Elnevezés: Veszprémi Turisztikai Nonprofit Korlátolt Felelősségű Társaság
Rövid elnevezés: Veszprémi Turisztikai Nonprofit Kft.
Székhelye: 8200 Veszprém, Óváros tér 2.
Adatkezelő jogállása: önálló jogi személy
1.1. Bevezetés
E szabályzat célja, hogy meghatározza a Veszprémi Turisztikai Nonprofit Kft. (a továbbiakban: Adatkezelő) adatkezelését az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (General Data Protection Regulation) továbbiakban: Rendelet), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) alapján.
A Szabályzat célja, hogy
- meghatározza az Adatkezelő által folytatott adatkezelés működésének jogszerű rendjét,
- biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését,
- a feladatellátás során az érintettek személyes adatainak védelme és a közérdekű adatok nyilvánosságának biztosítása,
- adatkezelési tevékenység szabályozásával megfeleljen a Rendelet, és az Infotv. rendelkezéseinek,
- meghatározza az adatok kezelésének, a vezetett nyilvántartások működésének rendjét, biztosítsa az adatvédelem alkotmányos elveinek, az érintetti jogok gyakorlásának rendjét és meghatározza a kezelt adatok védelmének szabályait,
- a Rendeletnek és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való megfelelés Adatkezelő általi igazolására szolgáljon.
1.2. A Szabályzat hatálya
E Szabályzat hatálya kiterjed
- az Adatkezelő kezelésében lévő valamennyi személyes adatra,
- az Adatkezelő által folytatott valamennyi adatkezelési műveletre az adatok megjelenési formájától függetlenül,
- az Adatkezelő valamennyi foglalkoztatottjára,
- az adatkezelés során felhasznált tárgyi, informatikai eszközökre.
Jogszabály eltérő rendelkezésének hiányában a Szabályzatot kell alkalmazni a minősített adathordozóban szerepeltetett személyes adatok kezelése során.
1.3. Fogalommeghatározások
a) “érintett”: bármely információ alapján azonosított vagy azonosítható természetes személy;
b) “azonosítható természetes személy”: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
c) „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
d) „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
e) „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
f) „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
g) „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
h) „nyilvántartási rendszer”: a személyes adatok bármely módon - centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
i) “adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatekezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
j) “adatfeldolgozó”: az a természetes vagy jogi személy, közhtalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
k) „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
l) „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
m) „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
n) „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
o) „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
p) „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
q) „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
r) „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
s) „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
ty) „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
- az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
- panaszt nyújtottak be az említett felügyeleti hatósághoz;
v) „személyes adatok határokon átnyúló adatkezelése”:
- a személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- a személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
w) „közérdekű adat”: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
x) „közérdekből nyilvános adat”: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
y) “üzleti titok”: a gazdasági tevékenységhez kapcsolódó, titkos – egészben, vagy elemeinek összességeként nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek a titokban tartása érdekében a titok jogosultja az adott helyzetben általában elvárható magatartást tanúsítja.
2.1. Az adatkezelés elvei
Adatkezelő eljárásai során kizárólag a hatályos jogszabályok rendelkezése alapján végez adatkezelést.
Az adatkezelésnek mindenkor meg kell felelnie a Rendelet 5. cikk (1)-(2) bekezdése szerinti alábbi elveknek:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
2.2. Az adatkezelés jogszerűsége
(1) Az adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
2.3. Személyes adatok különleges kategóriáinak kezelése
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;
i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
j) az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
(3) Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.
Adatkezelő részben önkormányzati tulajdonban álló, turisztikai tevékenységet folytató, nonprofit jellegű gazdasági társaság.
Adatkezelő által végzett feladatok, amelyek személyes adatok kezelésével járnak:
- Turisztikai információs szolgáltatás,
- Idegenvezetés,
- Csomagmegőrző szolgáltatás,
- Jegyértékesítés,
- Bejelentésköteles kereskedelmi tevékenység (ajándékbolt).
Adatkezelő által végzett anonim információk gyűjtése, illetve statisztikai adatkezelés, amelyek az érintettek beazonosítására sem közvetlenül, sem közvetetten nem alkalmasak, és a GDPR (26) preambulumbekezdése alapján nem tartozik annak hatálya alá:
- Adatkezelő székhelyén naponta felkereső ügyfelek száma (forgalomszámlálás),
- Adatkezelő székhelyén tájékoztatást kérők külföldi érintettek országonkénti statisztikája.
