fbpx

Adatkezelési tájékoztató

A Safis EVO Inc. és társvállalatai
adatkezelési tájékoztatója

Jelen tájékoztató célja, hogy rögzítse

a Safis Evo Inc. (székhelye: 677 N Washington blvd #57 Sarasota, Florida 34236; cégjegyzékszám: P18000005419),

a Trend-Inovest Magyarország Kft (székhelye: 1105 Budapest Mádi utca 17. B. épület;

adószám: 26320896-2-42),

a Blokkwood Magyarország Kft. (székhelye: 1105 Budapest Mádi utca 17. B. épület; adószám: 26743101-2-42), valamint

az EFC Technológia Magyarország Kft (székhelye: 1105 Budapest Mádi utca 17. B. épület; adószám: 27105366-2-42) –

a továbbiakban: „Társaságok” – által alkalmazott adatvédelmi és adatkezelési elveket, és tájékoztatást nyújtson az érintetteknek a Társaságok adatkezeléséről, az érintettek adatkezeléssel kapcsolatos jogairól és jogorvoslati lehetőségeiről. A Trend-Inovest Magyarország Kft mint webáruház üzemeltető adatkezeléséről külön szabályzat rendelkezik.

E tájékoztatóban foglalt szabályok hatálya természetes személyre vonatkozó személyes adatok Társaságok általi kezelésére terjed ki. Egyéni vállalkozó, egyéni cég, őstermelő ügyfeleket e szabályzat alkalmazásában természetes személynek kell tekinteni.
A Társaságok a személyes adatok kezelése, nyilvántartása, feldolgozása és továbbítása során az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet (továbbiakban Rendelet) hatályon kívül helyezéséről (továbbiakban: GDPR), továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) rendelkezései alapján járnak el.

Fogalom meghatározások

E tájékoztató alkalmazásában irányadó fogalom meghatározásokat az Infotv. és a Rendelet 4. cikke tartalmazza.

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatokat kezeli.

 

Jelen tájékoztató alapján adatkezelő:

Safis EVO Inc.

(székhely: 677 N Washington blvd #57 Sarasota, Florida 34236;

adószám: 61-1865663;

cégjegyzékszám: P18000005419;

Postai címe: 1105 Budapest, Mádi utca 17. B. ép.

Trend-Inovest Magyarország Kft

(székhely: 1105 Budapest, Mádi utca 17. B. ép.;

adószám: 26320896-2-42;

cégjegyzékszám: 01-09-323971)

 

„az adatkezelés érintettje”: Ön, aki a személyes adatai alanya. Az adatkezelés során az az azonosított vagy azonosítható természetes személy, akinek az adatait kezelik, Amennyiben Ön nem magánszemélyként, hanem egy jogi társaság hivatalos képviselőjeként jár el (akár önálló, akár együttes aláírási joggal), az Ön személyes adatait abban az esetben is jelen tájékoztatóban meghatározottak szerint kezelik a Társaságok.

„az adatkezelés érintettjének hozzájárulása”: az Ön akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel jelzi, hogy beleegyezését adja személyes adatai kezeléséhez;

„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása.

 

Ennek megfelelően a következő tájékoztatást adjuk:
A Társaság IT szolgáltatója (tárhelyszolgáltatás, alkalmazásfejlesztés, stb.):
BlazeArts Kft.
6090 Kunszentmiklós, Damjanich u. 36. 1/8

Hírlevélküldés:
Listamester online hírlevélküldő szolgáltatás
Bithuszárok Számítástechnikai és Szolgáltató Betéti Társaság,
Címe: 2051 Biatorbágy, Damjanich utca 8.
E-mail címe: info@listamester.hu

Webgalamb online hírlevélküldő szolgáltatás
CREON HEROES Zrt. – creon.io
Címe: 5561 Békésszentandrás, Dr. Dunay Alajos u. 1.

