ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT


1. A Szabályzat célja

A jelen Szabályzat célja, hogy rögzítse a Századvég Politikai Iskola Alapítvány, valamint szervezeti egységei, a Századvég Kiadó, a Századvég Alumni Klub és a Budapesti Civil Információs Centrum (továbbiakban együttesen: Alapítvány) által alkalmazott adatvédelmi és adatkezelési elveket, valamint az Alapítvány adatvédelmi és adatkezelési politikáját, amelyet az Alapítvány magára nézve kötelező erővel ismer el.

Jelen szabályzat kialakításakor az Alapítvány különös tekintettel vette figyelembe az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (Infotv.), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács 2016/679. számú Rendeletét (GDPR).

A jelen Szabályzat célja, hogy az Alapítvány által végzett tevékenységek minden – így különösen a kutatási tevékenység, a kiadói tevékenység, a Budapesti Civil Információs Centrum működtetése valamint az Alapítvány korábbi hallgatóival való kapcsolattartás – területén a természetes személyek számára személyes adataik kezelésével összefüggő védelem biztosítva legyen.

2. Fogalom meghatározások

Személyes adat: a meghatározott természetes személlyel (a továbbiakban: Érintett) kapcsolatba hozható adat – különösen az Érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az Érintettre vonatkozó következtetés. A Személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az Érintettel helyreállítható;

Érintett: az a természetes személy, aki az Alapítvány részére Személyes adatait megadja – így különösen: valamely kutatás résztvevője, a Századvég Kiadó webáruházának (a továbbiakban: webáruház) regisztrált felhasználója, a Budapesti Civil Információs Centrum szolgáltatásainak igénybevevője vagy azzal összefüggésbe hozható személy, illetőleg a Századvég Alumni Klub (a továbbiakban: Alumni) tagja;

Adatállomány: az egy nyilvántartásban kezelt adatok összessége;

Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

Adatkezelő: az Alapítvány, az alábbiak szerint:

név:                             Századvég Politikai Iskola Alapítvány

székhelye:                   1037 Budapest, Hidegkuti Nándor u. 8-10.

nyilvántartási száma:  Fővárosi Törvényszék, 01-01-0004243

adószáma:                  18052411-2-41

Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

Adattovábbítás: a Személyes adat meghatározott harmadik személy számára hozzáférhetővé tétele;

Nyilvánosságra hozatal: a Személyes adat bárki számára történő hozzáférhetővé tétele;

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges;

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik;

Adatfeldolgozó: az a természetes vagy jogi személy, illetve az Alapítvány jogi személyiséggel nem rendelkező szervezeti egysége, aki vagy amely az Adatkezelő megbízásából személyes adatok feldolgozását végzi (kapcsolattartó);

Automatizált adatállomány: automatikus feldolgozásra kerülő adatok sora;

Gépi feldolgozás: a következő műveleteket tartalmazza, ha azokat részben vagy egészben automatizált eszközökkel hajtják végre: az adatok tárolása, az adatokkal végzett logikai vagy aritmetikai műveletek, az adatok megváltoztatása, törlése, visszakeresése és terjesztése;

Álnevesítés: a Személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a Személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a Személyes adatot nem lehet kapcsolni;

Hozzájárulás: az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó Személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;

Tiltakozás: az Érintett nyilatkozata, amellyel Személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;

Adatvédelmi incidens: Személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

3. A kezelt Személyes adatok köre

3.1. Az Érintett döntése alapján az alábbi adatokat adja meg:

3.1.1. A kutatás esetén: A kutatás során az Érintett által aláírt nyilatkozatban meghatározott adatok. Adatkezelő a részére kutatási tevékenységgel kapcsolatban átadott Személyes adatokat kizárólag a kutatási tevékenység elősegítése érdekében kezeli és azokat csak az Érintett hozzájárulása esetén jogosult továbbítani harmadik személyek felé. Az Érintett által a kutatások során adott válaszok feldolgozásra kerülnek, melyek során azok elveszítik személyes jellegüket, így az Érintettel a továbbiakban nem hozhatóak kapcsolatba.

Tudományos kutatás céljára felvett személyes adat csak tudományos kutatás céljára használható fel. A személyes adat Érintettel való kapcsolatának megállapítását – mihelyt a kutatási cél megengedi – véglegesen lehetetlenné kell tenni. Ennek megtörténtéig is külön kell tárolni azokat az adatokat, amelyek meghatározott vagy meghatározható természetes személy azonosítására alkalmasak. Ezek az adatok egyéb adatokkal csak akkor kapcsolhatók össze, ha az a kutatás céljára szükséges.

