top of page

Adatkezelési tájékoztató

A WEBOLDALON SZEREPLŐ KÉPEK ÉS SZÖVEGES TARTALMAK FELASZNÁLÁSA ÉS MÁSOLÁSA SZIGORÚAN TILOS!

Adatkezelő neve és elérhetőségei:

Novák Violetta holisztikus dietetikai és „Metabolic typing” szaktanácsadó

Postai címe: 7627 Pécs, Szeder u. 26/3.

Email címe: novak.violetta@gmail.com

1. Bevezetés

Az adatkezelő jelen tájékoztató alapján kezeli a személyes adatokat.

Jelen adatvédelmi tájékoztató az érintett számára készült, amelyben az érintett megismerheti adatkezelő, őket érintő személyes adataira vonatkozó adatkezelési tevékenységét.

 

2. Alkalmazott jogszabályok

Az adatkezelő a szerződése jogviszonyon alapuló az abban meghatározott szolgáltatások végzése során, a tudomásukra jutott adatokat, a mindenkor hatályos Ptk., valamint az alábbi jogszabályok alapján köteles kezelni, egyben ezen jogszabályok hatály kiterjed az adatkezelő adatkezelési gyakorlatára és rendszerére:

− Magyarország Alaptörvénye;

− a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (továbbiakban Info tv.);

− az Európai Parlament és a Tanács (EU) 2016/679 rendelete (a továbbiakban: GDPR) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról;

− az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény

− az adózás rendjéről szóló 2017. évi CL törvény

− 2005. évi XC. törvény az elektronikus információszabadságról

− 2003. évi C. törvény az elektronikus hírközlésről

 

Jelen adatkezelési tájékoztatóban foglaltak, az adatkezelő állápontja szerint mindenben megfelelnek a fent hivatkozott jogszabályi rendelkezéseknek. Az adatkezelő kötelezettséget vállal arra, hogy a személyes adatok kezelését a mindenkori hatályos, különösen pedig az alábbiakban felsorolt jogszabályi előírásoknak megfelelően végzi:

 

3. Alapelvek

 

Jogszerűség, tisztességes eljárás, átláthatóság

A személyes adatok kezelése csak meghatározott jogalap (hozzájárulás vagy más törvényes jogalap) alapján történhet. A személyes adatokat tisztességesen és az érintett által átlátható módon kell kezelni. Az adatkezeléssel kapcsolatos információkat pontos, átlátható, érthető és könnyen hozzáférhető formában, egyszerű és érthető nyelvezettel kell megadni.

 

Célhoz kötöttség

Az adatok csak meghatározott, egyértelmű és jogszerű célból gyűjthetőek. Az adatok további kezelése is csak e célokkal összhangban történhet. A célhoz kötöttséggel közvetlenül összefüggő, az adatkezelő és az érintett érdekei közti mérlegelés sok esetben megteremti az adatkezelés jogalapját. Ezért az adatkezelés konkrét célját minden esetben meg kell határozni.

 

Adattakarékosság

Az adattakarékosság alapelvének értelmében az adatgyűjtés és az adatkezelés azokra az adatokra korlátozandó, amelyek a kívánt cél eléréséhez ténylegesen szükségesek.

 

Pontosság 

A kezelt személyes adatok pontosak és naprakészek. A pontatlan adatokat haladéktalanul törölni vagy helyesbíteni kell.

Korlátozott tárolhatóság

A személyes adatoknak az érintettek azonosítását lehetővé tevő formában történő tárolása az adatkezelés céljának eléréséhez szükséges ideig lehetséges. A hatályos jogszabályokban előírt határidők betartásra kerülnek. Az álnevesítés vagy anonimizálás lehetőségét az adatkezelő folyamatosan vizsgálja. Az álnevesítés esetében az adatok más információkkal való összekapcsolás nélkül nem rendelhetők hozzá az érintetthez.