Postai szolgáltatások, kézbesítés, csomagküldés:
Magyar Posta;

GLS General Logistics Systems Hungary Kft
Székhely: 2351 Alsónémedi, GLS Európa u. 2

„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

I. A Társaságok adatkezelései

1. Kapcsolatfelvétel befektetőként és/vagy feltalálóként
2. Jelentkezés a Társaságok állásajánlataira
3. Feliratkozás hírlevélre
4. Jelentkezés startup programra befektetőként és/vagy feltalálóként
5. Szerződéskötés befektetőként és/vagy feltalálóként
6. Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek adatai
7. Látogatói adatkezelés a Társaságok honlapjain

1. Kapcsolatfelvétel befektetőként és/vagy feltalálóként
A Társaságokkal való kapcsolatfelvétel során válaszadás céljából személyes adatok megadására van szükség. A Társaságok a személyes adatokat kizárólag a kérdés megválaszolása céljából használják fel.

a) Az adatkezelés célja: a Társaság szolgáltatásával kapcsolatban kért információ, tájékoztatás megadása;

b) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe, telefonszáma.

c) Az adatkezelés jogalapja: az adatkezelés az Infotv. 5. § (1) bekezdés b) pontjának és a GDPR 6. cikk (1) bekezdés a) pontjának megfelelően az érintett természetes személynek az adatkezeléshez történő előzetes, kifejezett hozzájárulásán alapul.

d) Adatkezelés időtartama: egyszeri információcsere esetén a Társaság az adatot a válaszadást követően haladéktalanul törli; fogyasztói panasz esetén 5 év az adatkezelés időtartama;

2. Jelentkezés a Társaságok állásajánlataira
A pályázati anyagokban és a pályázati adatlapon a jelentkező/érdeklődő által megadott személyes adatokat a pályázati eljárás lefolytatásához kezeljük, valamint annak érdekében őrizzük meg, hogy új pályázati lehetőségek kapcsán felvehessük a kapcsolatot.

a) Az adatkezelés célja: pályázati eljárás lefolytatása, értesítés pályázati lehetőségről

b) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe, telefonszáma.

c) Az adatkezelés jogalapja: az adatkezelés az Infotv. 5. § (1) bekezdés b) pontjának és a GDPR 6. cikk (1) bekezdés a) pontjának megfelelően az érintett természetes személynek az adatkezeléshez történő előzetes, kifejezett hozzájárulása.

d) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságok HR tevékenységgel kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként a Társaság IT szolgáltatója;
A személyes adatok tárolásának időtartama: az érintett hozzájárulása visszavonásáig (törlési kérelméig).

3. Feliratkozás hírlevélre

A Társaságok honlapjain a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. A feliratkozás során az Adatkezelési tájékoztatót egy linkkel elérhetővé kell tenni. A hírlevéről az érintett a hírlevél „Leiratkozás” alkalmazásának használatával, vagy írásban, vagy e-mailben tett nyilatkozattal bármikor leiratkozhat. A leiratkozás a hozzájárulás visszavonását jelenti. Ilyen esetben a leiratkozó minden adatát haladéktalanul törölni kell.

a) Az adatkezelés célja: Hírlevél küldése a Társaságok termékei, szolgáltatásai tárgyában; reklámanyag küldése;

b) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe, telefonszáma.

c) Az adatkezelés jogalapja: az adatkezelés az Infotv. 5. § (1) bekezdés b) pontjának és a GDPR 6. cikk (1) bekezdés a) pontjának megfelelően az érintett természetes személynek az adatkezeléshez történő előzetes, kifejezett hozzájárulása.

d) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságok ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként a Társaság IT szolgáltatója;

e) A személyes adatok tárolásának időtartama: a hírlevél-szolgáltatás fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).

4. Jelentkezés startup programra befektetőként és/vagy feltalálóként

A Társaságok szolgáltatási portfólióját startup programok alkotják.

Az adatkezelés célja: a startup programok iránt érdeklődő jelentkező tájékoztatása a programokról;

A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe, telefonszáma, levelezési címe;
Az adatkezelés jogalapja: az adatkezelés az Infotv. 5. § (1) bekezdés b) pontjának és a GDPR 6. cikk (1) bekezdés a) pontjának megfelelően az érintett természetes személynek az adatkezeléshez történő előzetes, kifejezett hozzájárulásán alapul.

A személyes adatok tárolásának időtartama: a Társaságokkal való kapcsolat fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).