Az Alapítvány személyes adatot csak akkor hozhat nyilvánosságra, ha

a)    az Érintett ahhoz hozzájárult, vagy

b)    az a történelmi eseményekről folytatott kutatások eredményeinek bemutatásához szükséges.

3.1.2. A webáruház esetén (természetes személynél): Kiszállítási és számlázási adatok: név; irányítószám; település; utca, házszám. Megrendelő személy elérhetőségei: név; telefonszám; e-mail cím, a Felhasználó által megrendeléseikor vásárolt termékkategória, a Felhasználó által alkalmazott átvételi és fizetési mód, a Felhasználó vásárlásainak tételösszege.

3.1.3. Az Alumni esetén: a jelentkező neve, címe, valamint e-mail elérhetősége.

3.1.4. A Budapesti Civil Információs Centrum esetén: a rendezvények jelenléti ívein résztvevő Érintettek neve (jogi személy esetén a jogi személy és képviselőjének neve), valamint e-mail elérhetősége; hírlevélre jelentkezés esetén az Érintett e-mail címe; továbbá a Centrum jogi kötelezettségei teljesítéséhez szükséges, hatóságok nyilvános adatbázisaiból vagy a szolgáltatások teljesítésének eredményéből származó elérhetőségek (név, telefonszám, e-mail cím).

3.2. Az Adatkezelő weboldalának működtetése során technikailag rögzítésre kerülő adatok: az Érintett bejelentkező számítógépének azon adatai, melyek a szolgáltatás igénybe vétele során generálódnak, és melyeket az Adatkezelő rendszere a technikai folyamatok automatikus eredményeként rögzít. Az automatikusan rögzítésre kerülő adatokat a rendszer az Érintett külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza. Ezen adatok egyéb felhasználói Személyes adatokkal – törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Az adatokhoz kizárólag az Adatkezelő fér hozzá (Adatbiztonság követelménye).

3.3. Az Adatkezelő weboldalán keresztül a testre szabott kiszolgálás érdekében az Érintett számítógépén kis adatcsomagot (ún. „cookie”-t) helyez el. A cookie célja az adott oldal minél magasabb színvonalú működésének biztosítása a felhasználói élmény növelése érdekében. A cookie-t az Érintett képes törölni saját számítógépéről, illetve beállíthatja böngészőjét, hogy a cookie-k alkalmazását tiltsa. A cookie-k alkalmazásának tiltásával az Érintett tudomásul veszi, hogy cookie nélkül a weboldal működése nem teljes értékű.

3.4. Az Alapítvány rendezvényei során fényképfelvételek készülnek a résztvevőkről, melyek készítéséhez és kezeléséhez a résztvevők a rendezvényen való részvétellel automatikusan hozzájárulnak. Erről az Alapítvány külön is tájékoztatja a rendezvényein részt vevőket.

4. Az Adatkezelés jogalapja, célja és módja

4.1. Az Adatkezelésre az Érintett által részére külön biztosított vagy a www.szazadveg.hu internetes weboldal felhasználóinak a weboldalon található megfelelő tájékoztatáson alapuló önkéntes, konkrét és egyértelmű kinyilvánítása alapján kerül sor, amellyel hozzájárulnak ahhoz, hogy a közölt Személyes adataik felhasználásra kerüljenek, kivételes esetben pedig törvényi előírás alapján. Az Adatkezelés jogalapja ennek megfelelően az Infotv. 5.§ (1) bek. a) pontja szerint az Érintett önkéntes hozzájárulása, illetőleg egyes esetekben az Infotv. 5. § (1) bek. b) pontja szerinti kötelező adatkezelés.

4.2. Az Adatkezelés célja az Adatkezelő fenti tevékenységeinek biztosítása, valamint az azokkal kapcsolatos jogszabályi kötelezettségek teljesítése.

4.3. Az automatikusan rögzítésre kerülő adatok (lásd. 3.2. pont) célja az Adatkezelő internetes oldalán keresztül elérhető szolgáltatások nyújtásának biztosítása, a személyre szabott tartalmak és hirdetések megjelenítése, statisztikakészítés, az informatikai rendszer technikai fejlesztése, a felhasználók jogainak védelme. Az Érintett által a szolgáltatás igénybevétele során hozzáférhetővé tett adatokat az Adatkezelő felhasználhatja arra, hogy felhasználói csoportokat képezzen, és a felhasználói csoportok részére az Adatkezelő weboldalain célzott tartalmat, és/vagy hirdetést jelenítsen meg.