 

Integritás, bizalmi jelleg

Az adatkezelő olyan technikai és szervezési intézkedéseket vezet be, amelyek biztosítják az adatok jogosulatlan és jogellenes kezelésének, véletlen elvesztésének, megsemmisülésének, illetve károsodásának megelőzését. Elsősorban IT és szervezeti vonatkozásban megelőző intézkedéseket foganatosít (pl.: hozzáférési és jogosultsági eljárásrendek, kódolás), figyelembe véve különösen a GDPR 32. cikk (az adatkezelés biztonsága) és 35. cikk (adatvédelmi hatásvizsgálat) rendelkezéseit. Az adatvédelmi incidenseket, azaz a személyes adatok sérelmét, ha fennáll a kockázata annak, hogy az érintettek jogai sérülnek, a GDPR 33. cikk értelmében az adatvédelmi hatóságnak be kell jelenteni. Adott esetben – ha a kockázat magas – az érintett személy közvetlenül is értesítendő.

 

Elszámolhatóság

Az elszámoltathatóság alapelve (GDPR 5. cikk 2. bekezdés) értelmében az alapelveknek való megfelelést dokumentumokkal kell alátámasztani.

 

Adathordozhatóság

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 20. § (1) kimondja, hogy az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező.

 

Tájékoztatási kötelezettség

Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés

− céljáról és jogalapjáról,

− az adatkezelésre és az adatfeldolgozásra jogosult személyéről,

− az adatkezelés időtartamáról,

 

Tájékoztatni kell az érintettet az Info tv. 6. § (1) bekezdése alapján arról is, hogy személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése

− az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy

− az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

 

A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna (mint például egy weboldalon), a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:

  1. a) az adatgyűjtés ténye,

  2. b) az érintettek köre,

  3. c) az adatgyűjtés célja,

  4. d) az adatkezelés időtartama,

  5. e) az adatok megismerésére jogosult lehetséges adatkezelők személye,

  6. f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint

  7. g) ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma.

 

4. Értelmező fogalmak (GDPR 4. cikk)

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

 

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés-továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

 

3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

 

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

 

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

 

6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

 

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a

személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

 

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

 

9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

 

10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

 

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; 4

 

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

 

13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

 

14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

 

15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

 

16. „tevékenységi központ”: a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

 

17. „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

 

18. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

 

19. „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

 

20. „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

 

21. „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

 

22. „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz;

 

23. „személyes adatok határokon átnyúló adatkezelése”: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló 

olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

 

24. „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

 

25. „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (1) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

 

26. „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

 

5. Az egészségügyi és személyes adat kezelésének jogcíme

A GDPR 6. cikk (1) bekezdés alapján amennyiben

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

A GDPR 6. cikk (1) bekezdés alapján amennyiben

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 4. § (3) bekezdése alapján az érintett, illetve törvényes vagy meghatalmazott képviselője megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett hozzájárulásával egészségügyi adatot kezelni teljeskörűen vagy egyes adatkezelési tevékenységre kiterjedően.

 

5.1. Tájékoztatás az adatkezelésről

Az átlátható adatkezelés érdekében, az adatkezelési tájékoztatóban foglalt adatkezelési célokat, azok jogalapját, a kezelt adatok kategóriáit, az adatkezelés időtartamát tagolt és közérhető formában, könnyen átlátható módon az alábbiakban foglaljuk össze a fentiekben ismertetett alapján.

 

5.2 Adatkezelő által az egészség megőrzésének, javításának, fenntartásának előmozdítása érdekében végzett életmód- és táplálkozási, sporttáplálkozás és táplálékkiegészítő, „Metabolic typing” szaktanácsadás, holisztikus táplálkozási és dietetikai tanácsadás és egészségügyi felmérés, szerződéses teljesítéséhez szükséges adatkezelés leírása.

 

MI AZ ADATKEZELÉS CÉLJA?