3.1. Turisztikai információs szolgáltatás
(1) Adatkezelés célja: szóban (székhelyen), telefonon és elektronikus úton.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. a) pontja.
(3) Kezelt adatok köre különösen:
- érintett neve,
- érintett e-mail címe,
- üzenet szövege,
- ügyfél által rendelkezésre bocsátott egyéb adatok (pl. telefonszám).
(4) Adattárolás időtartama: A válasz e-mail elküldését követő 15 napig.
(5) Adattárolás módja: kizárólag az elektronikus üzeneteket tárolja Adatkezelő.
(6) Adatok továbbítása: nem valósul meg.
Az érintettek részére készült Adatkezelési tájékoztatót a Szabályzat 1. számú függeléke tartalmazza.
3.2. Idegenvezetés szervezése
(1) Adatkezelés célja: csoportos idegenvezetési szolgáltatás szervezése és nyújtása.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. b) pontja, Rendelet 9. cikk (2) bek. a) pontja.
(3) Kezelt adatok köre:
- megrendelő neve,
- postacíme,
- telefonszáma,
- FAX száma,
- e-mail címe,
- kapcsolattartó neve,
- megrendelt szolgáltatásra vonatkozó adatok,
- idegenvezetés nyelvére vonatkozó adat,
- idegenvezetés kezdete, időtartama,
- találkozó helyszíne, időpontja,
- fizetési módra vonatkozó adat,
- számlázási cím,
- csoport létszámára és összetételére vonatkozó adatok,
- különleges adatok (mozgáskorlátozottság, látás- vagy halláskárosultság)
- egyéb adatok.
(4) Adattárolás időtartama: a szerződés teljesítését követő 5 évig (általános elévülés). A pénzügyi bizonylat a gazdasági eseményt követő 8 évig kerülnek tárolásra.
(5) Adattárolás módja: az online megrendeléseket nyomtatásra kerülnek és a visszaigazolással együtt papíralapon tárolja Adatkezelő.
(6) Adatkezelés címzettje: idegenvezető részére (meghatározott adatok), számlázó program, NAV.
Az érintettek részére készült Adatkezelési tájékoztatót a Szabályzat 2. számú függeléke tartalmazza.
3.3. Csomagmegőrzési szolgáltatás
(1) Adatkezelés célja: Adatkezelő csomagmegőrzési szolgáltatást nyújt.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. b) pontja.
(3) Kezelt adatok köre:
- név,
- telefonszám,
- lakcím (számlázás esetén),
- e-mail cím (csak online megrendelés esetén),
- csomag elvitelének időpontja,
- érintett aláírása.
(4) Az adatok címzettjei: szolgáltatást igénybevevők, számlázó program, NAV.
(5) Adattárolás időtartama: a szerződés a teljesítését követő 5 évig (általános elévülés). A pénzügyi bizonylat a gazdasági eseményt követő 8 évig kerülnek tárolásra.
(6) Adatkezelés címzettje: számlázó program, NAV.
Az érintettek részére készült Adatkezelési tájékoztatót a Szabályzat 3. számú függeléke tartalmazza.
3.4. Jegyértékesítés
(1) Adatkezelés célja: Adatkezelő több jegyrendszeren keresztül kulturális belépőjegyek értékesítésével is foglalkozik.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. b) pontja.
(3) Kezelt adatok köre:
- az érintett neve,
- érintett címe,
- adószám (amennyiben releváns),
- szolgáltatásra (belépőjegy, koncertjegy megnevezése, időpontja, stb.) vonatkozó adatok.
(4) Az adatok címzettjei: Adatkezelő, könyvelő, Interticket, NAV.
(5) Adattárolás időtartama: a teljesítést követő 5 évig (általános elévülés). A pénzügyi bizonylat a gazdasági eseményt követő 8 évig kerülnek tárolásra.
(6) Adatkezelés címzettjei: számlázó program, NAV.
Adatkezelő a jegyértékesítés során adatfeldolgozói szerződést alapján továbbítja a érintett (vásárlók) adatait az Interticket Kft-nek.
Az érintettek részére készült Adatkezelési tájékoztatót a Szabályzat 4. számú függeléke tartalmazza.