4.4. Az Adatkezelő a megadott Személyes adatokat az e pontokban írt céloktól eltérő célokra nem használhatja fel. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak törvény ettől eltérően nem rendelkezik kötelező erővel – kizárólag az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.

4.5. Adatkezelő a neki megadott Személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó Érintett felel. Bármely Érintett e-mail címének megadásakor egyben felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen történt belépésekkel összefüggő mindennemű felelősség kizárólag azt az Érintettet terheli, aki az e-mail címet regisztrálta.

4.6. Ha az adatkezelést az Adatkezelő nevében más végzi, az Adatkezelő kizárólag olyan Adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés jogszabályok követelményeinek való megfelelését és az Érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

5. Az Adatkezelés elvei

5.1. A Személyes adatok kezelését csak jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”).

A személyes adatok kezelése jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)    az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b)    az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;

c)     az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)    az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)    az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f)     az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.

5.2. A Személyes adatokat csak meghatározott, egyértelmű és törvényes célra szabad tárolni, és attól eltérő módon nem szabad felhasználni. Nem minősül az eredeti céllal össze nem egyeztethetőnek a kutatási vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”).

5.3. A Személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”).

5.4. A Személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan Személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”).

5.5. A Személyes adatok tárolási módjának olyannak kell lennie, amely az Érintett azonosítását csak a tárolás céljához szükséges ideig teszi lehetővé („korlátozott tárolhatóság”).

5.6. Meg kell tenni a megfelelő biztonsági intézkedéseket az automatizált adatállományokban tárolt Személyes adatok védelme érdekében a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozására („integritás és bizalmas jelleg”).

5.7. Az Adatkezelő felelős a fentieknek megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

5.8. A Személyes adatok kutatási célból vagy statisztikai célból folytatott kezelését az Érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az Álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.

6. Az Alapítvány (Adatkezelő) által alkalmazott adatvédelmi irányelvek

6.1. Az Adatkezelő tevékenységeinek ellátásához elengedhetetlenül szükséges Személyes adatokat az Adatkezelő az Érintettek hozzájárulása alapján, és kizárólag célhoz kötötten használja fel.

6.2. Az Adatkezelő vállalja, hogy a birtokába jutott Személyes adatokat az Infotv. és a GDPR rendelkezéseinek figyelembevételével, a jelen Szabályzatban rögzített adatvédelmi elveknek megfelelően kezeli, és azokat harmadik félnek az Érintett vagy jogszabályi engedély nélkül át nem adja.

6.3. Az Adatkezelő kötelezettséget vállal arra, hogy az Érintettek bármely Személyes adatának felvétele, rögzítése, kezelése előtt világos, figyelemfelkeltő és egyértelmű közlést tesz közzé, amelyben tájékoztatja őket az adatfelvétel módjáról, céljáról és elveiről. Mindezeken túlmenően, minden olyan esetben, amikor az adatfelvételt, kezelést, rögzítést nem jogszabály teszi kötelezővé, az Adatkezelő felhívja az Érintett figyelmét az adatszolgáltatás önkéntességére. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. Az Érintettet tájékoztatni kell az adatkezelés céljáról és arról, hogy a Személyes adatokat kik fogják kezelni, illetve feldolgozni. Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.

6.4. Az Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt a jogszabályi követelmények teljesítéséhez és az Érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan Személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött Személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.

6.5. Minden olyan esetben, ha a szolgáltatott Személyes adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az Érintettet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerezi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.

6.6. Az Adatkezelő az adatok felvétele, rögzítése és kezelése során a jogszabályok által rögzített korlátozásokat minden esetben betartja, tevékenységéről az Érintettet annak igénye szerint, elektronikus levelezés útján tájékoztatja. Az Adatkezelő kötelezi magát, hogy semmilyen szankciót nem érvényesít az olyan Érintettel szemben, aki a nem kötelező adatszolgáltatást megtagadja.

6.7. Az Adatkezelő kötelezi magát, hogy gondoskodik a Személyes adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt Személyes adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek a Személyes adatokat esetlegesen továbbítja vagy átadja, ugyancsak felhívja ez irányú kötelezettségeinek teljesítésére.

6.8. Ha a Személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő Személyes adat az Adatkezelő rendelkezésére áll, a Személyes adatot az Adatkezelő vagy utasítása alapján az Adatfeldolgozó helyesbíti.