Az Adatkezelő szerződéses viszonyba kerül az érintettekkel, amelynek keretében az adatkezelő az alábbi célból kezeli az érintett adatait:

− szerződéses viszonyhoz tartozó kapcsolattartó meghatározása

− szolgáltatás teljesítéséhez

− a szolgáltatás elvégzését követő számla kibocsátásához

− a számitógépen tárolt adatok mentése adatbiztonsági célból

− marketing tevékenységként hírlevél kiküldése céljából

− marketing tevékenységként kedvezményes ajánlat kiküldése céljából

− adatkezelő közösségi médiafelületein kapcsolattartás, időpontfoglalás, önkéntes hozzájáruuláson alapuló referencia bemutatás

 

Az adatkezelő szolgáltatásainak igénybevételéhez kapcsolódóan az adatkezelés célja továbbá az érintett beazonosítása, a szolgáltatások közül leginkább az érintett igényeinek megfelelő program ajánlása, szervezése, továbbá a kapcsolattartás.

 

KI AZ ADATKEZELŐ, ADATFELDOLGOZÓ ÉS KI AZ ÉRINTETT SZEMÉLYE?

Az adatkezelő az érinett személyes adatainak kezelője, adatfeldolgozót nem vesz igénybe adatkezelő.

Az adatkezelő által kezelt személyes adatok az alábbi érintettekre vonatkoznak:

− a szolgáltatást megrendelő természetes személy adatai

− a marketing tevékenységekre feliratkozott természetes személy adatai

− a nyereményjátékra feliratkozott természetes személy adatai

 

MI AZ ADATKEZELÉS JOGALAPJA?

Adatkezelő szerződéskötéskori nyilatkozatban foglalt érintett által megadott önkéntes hozzájárulás. [GDPR 6. cikk (1) bekezdés a) pont]

Az érintett által kezdeményezett szerződés teljesítéséhez szükséges. (GDPR 6. cikk 1.b.) Az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk 1.c.)

Az adatok személyi számítógépen történő tárolása, az adatkezelő jogos érdeke alapján (GDPR 6. cikk 1.f)

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 4. § (3) bekezdése alapján az adatkezelő és az érintett között fennálló szerződéses kötelezettség teljesítése céljából kezelje az adatokat, az érintett önkéntes hozzájárulásának visszavonásáig.

Adatkezelő által meghirdetett marketing tevékenységgel kapcsolatos szerződéskötéskori nyilatkozatban foglalt önkéntes hozzájárulás. [GDPR 6. cikk (1) bekezdés a) pont]

Képernyőfotó 2022-08-19 - 16.27.01.png
Képernyőfotó 2022-08-19 - 16.27.09.png
Képernyőfotó 2022-08-19 - 16.27.15.png

MILYEN ADATOKAT KEZELNEK RÓLAM?

Az érintett nevét, lakcímét, telefonszámát, számlázási adatait, e-mail címét, egészségügyi és biometrikus adatait, amennyiben készül ilyen, képmását.

 

MEDDIG KEZELIK EZEKET AZ ADATAIMAT? 

 

Új érintett esetén, a kapcsolattartáshoz szükséges adatokat az adatkezelő, amennyiben a szerződéses jogviszonyt az érintett kezdeményezi, de mégsem történik szerződéskötés, úgy a megbeszélt teljesítési időpontot követően haladéktalanul törli.

Már létrejött szerződéses jogviszonyban:

− a számlán látható személyes adatok és a számla megőrzési ideje, az adott naptári év utolsó napjától számított 7. év vége, jogszabályi előírás alapján, azt követően az adatok törlésre kerülnek.

− egészségügyi és biometrikus adatok, az egészségügyi kórelőzményekre vonatkozó adatok és ahhoz kapcsolódó egyéb személyes adatok megőrzési ideje 30. év vége, jogszabályi előírás alapján, azt követően az adatok törlésre kerülnek.

 

Amennyiben az érintett úgy dönt, hogy töröljük a személyes adatait, úgy adatai azonnal törlésre kerülnek.