3.5. Bejelentésköteles kereskedelmi tevékenység (ajándékbolt)
(1) Adatkezelés célja: Adatkezelő a kereskedelmi tevékenységek végzésének feltételeiről szóló 210/2009 (IX.29.) Korm. rendelet alapján bejelentésköteles kereskedelmi tevékenységet folytat.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. b) pontja.
(3) Kezelt adatok köre különösen:
- érintett (vásárló) neve,
- érintett (vásárló) lakcíme,
- a számlázáshoz szükséges egyéb adatok.
(4) Az adatok címzettjei: Adatkezelő, könyvelő, NAV.
(5) Adattárolás időtartama: A pénzügyi bizonylatokon szerelő adatokat a gazdasági eseményt követő 8 év végéig.
(6) Adatkezelés címzettjei: számlázó program, NAV.
Az érintettek (vásárlók) részére készült Adatkezelési tájékoztatót a Szabályzat 5. számú függeléke tartalmazza.
3.6.1. Vásárlók Könyve
(1) Adatkezelés célja: Adatkezelő a kereskedelmi tevékenységek végzésének feltételeiről szóló 210/2009 (IX.29.) Korm. rendelet alapján bejelentésköteles kereskedelmi tevékenységet folytat. A Korm. rendelet megköveteli a Vásárlók Könyvének meglétét is.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. c) pontja.
(3) Kezelt adatok köre különösen:
- érintett (vásárló) neve,
- érintett címe, egyéb elérhetősége,
- bejegyzés kelte,
- bejegyzés oka,
- a bejegyzés során megadott – pontosan meg nem határozható - adatok.
(4) Az adatok címzettjei: Adatkezelő, érintett, jegyző, Kormányhivatal Fogyasztóvédelmi Osztály, Békéltető Testület.
(5) Adattárolás időtartama: A bejegyzést (panasz) követő 3 évig.
(1) Adatkezelő szervezeti felépítését annak Alapszabálya tartalmazza.
(2) Adatkezelőnél a beosztásokhoz, munkakörökhöz kapcsolódóan kerülnek meghatározásra az adatvédelemmel, adatkezeléssel kapcsolatos jogok és kötelezettségek.
(3) Adatkezelő vezetője az Ügyvezető.
4.1. Ügyvezető adatvédelmi feladatai
- Gondoskodik az adatvédelemmel, adatkezeléssel kapcsolatos szabályzatok, tájékoztatók elkészítéséről, aktualizálásáról,
- Gondoskodik az adatvédelmi szabályok betartásáról, ellenőrzi az adatkezelési tevékenységet;
- Biztosítja az adatkezeléssel foglalkozó személyek adatkezelési oktatását;
- Biztosítja az érintett jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételeket;
4.3. Foglalkoztatott (munkavállaló, megbízott) adatvédelmi feladatai
- Köteles a Szabályzat előírásainak megismerése céljából az Adatkezelő által szervezett oktatáson, szakmai továbbképzésen részt venni,
- Köteles a jogszabályban és a Szabályzatban meghatározott adatvédelmi előírásokat betartani,
- Köteles minden olyan tényt, körülményt, információt, amely a jelen Szabályzat alkalmazása szempontjából jelentőséggel bír, haladéktalanul továbbítani közvetlenül az Ügyvezetőnek;
- A személyes és/vagy különleges adatokat tartalmazó iratokat köteles munkaidőn kívül elzárva tartani;
- Köteles a számítógépét és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg;
- A munkaidő végén a munkaállomást - a folyamatosan bekapcsolva és online tartandó munkaállomások kivételével - kikapcsolni és az irodahelyiséget a bezárni.
(1) A szolgáltatás nyújtása során csak azokat a személyes adatokat szabad rögzíteni és kezelni, amelyeket az érintett önkéntes hozzájárulással megadott, vagy a szerződés megkötése, teljesítése szempontjából szükségesek, jogi kötelezettség teljesítéséhez szükséges és amelyeknek a célhoz kötöttsége igazolható.
(2) Az érintettel az adat felvétele előtt közölni kell az adatkezelés célját, és meg kell jelölni az adatkezelés jogalapját.