7. Az Adatkezelés időtartama

7.1. Az Érintett által megadott Személyes adatok kezelése mindaddig fennmarad, amíg az Érintett (különösen az Alumni és a Budapesti Civil Információs Centrum hírlevele esetén) a szolgáltatásról – az adott felhasználói névvel – ki nem iratkozik, a Személyes adatok kezelésének megszüntetését kifejezetten írásban nem kéri, vagy a Személyes adat kezelésének célja fennáll. Jogellenes, megtévesztő Személyes adat használata esetén vagy az Érintett által elkövetett bűncselekmény, illetve rendszer elleni támadás esetén az Adatkezelő jogosult az Érintett regisztrációjának megszűnésével egyidejűleg adatait haladéktalanul törölni, ugyanakkor bűncselekmény gyanúja vagy polgári jogi felelősség gyanúja esetén jogosult a Személyes adatokat a lefolytatandó eljárás időtartamára őrizni is.

7.2. A weboldal működése során automatikusan, technikailag rögzítésre kerülő adatok a generálódásuktól számítva a weboldal működésének biztosítása szempontjából indokolt időtartamig kerülnek tárolásra a rendszerben. Az Adatkezelő biztosítja, hogy ezen, automatikusan rögzített adatok egyéb felhasználói Személyes adatokkal – a törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Ha az Érintett Személyes adatainak kezeléséhez adott hozzájárulását megszüntette, vagy a szolgáltatásról leiratkozott, úgy ezt követően a technikai adatokról az ő személye nem lesz beazonosítható.

8. Adatfeldolgozás

Az Adatkezelő külső adatfeldolgozót nem vesz igénybe. Az általa kezelt Személyes adatokat maga vagy az adatfeldolgozással megbízott munkavállalói dolgozzák fel. A jelen Szabályzat alapján kezelt adatok az egyes tevékenységekkel kapcsolatosan a vonatkozó tájékoztatóban meghatározott Adatfeldolgozók által kerülnek kezelésre.

9. Nyilvántartás, biztonság

9.1. Ha az adatkezelés nem alkalmi jellegű, az Adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

  1. az Adatkezelő neve és elérhetősége, valamint az Adatkezelő képviselőjének a neve és elérhetősége;
  2. az adatkezelés céljai;
  3. az Érintettek kategóriáinak, valamint a Személyes adatok kategóriáinak ismertetése;
  4. olyan címzettek kategóriái, akikkel a Személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  5. adott esetben a Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
  6. ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  7. ha lehetséges, az adatbiztonság garantálása érdekében végrehajtott technikai és szervezési intézkedések általános leírása.

Az Adatkezelő a jogszabályok szerint a nyilvántartást kizárólag a felügyeleti hatóság részére, annak megkeresése alapján bocsátja rendelkezésére.

9.2. Az Adatkezelő és az Adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  1. a Személyes adatok álnevesítését és titkosítását;
  2. a Személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  3. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a Személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt Személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Az Adatkezelő és az Adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az Adatkezelő vagy az Adatfeldolgozó irányítása alatt eljáró, a Személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre jogszabály kötelezi őket.

9.3. Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

A bejelentésben ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedések

10. Adattovábbítás lehetősége

Az Adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt Személyes adatot az illetékes hatóságoknak továbbítani, amely adattovábbításra őt jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt Adatkezelő nem tehető felelőssé.

11. Az Érintettek jogai az Adatkezelő által kezelt Személyes adataikkal kapcsolatosan

11.1. Az Érintettek bármikor írásban, az Adatkezelő címére küldött ajánlott vagy tértivevényes-ajánlott levélben, illetve a vonatkozó tájékoztatóban kijelölt Adatfeldolgozó e-mail címére küldött e-mailben

  • Személyes adataik kezeléséről tájékoztatást kérhetnek;
  • Személyes adataikban bekövetkezett változás vagy helytelenül nyilvántartott adatok  esetén adataik helyesbítését kérhetik;
  • Személyes adataik törlését vagy zárolását kérhetik;
  • Személyes adataik kezelésének korlátozását kérhetik; illetőleg
  • Személyes adataik tagolt, széles körben használt, géppel olvasható formátumban megküldését kérhetik, továbbá, hogy ezeket az adatokat az Adatkezelő – annak akadályozása nélkül – egy másik adatkezelőnek továbbítsa (adathordozhatósághoz való jog).

E-mailben küldött tájékoztatáskérést az Adatkezelő csak akkor tekint hitelesnek, ha – amennyiben az az Adatkezelő rendelkezésére áll – azt az Érintett regisztrált e-mail címéről küldik. A tájékoztatáskérés kiterjedhet az Érintett Adatkezelő által kezelt adataira, azok forrására, az Adatkezelés céljára, jogalapjára, időtartamára, az esetleges Adatfeldolgozók nevére és címére, az adatkezeléssel összefüggő tevékenységekre, valamint a Személyes adatoknak továbbítása esetén arra, hogy kik és milyen célból kapták vagy kapják meg az Érintett adatait.