Mentés a személyi számítógépről installált zárt rendszerben folyamatosan jelszóval védetten történik.

Marketing célú adatkezelés csak az érintett világos és egyértelmű hozzájárulásával végzi adatkezelő, ezen tevékenység többek között hírlevél küldésével valósul meg, az ezen célú adatkezelés határozatlan idejű és az érintett hozzájárulásának visszavonásáig zajlik, azt követően az adatkezelő az érintett marketing célra tárolt személyes adatait törli.

 

6. Az adatkezelés célhoz kötöttsége

 

1. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

 

2. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

(Info tv. 4.§ [1]-[2])

 

6.1. Az adatkezelés egyéb elvei

A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

(Info tv. 4.§ [3]-[4])

 

7. Érintettek jogai általánosságban

Az adatkezelő mindenkor biztosítja az érintettek számára az alábbi jogokat:

a) Tájékoztatáshoz való jog

 

A GDPR 13. cikkének megfelelően az adatkezelő az érintett rendelkezésére bocsájtja az adatkezeléssel kapcsolatos információkat. Az adatkezelő különösen az alábbi információkat köteles kiadni:

− az érintett adatait

− azok kezelésének jogalapját

− célját az adatok címzettjeit

− az adatkezelés időtartamát, vagy meghatározásának szempontjait,

− profilalkotást

− automatizált döntéshozatal tényét, körülményeit

 

Az érintett pedig bármikor tájékoztatást kérhet adatkezelőtől személyes adatai kezeléséről.

 

b) Hozzáférés joga

A GDPR 15. cikk alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés 9

 

folyamatban van, jogosult arra, hogy a személyes adatokhoz és a vonatkozó információkhoz hozzáférést kapjon.

 

c) Helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

 

d) Törléshez („elfeledtetéshez”) való jog

A törléshez való jog mellett az érintett számára az adatkezelő folyamatosan biztosítja annak lehetőségét, hogy az adatkezeléshez megadott hozzájárulását visszavonja. Amennyiben az adatkezelés egyéb jogalap alapján valósul meg, az adatkezelés megszüntetése nem garantált.

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

− a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

− az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

− az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

− a személyes adatokat jogellenesen kezelték;

− a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

− a személyes adatok gyűjtésére gyermekkel kapcsolatos adatkezelés céljából a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az adat törlésére vonatkozó szabályok nem alkalmazandóak, amennyiben az adatkezelés szükséges:

− a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

− a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

− a népegészségügy területét érintő közérdek alapján;

− a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

− jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

 

e) Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

− az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

− az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

− az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

− az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

10

 

f) A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat a GDPR szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

 

g) Az adathordozhatósághoz való jog

A GDPR által meghatározott esetekben az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Ha ez technikailag megvalósítható – Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását.

 

h) Tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is az alábbi esetekben:

− az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

− az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek

 

Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

 

i) Jogorvoslathoz való jog

Amennyiben az érintett az Adatkezelő tevékenységével vagy döntésével nem ért egyet, úgy jogosult – a döntés közlésétől vagy tudomásszerzéstől számított 30 napon belül – bírósághoz fordulni. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani.

Jogorvoslati fórum:

bírósági jogérvényesítés: Az adatkezelő, adatfeldolgozó, vagy az érintett személy székhelye szerinti Törvényszék

hatósági jogérvényesítés: Nemzeti Adatvédelmi és Információszabadság Hatóság

1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9.

Telefon: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

 

8. Az érintettek jogainak érvényesítése (Info tv. 14.-19.§, GDPR 12-22. cikk)

Adatkezelő minden érintettet megfelelően tájékoztat a személyes adatainak kezeléséről, valamint gondoskodik arról, hogy az adatokat megfelelő jogalappal kezelje. Ennek fényében, ahol a személyes adatok kezeléséhez az érintett fél hozzájárulása szükséges, ott adatkezelő a hatályos jogszabályok, így különösen az Info tv. és a GDPR alapján, biztosítja a hozzájárulás megadásának, vagy megtagadásának lehetőségét. 