(3) Az adatkezelést végző személy azokat az adatokat rögzítheti, illetve olyan adatokat vehet át harmadik személytől, amelyek a kezelésére törvény vagy az érintett felhatalmazza. Az adatok rögzítésénél figyelemmel kell lenni az adattakarékosság elvére is.
(4) Az adatfelvétel és a további adatkezelés során ügyelni kell a személyes adatok pontosságára, teljességére és időszerűségére.
(5) Az iratok, adatok elektronikus úton – pl. számlázó program, könyvelő - csak kellő körültekintéssel továbbíthatók és kizárólag az Adatkezelő technikai eszközeinek igénybevételével továbbíthatók.
(6) Személyes adatokat továbbítani, vagy adatszolgáltatást teljesíteni, illetve a különböző adatkezeléseket összekapcsolni csak akkor lehet, ha ahhoz az érintett hozzájárult, vagy jogszabály ezt előírja, vagy megengedi és az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
(7) Adatkezelő statisztikai célból az érintettek közvetlen vagy közvetett beazonosítására nem alkalmas információkat (nem, korcsoport, külföldi állampolgárság) továbbít a Magyar Turisztikai Ügynökségnek, illetve a tulajdonosoknak.
(1) Adatkezelés célja: a foglalkoztatásra irányuló jogviszonnyal (munkaviszony, megbízási jogviszony) kapcsolatos jogosultságok elismerése és kötelezettségek tanúsítása, különösen:
- munkáltatói jog gyakorlásából adódó döntések előkészítése, személyi anyagok, nyilvántartások kezelése,
- megbízási szerződések, ezek módosítása és megszüntetése.
Adatkezelő a munkavállalóktól erkölcsi bizonyítványt sem a munkaviszony létesítése előtt, sem annak fennállása alatt nem kér.
(2) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. c) pontja.
(3) Foglalkoztatás során alkalmazott főbb jogszabályok:
- 2012. évi I. törvény a Munka Törvénykönyvéről (továbbiakban: Mt.),
- 2013. évi V. törvény a Polgári Törvénykönyvről (megbízási szerződés),
- Infotv.,
- 1997. évi LXXX. törvény a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről (továbbiakban: Tbj),
- 1997. évi LXXXI. törvény a társadalombiztosítási nyugellátásról (továbbiakban: Tbny),
(4) Kezelt személyes adatok köre: a jogszabályokban meghatározott adatok.
(5) Az adatok címzettjei: a munkáltatói jogkör gyakorlója, könyvelő.
(6) Adattárolás időtartama: a különböző jogszabályokban meghatározott időpontig, főszabályként a biztosítottra, volt biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni. Ettől eltérő is lehet az adatkezelés időtartama.
(7) Adatkezelés módja: elektronikus, papíralapú.
6.1. Pályázók, önéletrajzot beküldők adatainak kezelése
Adatkezelő a munkaerő toborzáshoz, kiválasztáshoz külső partnert nem vesz igénybe.
(1) Adatkezelés célja: a megüresedett álláshelyre pályázatot benyújtó személyek azonosítása, kapcsolattartás, a munkakör betöltésére alkalmas személy kiválasztása.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. a) pontja.
(3) Kezelt személyes adatok különösen:
- a pályázó/önéletrajzot beküldő által közölt (pl. neve, születési neve, anyja neve, születési hely, családi állapot, állampolgárság, állandó és ideiglenes lakcím, telefonszám, e-mail cím, fénykép, szakmai tapasztalat, végzettség, szakképzettség, készségek, képességek, kompetenciák, stb.) adatok.
(4) Az adatok címzettje: a munkáltatói jogkör gyakorlója.
(5) Adattárolás időtartama: Adatkezelő a pályázatban szereplő személyes adatokat a pályázat elbírálásáig kezeli. Adatkezelő a sikertelen pályázót a döntést követően 8 napon belül tájékoztatja, egyúttal a pályázati dokumentumokat a pályázónak visszajuttatja, az elektronikus úton beérkezett pályázatot megsemmisíti, illetve törli.
6.2. “Berepülő önéletrajzokra” vonatkozó szabályok
A nem meghirdetett álláshelyre való kéretlen jelentkezés esetén Adatkezelő válaszlevelet küld az érintettnek, amelyben tájékoztatja az adatkezelés tényéről, jogalapjáról és az adatkezelés elleni tiltakozás formáiról. A válaszlevéllel együtt Adatkezelő az önéletrajzot, illetve annak esetleges mellékleteit visszaküldi az érintettnek, és valamennyi adatot töröl.