4. Szerződéskötés befektetőként és/vagy feltalálóként

a) Az adatkezelés célja: a Társaságok a befektetőkkel és vagy a feltalálókkal való szerződés megkötésének előkészítése, megkötése, teljesítésének figyelemmel kísérése, számlázás, elszámolás céljából kezelik a velük jogviszonyba kerülő természetes személyek, egyéni vállalkozók, adószámos magánszemélyek, egyéni cégek és őstermelők adatait.

b) A kezelhető személyes adatok köre:
i. név,
ii. születési név,
iii. születési idő, hely,
iv. anyja neve,
v. lakcím, levelezési cím,
vi. bankszámlaszám,
vii. személyi igazolvány szám,
viii. adóazonosító jel,
ix. adószám,
x. telefonszám,
xi. e-mail címét egyéb elektronikus elérhetőség,
xii. vállalkozói nyilvántartási szám vagy őstermelői igazolvány száma
xiii. székhely,
xiv. telephely

c) Az adatkezelés jogalapja:
a.i. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, [Rendelet 6. cikk 1) bek. b) pont]
a.ii. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges [Rendelet 6. cikk 1) bek. f)]

d) Adatkezelés időtartama: a szerződés megszűnését követő 5 év, szerződéskötés elmaradása esetén az erre vonatkozó hozzájárulásban szereplő időtartam, ennek hiányában 5 év illetve a képviselői minőségének fennállását követő 5 év.

e) Adattovábbítás: a személyes adatokat megismerhetik a Társaságok könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói, valamint a kereskedelem és szolgáltatásnyújtás során feladattal rendelkező munkavállalói és megbízott adatfeldolgozói, részükre az adatok továbbításra kerülnek.

5. Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek adatai

a) Az adatkezelés célja: a Társaságok a szerződés előkészítése, megkötése, teljesítésének figyelemmel kísérése, üzleti kapcsolattartás céljából kezelik a velük vevőként, szállítóként jogviszonyba kerülő jogi személyt képviselő természetes személyek adatait.

b) A kezelhető személyes adatok köre:
i. név (vezetéknév és keresztnév)
ii. születési név;
iii. beosztás,
iv. telefonszám,
v. e-mail cím, egyéb elektronikus elérhetőség

c) Az adatkezelés jogalapja: az adatkezelés az Infotv. 5. § (1) bekezdés b) pontjának és a GDPR 6. cikk (1) bekezdés a) pontjának megfelelően az érintett természetes személynek az adatkezeléshez történő előzetes, kifejezett hozzájárulásán alapul.

d) Adatkezelés időtartama: a szerződés megszűnését követő 5 év, szerződéskötés elmaradása esetén az erre vonatkozó hozzájárulásban szereplő időtartam, ennek hiányában 5 év, illetve a képviselői minőségének fennállását követő 5 év. A szerződéskötés elmaradása esetén az előkészítés keretében beszerzett adatokat a Társaság törli vagy a természetes személy erre vonatkozó hozzájárulása esetén kezeli.

e) Adattovábbítás: a fenti személyes adatokat a Társaságok könyvelési, adózási, szerződéskezelési és ügyfélszolgálati feladatokat ellátó munkavállalói és adatfeldolgozói, valamint a kereskedelem és szolgáltatásnyújtás során feladattal rendelkező munkavállalók, adatfeldolgozók ismerhetik meg, részükre az adatok továbbításra kerülnek.

6. Látogatói adatkezelés a Társaságok honlapjain – Tájékoztatás sütik (cookie) alkalmazásáról

Általános tájékoztatás a cookie-król

a) Az általánosan elterjedt internetes gyakorlatnak megfelelően Társaságaink is használnak sütiket a weboldalaikon. A süti (angolul cookie) betűből és számokból álló információcsomag, amit a meglátogatott weboldal küld a látogató böngészőjének azzal a céllal, hogy elmentse bizonyos beállításait, megkönnyítse honlapjainak használatát és közreműködik abban, hogy néhány releváns, statisztikai jellegű információt gyűjtsenek honlapjaink látogatóiról.

b) A sütik általánosságban elősegítik, hogy a weboldalak a felhasználók számára hatékony információforrást jelentsenek, továbbá biztosítják a weboldal üzemeltetője részére az oldal működésének ellenőrzését, visszaélések megakadályozását és a weboldalon nyújtott szolgáltatások zavartalan és megfelelő színvonalú biztosítását.

c) A weboldalakon használt sütik önmagukban nem alkalmasak a felhasználó személyének beazonosítására.

d) A sütik használatának elfogadása, engedélyezése nem kötelező.

e) A sütit a Felhasználó képes törölni saját számítógépéről, illetve beállíthatja böngészőjét, hogy a sütik alkalmazását tiltsa. A sütik alkalmazásának tiltásával a Felhasználó tudomásul veszi, hogy süti nélkül az adott oldal működése nem teljes értékű.

