… |
…………………… |
|
Adatkezelő |
Adatfeldolgozó |
- sz. melléklet
Adatvédelmi hatásvizsgálat elkészítéséhez használatos segédanyag
(minta)
Bevezetés
Az Adatkezelő: […….]
Székhelye: […….]
Az Adatkezelő tevékenységének ellátásához kapcsolódóan az alábbi adatkezelési eljárást kívánja bevezetni, amelynek során a Társaság adatkezelőként jár el:
- A bevezetni kívánt adatkezelési folyamat leírása:
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Az adatkezelési műveletek módszeres leírása:
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Az Adatkezelő és az adatkezelési folyamatban egyéb résztvevők megnevezése (a résztvevők státuszának és adatkezeléssel összefüggő tevékenységének leírása):
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Az adatkezelés bevezetésének várható dátuma:
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Az adatkezelés jogalapjának vizsgálata során az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (a továbbiakban: Rendelet) 6. cikk (1) bekezdése a)-f) pontjai[4] az irányadók.
Amennyiben a jogalapot a Rendelet 6. cikk (1) bekezdés f) pontja jelenti, az adatkezelési folyamat akkor és annyiban lesz jogszerű, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
Az adatkezelés jogszerűségének vizsgálatához el kell végezni egy érdekmérlegelési tesztet, amelynek során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását kell vizsgálni, továbbá megfelelően alátámasztani.
A Rendelet 35. cikkének felhatalmazása alapján a Társaság az alábbi hatásvizsgálatot végzi el:
- Az adatkezelés jogalapja
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Az adatkezelés célja/az adatkezelő jogos érdekének leírása
Az adatkezelés céljainak, indokainak leírása, különös tekintettel az adatkezelés szükségességének, elengedhetetlenségének alátámasztása:
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
A kezelt adatok körének pontos meghatározása. Annak meghatározása, hogy az egyes adatok tekintetében fennáll-e az adatkezelési cél, az adat a cél elérésére alkalmas-e, szükséges-e?
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
III. Az érintettek köre
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Az adatkezelés egyéb körülményei
Az adatkezelés sajátosságai, esetleges különleges személyes adatok, adattovábbítások megnevezése és indoka.
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
adattovábbítás címzettje:…………………………………………………
adattovábbítás célja:………………………… ……………………………
adattovábbítás jogalapja:……………………………………… …………
- Várható hatások, kockázatok (más módszer)
- Milyen lehetséges kockázatokkal jár az adatkezelés az érintettek jogainak esetleges sérelme szempontjából? Adatbiztonsági kockázatok vizsgálata. Az esetleges adatvesztések, jogosulatlan hozzáférések, vagy egyéb adatvédelmi incidensek bekövetkezésének lehetséges esetei, az incidens-bekövetkezés valószínűségének vizsgálata.
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Melyek az érintettek érdekei az adatkezeléssel kapcsolatban?
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Alternatíva keresése. Létezik-e más módszer a cél elérésére, amely az érintettek jogait kevésbé korlátozza? Ha létezik, ugyanolyan hatékonyan szolgálja-e a cél elérését?
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Arányos-e az érintettek jogainak korlátozása az elérendő céllal? Csak annyiban korlátozza-e az érintettek jogait, amennyire a cél elérése érdekében szükséges?
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- A kockázatok elhárítására tett intézkedések, garanciák, a felek együttműködése
- A megtett intézkedések leírása. Az egyes intézkedések mennyiben csökkentik az adatkezelési kockázatokat. Adatbiztonsági intézkedések leírása (fizikai, logikai, adminisztratív intézkedések megtétele).
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
- Az érintettekkel való együttműködés biztosítása (panaszkezelés, jogorvoslati lehetőségek, kérelemre történő tájékoztatásadás lehetősége, adatvédelmi szabályzat megléte stb.).
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
VII. A hatásvizsgálat eredményének megállapítása, a kockázat mértékének, jellegének leírása, további intézkedések megtételének szükségessége, előzetes konzultáció szükségessége
A kockázat mértékének, jellegének leírása, következtetés levonása (miért jogszerű az adatkezelés, miért fűződik magasabb érdek a cél eléréséhez, illetve az érintettek jogainak korlátozása mitől arányos).
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
VIII. Érintettek jogainak leírása, tiltakozás, hozzáférhetőség joga
A Rendelet 12-21. cikkében szabályozott jogok biztosítása:
- tájékoztatás joga,
- hozzáférési jog,
- helyesbítéshez való jog,
- törléshez való jog,
- adatkezelés korlátozhatóságához való jog,
- adathordozhatósághoz való jog,
- tiltakozáshoz való jog.
Kelt.:. …………………….
- sz. melléklet
Adatmegsemmisítési jegyzőkönyv - minta
Iktsz.: ……………/20…
Adatmegsemmisítési jegyzőkönyv
(Az adatmegsemmisítésért felelős munkavállaló tölti ki!)
Az adatmegsemmisítésért felelős munkavállaló
neve:
beosztása:
szervezeti egysége:
A megsemmisítést engedélyezte:
Az adatmegsemmisítéskor jelen lévő háromtagú bizottság tagjai:
- (1. bizottsági tag: adatmegsemmisítésért felelős munkavállaló - neve, beosztása)
- (2. bizottsági tag neve beosztása)
- (3. bizottsági tag neve, beosztása)
Az adatmegsemmisítés helye és időpontja (dátum-óra-perc):
A megsemmisítés tárgya, az adathordozók (megközelítőleges) száma:
A megsemmisítéssel érintett adatkezelési folyamat megnevezése:
Az adatmegsemmisítés módja
q iratmegsemmisítő gép
q égetés
q zúzás
q darálás
q egyéb:
......................................................................
- bizottsági tag aláírása
(adatmegsemmisítésért felelős munkavállaló)
……………………………………… ………………………………………
- bizottsági tag aláírása 3. bizottsági tag aláírása
[1] Létfontosságú érdek például, de nem kizárólagosan: járvány, katasztrófa, szükséghelyzet.
[2] Amennyiben delegálta a feladatellátást.
[3] A nyilvántartás elektronikus formában is vezethető, amely a nyilvántartások excel táblába bevezetve.
[4] A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