6.3. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
A foglalkoztatottal, illetve leendő foglalkoztatottal szemben Adatkezelő csak az Mt. 10. § (1) bekezdés szerinti alkalmassági vizsgálatot (foglalkozás egészségügy) alkalmaz.
(1) Adatkezelés célja: foglalkoztatásra irányulójogviszony létesítése, fenntartása.
(2) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. c) pontja.
(3) Kezelt adatok köre különösen:
- név,
- lakcím,
- születési adatok,
- anyja neve,
- társadalombiztosítási azonosító jele (TAJ szám),
- arra vonatkozó adatok, hogy a foglalkoztatott a munkakör betöltésére alkalmas vagy nem.
(4) Az adatok címzettjei: A vizsgálat eredményt a vizsgált foglalkoztatott, illetve a vizsgálatot végző szakember ismerheti meg. A munkáltató, illetve a személyzeti feladatot ellátó foglalkoztatott csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
(5) Adattárolás időtartama: a munkaviszony megszűnését követő 3+1 év.
6.4. Munkavállalók jelenlétének ellenőrzése
(1) Adatkezelés célja: Adatkezelő a munkviszonyból fakadó jogok és kötelezettségek gyakorlása érdekében jelenléti ívet vezet.
(2) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. c) pontja.
(3) Kezelt adatok köre különösen:
- név,
- érkezés időpontja,
- távozás időpontja,
- munkavállaló aláírása.
(4) Az adatok címzettjei: Munkáltató, könyvelő.
(5) Adattárolás időtartama: a munkaviszony megszűnését követő 3+1 év.
6.5. Adatkezelőnek a munkavállaló rendelkezéssére bocsátott informatikai eszközök ellenőrzése
Adatkezelő az informatikai eszközök használatának rendjét külön szabályzatban határozta meg.
7.1. Adatkezelés a munkáltatói adó-, és járulékkötelezettséggel kapcsolatban
(1) Adatkezelés célja: Adatkezelő a jogszabályokban előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) érdekében kezeli a foglalkoztatottak személyes adatait.
(2) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. c) pontja.
(3) Kötelezettség teljesítése során alkalmazott főbb szabályok:
- 1995. évi CXVII. tv. a személyi jövedelemadóról (továbbiakban: Szjatv.),
- 2000. évi C. tv. a számvitelről (továbbiakban: Sztv.),
- 2017. évi CL. tv az adózás rendjéről (továbbiakban: Art.).
(4) Kezelt adatok köre: a jogszabályokban meghatározott adatok.
(5) Az adatok címzettjei: Adatkezelő adózási, könyvviteli, bérszámfejtést végző könyvelő, Társadalombiztosítási Szakigazgatási Szerv, Nemzeti Adó- és Vámhivatal.
(6) Adatok tárolásának időtartama: az adatkezelést meghatározó jogszabályokban meghatározott ideig.
7.2. Megrendelésekhez kapcsolódó adatkezelés
(1) Adatkezelés célja: az Adatkezelő által igénybe vett szolgáltatásoknál a kapcsolatfelvétel, kapcsolattartás, szerződés teljesítése, számlázás céljából kezeli természetes személy üzleti partnereinek, illetve jogi személy üzleti partnerei kapcsolattartó személyeinek adatait.
Az adatkezelési tájékoztatót jelen Szabályzat 7. számú függeléke tartalmazza.
(1) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. b) pontja.
(2) Kezelt adatok köre: az Áfatv. 169. §-ában meghatározott adatok.
(3) Az adatok címzettjei: Adatkezelő, könyvelő.
(4) Adatok tárolásának időtartama: A megrendelésben szereplő és a pénzügyi teljesítéshez kapcsolódó adatokat Adatkezelő a számvitel rendjéről szóló 2000. évi C. törvény 169. §-a alapján 8 évig őrzi.
(5) Adattárolás módja: papíralapon és elektronikusan.
Adatkezelő tevékenységének bemutatása, szolgáltatások megrrendelése céljából honlapot üzemeltet. Az ennek során kezelt személyes adatok körét, az adattárolás módját a Szabályzat 3. pontja határozza meg.