Tájékoztatás a Társaságok honlapjain alkalmazott sütikről:

Társaságaink honlapjai a weboldalaik használata során a látogatóról, illetve az általa böngészésre használt eszközről az alábbi adatokat rögzítik és kezelik:
a látogató által használt IP cím;
a böngésző típusa;
a böngészésre használt eszköz operációs rendszerének jellemzői
(beállított nyelv);
a látogatás időpontja;
a meglátogatott (al)oldal, funkció vagy szolgáltatás;
kattintás.

b) Technikailag elengedhetetlenül szükséges munkamenet (session) sütik

Az adatkezelés célja: a honlap megfelelő működésének biztosítása.
Ezek a sütik ahhoz szükségesek, hogy a látogatók böngészhessék a weboldalt, zökkenőmentesen és teljes körűen használhassák annak funkcióit, a weboldalon keresztül elérhető szolgáltatásokat. Ezen sütik adatkezelésének időtartama kizárólag a látogató aktuális látogatására vonatkozik, a munkamenet végeztével, illetve a böngésző bezárásával a sütik ezen fajtája automatikusan törlődik a számítógépéről.

A kezelt adatkör: AVChatUserId, JSESSIONID, portal_referer.

Ezen adatkezelés jogalapja az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése, amely szerint a szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig

c) Hozzájárulást igénylő sütik:

Az adatkezelés célja: lehetőséget biztosítani arra, hogy a Társaságok megjegyezhessék a felhasználó honlappal kapcsolatos választásait. A látogató a szolgáltatás igénybevételét megelőzően és a szolgáltatás igénybevétele során ezen adatkezelést bármikor megtilthatja. Ezek az adatok nem kapcsolhatók össze az igénybe vevő azonosító adataival és az igénybe vevő hozzájárulása nélkül nem adhatók át harmadik személy számára.

Az adatkezelés jogalapja a látogató hozzájárulása.

d) Teljesítményt biztosító sütik

Ezek jellemzően harmadik fél alkalmazásai (pl. GoogleAnalytics, AdWords);
Az adatkezelés célja: a honlap elemzése, reklámajánlatok küldése;
Google Analytics sütik – erről itt tájékozódhat:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
Google AdWords sütik – erről itt tájékozódhat:
https://support.google.com/adwords/answer/2407785?hl=hu

Google Adwords cookie
Amikor valaki meglátogatja az oldalunkat, a látogató cookie-azonosítója hozzáadódik a remarketing listához. A Google cookie-kat – például a NID és SID cookie-kat – használ a Google-termékekben, így például a Google Keresésben látható hirdetések testreszabásához. Az ilyen cookie-kat például arra használja, hogy megjegyezze az Ön legutóbbi kereséseit, az egyes hirdetők hirdetéseivel vagy a keresési eredményekkel való korábbi interakcióit, továbbá a hirdetők webhelyein tett látogatásait. Az AdWords konverziókövetés funkciója cookie-kat használ. A hirdetésből eredő értékesítések és egyéb konverziók követésére cookie-kat ment a felhasználó számítógépére, amikor az adott személy egy hirdetésre kattint. A cookie-k néhány gyakori alkalmazási módja: a hirdetések kiválasztása annak alapján, hogy mi a releváns az adott felhasználó esetén, a kampányok teljesítményéről szóló jelentések tökéletesítése, és a felhasználó által már megtekintett hirdetések megjelenítésének elkerülése.

Google Analytics cookie
A Google Analytics a Google elemző eszköze, amely abban segít a weboldalak és alkalmazások tulajdonosainak, hogy pontosabb képet kapjanak látogatóik tevékenységeiről. A szolgáltatás cookie-kat használhat, hogy információkat gyűjtsön és jelentést készítsen a weboldal használatára vonatkozó statisztikai adatokból anélkül, hogy egyénileg azonosítaná a látogatókat a Google számára. A Google Analytics által használt fő cookie a „__ga” cookie. A webhelyhasználati statisztikai adatokból készülő jelentések mellett a Google Analytics – az előbbiekben ismertetett néhány hirdetési cookie-val együtt – felhasználható arra is, hogy relevánsabb hirdetéseket jelenítsünk meg a Google-termékekben (például a Google Keresésben) és szerte az interneten