1. Az érintett kérelmezheti a Szolgáltatónál, hogy az adjon tájékoztatását személyes adatai kezeléséről, kérheti személyes adatainak helyesbítését, valamint kérheti személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását.

 

2. Az érintett kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén -

az adattovábbítás jogalapjáról és címzettjéről.

 

3. Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes.

 

4. Érintett kérelmére adatkezelő tájékoztatást ad az általa kezelt adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az esetleges adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Szolgáltató a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában adja meg a tájékoztatást. A tájékoztatás ingyenes.

 

5. Amennyiben a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, adatkezelő a személyes adatot helyesbíti.

 

6. Törlés helyett adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. A zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Zárolt személyes adat esetében a hozzáférés az elvárható mértékben korlátozásra kerül.

 

7. Adatkezelő törli a személyes adatot, ha kezelése jogellenes, az érintett kéri, a kezelt adat hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható - feltéve, hogy a törlést törvény nem zárja ki, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy az illetékes hatóság elrendelte.

 

8. Adatkezelő megfelelő technikai módszerekkel megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

 

9. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

 

10. Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő

30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

 

9. Adatvédelmi incidens kezelése

1. Adatkezelő az adatvédelmi incidenst késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

2. Ha a bejelentés nem történik meg 72 órán belül, a késedelem indoklása a bejelentéssel együtt megküldésre kerül.

3. Az adatvédelmi incidens bejelentését az adatvédelemért felelős személy az Adatkezelő egyetértésével küldi meg.

4. Az adatvédelmi incidens bejelentése tartalmazza:

  1. a) az adatvédelmi incidens jellege, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

  2. b) bejelentéssel kapcsolatos intézkedésért felelős személy nevét és elérhetőségeit;

  3. c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

  4. d) Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

  5.  A 4. pont d) szerinti intézkedések kidolgozása az Adatkezelő hatásköre. 12

 

6. az adatvédelemért felelős személy, valamint az Adatkezelő egyet nem értése esetén a konszenzus hiányának tényét a Felek írásba foglalják.

7. Az adatvédelmi incidenseket az adatvédelmi felelős nyilvántartja, arról adatbázist vezet. A nyilvántartás naprakészségét az adatvédelemért felelős személy biztosítja.

 

8. Érintettek tájékoztatása:

  1. a) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

  2. b) A tájékoztatás az adatvédelemért felelős személy feladata.

 

9. Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

  2. b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

  3. c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintettek nyilvánosan közzétett információk útján lesznek tájékoztatva, vagy olyan a tájékoztatás más hasonló módon történik meg.

 

10. Jogorvoslat

1. Az érintett tiltakozhat személyes adatának kezelése ellen, ha

  1. a) a személyes adatok kezelése vagy továbbítása kizárólag az Szolgáltatóra vonatkozó jogi kötelezettség teljesítéséhez, vagy az Szolgáltató, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;

  2. b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;

  3. c) törvényben meghatározott egyéb esetben.

 

2. Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

3. Amennyiben az érintett adatkezelő meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - bírósághoz fordulhat. A bíróság soron kívül jár el.

4. Az adatkezelő esetleges jogsértése ellen panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:

Nemzeti Adatvédelmi és Információszabadság Hatóság

1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9.

Telefon: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

 

11. Bírósági jogérvényesítés (Info tv. 22.§., GDPR 12. cikk (4) bekezdés)

1. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. Az adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.

2. A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

3. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat. 

 

4. Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az adatátvevő által kért adat kiadására kötelezi.

5. Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a meghatározott határidőn belül nem fordul bírósághoz.

6. A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett védett jogai megkövetelik.

 

12. Kártérítés és sérelemdíj (Info tv. 23. §)

 

1. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.

2. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.

3. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért és az adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.

4. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.

2022.08.20.

bottom of page