Személyes adat törlésére vagy módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.

11.2. Az Adatkezeléssel kapcsolatos kérdésre Adatkezelő a kézhezvételtől számított legrövidebb időn, legfeljebb azonban 25 napon belül, közérthető formában, az Érintett erre irányuló kérelmére írásban megadni a tájékoztatást. E-mail esetében a kézhezvétel időpontjának az elküldést követő első munkanapot kell tekinteni.

11.3. A kezelt Személyes adat helyesbítéséről, a zárolásról ill. a törlésről az Érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti.

11.4. Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó Személyes adatokat, az Adatkezelő pedig köteles az Érintettre vonatkozó Személyes adatokat – jogszabály eltérő rendelkezése hiányában – indokolatlan késedelem nélkül törölni, ha az alábbi indokok valamelyike fennáll:

  1. a Személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték, vagy a Személyes adatok tárolásának törvényben meghatározott határideje lejárt;
  2. a Személyes adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki;
  3. az Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  4. az Érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
  5. a Személyes adatokat jogellenesen kezelték;
  6. a Személyes adatokat jogszabály teljesítéséhez törölni kell (a Személyes adat törlését bíróság vagy hatóság elrendelte).

Ha az Adatkezelő nyilvánosságra hozta a Személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó Személyes adatokra mutató linkek vagy e Személyes adatok másolatának, illetve másodpéldányának törlését.

A jelen pontban rögzítettek nem alkalmazhatóak, amennyiben az adatkezelés szükséges:

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  2. a Személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;
  3. a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adat törlése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  4. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

11.5. Törlés helyett az Adatkezelő zárolja a Személyes adatot, ha az Érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit. Az így zárolt Személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a Személyes adat törlését kizárta.

11.6. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az Érintettet, továbbá mindazokat értesíteni kell, akik részére korábban a Személyes adatot Adatkezelés céljára továbbításra került. Az értesítést az Adatkezelő mellőzheti, ha ez az Adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti.

11.7. Ha az Adatkezelő az Érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban tájékoztatja az Érintettet a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokairól, továbbá arról, hogy az Adatkezelő határozatával szemben a bírósághoz ill. a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat.

11.8. Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az Érintett vitatja a Személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a Személyes adatok pontosságát;
  2. az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. az Adatkezelőnek már nincs szüksége a Személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen Személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő az Érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

11.9. Az Érintett tiltakozhat Személyes adatának adatkezelése ellen,

  1. ha a Személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, a Személyes adatot átvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
  2. ha a Személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
  3. törvényben meghatározott egyéb esetben.

Az Adatkezelő a tiltakozást annak kézhezvételétől benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről az Érintett írásban tájékoztatja.

Ha az Adatkezelő az Érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, a Személyes adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett Személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az Érintett az Adatkezelő döntésével nem ért egyet, illetve ha az Adatkezelő a jelen pontban hivatkozott határidőt elmulasztja, a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat.

12. Jogérvényesítési lehetőségek

Az Érintett az Infotv., valamint a 2013. évi V. tv. (Ptk.) alapján jogérvényesítését bíróság előtt gyakorolhatja, továbbá bármilyen Személyes adattal kapcsolatos kérdésben kérheti az illetékes felügyeleti hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság segítségét is (1125 Budapest, Szilágyi Erzsébet fasor 22/C; postacím: 1530 Budapest, Pf. 5.).

Az Érintett a jogainak megsértése esetén, valamint az Infotv.  21. §-ban meghatározott esetekben az adatátvevő, az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik.

Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel ezen túlmenően kereshetők az illetékes Adatfeldolgozók is az egyes tájékoztatásokban foglalt e-mail címeken.

13. Az Adatkezelési Szabályzat módosítása

13.1. A jelen Adatvédelmi és Adatkezelési Szabályzatot az Adatkezelő jogosult egyoldalúan bármikor módosítani. A Szabályzat módosítását követően valamennyi Érintettet megfelelő módon (hírlevélben, belépéskor felugró ablakban) tájékoztatni kell. A szolgáltatás további felhasználásával az Érintettek a megváltozott adatkezelési szabályokat tudomásul veszik, ezen túlmenő beleegyezésük kikérésére nincs szükség.

Budapest, 2018. május 25.