Facebook pixel (Facebook cookie)
A Facebook-képpont olyan kód, amelynek a segítségével a honlapon jelentés készül a konverziókról, célközönségek állíthatók össze, és az oldal tulajdonosa részletes elemzési adatokat kap a látogatók honlap használatáról. A Facebook pixel segítségével a weboldal látogatóinak személyre szabott ajánlatokat, hirdetéseket jeleníthet meg a Facebook felületén. A Facebook adatkezelési szabályzatát itt tanulmányozhatja: https://www.facebook.com/privacy/explanation

A legnépszerűbb böngészők süti beállításairól az alábbi linkeken tájékozódhat:

• Google Chrome: https://support.google.com/accounts/answer/61416?hl=hu
• Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn
• Microsoft Internet Explorer 11: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-11
• Microsoft Internet Explorer 10: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-10-win-7
• Microsoft Internet Explorer 9: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-9
• Microsoft Internet Explorer 8: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-8
• Microsoft Edge: http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq
• Safari: https://support.apple.com/hu-hu/HT201265

7. Felelősség a megadott személyes adatok megfelelőségéért

A Társaságok a nekik megadott személyes adatokat nem ellenőrzik. A megadott adatok megfelelősségéért kizárólag az azt megadó személy felel.

A Társaságok felhívják a Felhasználók figyelmét, hogy

a) az adatok naprakészségéről szíveskedjenek gondoskodni. Így például, ha a Felhasználó a már korábban megadott kézbesítési/levelezési cím változását nem jelezte, és így a soron következő küldemény szállítása téves címre történik, a téves szállításból eredő bárminemű kárért a Felhasználó felel;

b) a Társaságok kérhetik a jogosultság megfelelő igazolását.

II. Az adatkezelés biztonsága

1. Szervezési és technikai feltételek:

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a) a személyes adatok álnevesítését és titkosítását;
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
e) A kezelt adatok olyan módon történő tárolását, hogy azokhoz illetéktelenek ne férhessenek hozzá: papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával.
f) Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.
g) A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott szervezet igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről.

2. Informatikai védelem

a) Az adatkezelés során használt számítógépek és mobil eszközök (egyéb adathordozók) a Szolgáltató birtokát képezik.
b) A Szolgáltató által hasznát személyes adatokat tartalmazó számítógépes rendszer vírusvédelemmel van ellátva.
c) A digitálisan tárolt adatok biztonsága érdekében a Szolgáltató adatmentéseket és archiválásokat alkalmaz.
d) A központi szerver géphez csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá.
e) A számítógépeken található adatokhoz felhasználónévvel és jelszóval lehet csak hozzáférni

III. AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA

1. Adatkezelés az érintett hozzájárulása alapján

Amennyiben a Társaságok hozzájáruláson alapuló adatkezelést kívánnak végezni, meg kell kérniük az érintett hozzájárulását személyes adatai kezeléséhez.

Hozzájárulásnak minősül az is, ha az érintett a Társaságok internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. Az előre bejelölt négyzet nem minősül hozzájárulásnak.

A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik – pl, értékesítési, szolgáltatási szerződés megkötése – a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában.

A Társaság nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.

A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

2. Jogi kötelezettség teljesítésén alapuló adatkezelés

A jogi kötelezettségen alapuló adatkezelés esetén a kezelhető adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az alapul szolgáló jogszabály rendelkezései irányadók.

A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.

A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

IV. AZ ÉRINTETT SZEMÉLY JOGAI ÉS JOGÉRVÉNYESÍTÉSI LEHETŐSÉGEI

1. Átlátható tájékoztatás, kommunikáció. az érintett joggyakorlásának elősegítése, panaszkezelés

a. Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania.

b. Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását.

c. Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet tájékoztatni kell.

d. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, úgy késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül köteles tájékoztatni az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, élhet bírósági jogorvoslati jogával, és panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál. Név: Nemzeti Adatvédelmi és Információszabadság Hatóság Székhely: 1055 Budapest, Falk Miksa utca 9-11. Levelezési cím: 1363 Budapest, Pf.: 9. Telefon: +36 (1) 391-1400 Fax: +36 (1) 391-1410 E-mail: ugyfelszolgalat@naih.hu Honlap: http://www.naih.hu

2. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik

Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. Ennek keretében az érintettet tájékoztatni kell:

a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),
c) a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik – , illetve a címzettek kategóriáiról, ha van ilyen;
f) adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

Az előzetes tájékozódáshoz való jog részletes szabályait a Rendelet 13. cikke tartalmazza.

3. Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg

a) Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet az adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell az előbbi, 2. pontban írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint a személyes adatok forrásáról, és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
A további szabályokra az előbbi 2. pontban (Előzetes tájékozódáshoz való jog) írtak irányadók.

E tájékoztatás részletes szabályait a Rendelet 14. cikke tartalmazza.

4. Az érintett hozzáférési joga

a) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az előbbi 2-3. pontban írt kapcsolódó információkhoz hozzáférést kapjon.

Az érintett hozzáférési jogára vonatkozó részletes szabályokat a Rendelt 15. cikke tartalmazza.

5. A helyesbítéshez való jog

a) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
b) Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

Ezen szabályokat a Rendelet 16. cikke tartalmazza.

6. A törléshez való jog („az elfeledtetéshez való jog”)

a) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
b) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
c) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
d) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
e) a személyes adatokat jogellenesen kezelték;
f) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
g) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

A törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a népegészségügy területét érintő közérdek alapján;
d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

A törléshez való jogra vonatkozó részletes szabályokat a Rendelet 17. cikke tartalmazza.

7. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
a) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
b) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
c) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.
A vonatkozó szabályokat a Rendelet 18. cikke tartalmazza.

8. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

E szabályok a Rendelet 19. cikke alatt találhatók.

9. Az adathordozhatósághoz való jog

a) A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha
az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
az adatkezelés automatizált módon történik.
b) Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását is.
c) Az adathordozhatósághoz való jog gyakorlása nem sértheti a Rendelet 17. cikkét (A törléshez való jog („az elfeledtetéshez való jog”). Az adtahordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. E jog nem érintheti hátrányosan mások jogait és szabadságait.

A részletes szabályokat a Rendelet 20. cikke tartalmazza.

10. A tiltakozáshoz való jog

a) Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak közérdeken, közfeladat végrehajtásán (6. cikk (1) e)), vagy jogos érdeken (6. cikk f)) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

b) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.  Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

c) Ezen jogokra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

d) Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

A vonatkozó szabályokat a Rendelet 21. cikke tartalmazza.

11. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

a) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

b) Ez a jogosultság nem alkalmazandó abban az esetben, ha a döntés:
i. az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
ii. meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
iii. az érintett kifejezett hozzájárulásán alapul.

A további szabályokat a Rendelet 22. cikke tartalmazza.

12. Az érintett tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:

a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
b) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
c) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

A további szabályokat a Rendelet 34. cikke tartalmazza.

13. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

a.i.1.a.i.1.a. Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.  Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.

E szabályokat a Rendelet 77. cikke tartalmazza.

a.i.1.a.i.1.b. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

E szabályokat a Rendelet 78. cikke tartalmazza.

14. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

a.i.1.a.i.1.a. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.

a.i.1.a.i.1.b. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani.

E szabályokat a Rendelet 79. cikke tartalmazza.

V. ADATVÉDELMI INCIDENSEK KEZELÉSE

1. Az adatvédelmi incidens fogalma

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.)

A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.

2. Adatvédelmi incidensek kezelés, orvoslása

Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a Társaság vezetőjének feladata.

Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.

Amennyiben a társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a Társaság vezetőjét.
Adatvédelmi incidens bejelenthető a Társaság központi e-mail címén, telefonszámán, amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

Adatvédelmi incidens bejelentése esetén a Társaság vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:

a) az incidens bekövetkezésének időpontját és helyét,
b) az incidens leírását, körülményeit, hatásait,
c) az incidens során kompromittálódott adatok körét, számosságát,
d) a kompromittálódott adatokkal érintett személyek körét,
e) az incidens elhárítása érdekében tett intézkedések leírását,
f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

3. Adatvédelmi incidensek nyilvántartása

Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

VI. ZÁRÓ RENDELKEZÉSEK

Az Adatkezelési Tájékoztató hatályba lépése, módosítása

A Társaságok a jelen Tájékoztatóban fel nem sorolt (eseti) adatkezelésekről az adat felvételekor adnak tájékoztatást.

A Társaságok fenntartják maguknak a jogot, hogy a jelen Adatkezelési Tájékoztatót egyoldalú döntésükkel bármikor módosítsák. Az Adatkezelési Tájékoztató módosítását követően arról valamennyi érintettet megfelelő módon tájékoztatni kell. A Társaságok szolgáltatásainak további felhasználása a megváltozott adatkezelési szabályok tudomásul vételét jelenti.