8.1. Hírlevél
(1) Adatkezelés célja: az Adatkezelő szolgáltatásairól hírlevelet küld a feliratkozóknak.
(2) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. a) pontja.
(3) Kezelt adatok köre: név, e-mail cím.
(4) Az adatok címzettjei: Adatkezelő, érintett, szerverszolgáltató.
(5) Adatok tárolásának időtartama: hozzájárulás visszavonásáig.
Az adatkezelési tájékoztatót a jelen Szabályzat 8. számú függeléke tartalmazza.
8.2. Közzétételi lista
(1) Adatkezelés célja: Adatkezelő a működésére, gazdálkodására vonatkozó közérdekű és közérdekből nyilvános adatokat is közzéteszi.
(2) Adatkezelés jogalapja: Rendelet 6. cikk (1) bek. c) pontja.
(3) Kezelt adatok köre: az Infotv. 1. számú mellékletében meghatározott közérdekű és közérdekből nyilvános adatai.
(4) Az adatok címzettjei: Adatkezelő, érintett, szerverszolgáltató.
(5) Adatok tárolásának időtartama: a változásokat követően azonnal, az előző állapot törlésével.
(1) Adatkezelés célja: Adatkezelő a telefonon érkező – munakidőn kívüli – megkereséseseket, az érintett hozzájárulása esetén rögzíti.
(2) Adatkezelés jogalapja: a Rendelet 6. cikk (1) bek a) pont.
(3) Kezelt személyes adatok: nem meghatározható, az érintettek által megadott adatok, az érintett hangja.
(4) Az adatok címzettjei: Adatkezelő, érintett, a törlést végző munkatárs.
(5) Adattárolás időtartama: a hangrögzítést követő első munkanapon törlésre kerülnek a felvételek.
Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása céljából, hogy az adatok megfelelő szintű biztonságát garantálja, ideértve különösen a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását, ellenálló képességét, valamint egy incidens esetén a személyes adatokhoz való hozzáférés és az adatok rendelkezésre állásának kellő időben való visszaállítását.
Adatkezelő az adatbiztonság rendjét külön szabályzatban határozza meg.
11.1. Az adatvédelmi incidens
(1) Adatvédelmi incidens fogalma: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.)
(2) A leggyakoribb jelentett incidensek lehetnek példálózó felsorolással: laptop elvesztése, adatok téves továbbítása, szerver elleni támadások, honlap feltörése, papíralapon tárolt adatok elvesztése, megsemmisítése.
11.2. Adatvédelmi incidensek kezelése
(1) Adatkezelő az adatvédelmi incidensek megelőzése, a bekövetkezett incidens kezelése, a vonatkozó jogi előírások betartása, valamint az érintett tájékoztatása céljából – a Szabályzat 9. számú függeléke szerinti – nyilvántartást vezet.
(2) Adatkezelő munkavállalói indokolatlan késedelem nélkül kötelesek tájékoztatni az Ügyvezető-orvosigazgatót és az adatvédelmi tisztviselőt, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
(3) Adatvédelmi incidens estén az Ügyvezető haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:
a) az incidens bekövetkezésének helyét és időpontját,
b) az incidens leírását, körülményeit, hatásait,
c) az incidens során érintett adatok körét, számosságát,
d) az incidenssel érintett személyek körét,
e) az incidens elhárítása érdekében megtett intézkedések leírását,
f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását,
g) az adatvédelmi incidenst az informatikai csoportvezető vagy az adatvédelmi tisztviselő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(4) Az incidens bekövetkezéséről – ha az adatvédelmi incidens valószínűsíthetően kockázattal a természetes személyek jogaira – a tudomásra jutástól számított 72 órán belül– bejelenti a NAIH-nak.
(5) Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő – a Szabályzat 10. számú függelékében található levélben – indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(6) Az érintettet nem kell tájékoztatni az adatvédelmi incidensről, ha:
- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat, az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az adatkezelő adatvédelmi incidenst követően olyan további intézkedést tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázatot a továbbiakban valószínűsíthetően nem valósul meg,
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(7) Az adatvédelmi incidensekre vonatkozó nyilvántartást 5 évig meg kell őrizni.
Adatkezelő az érintettek jogainak biztosításról a Szabályzat 11. számú függeléke szerinti tartalommal nyilvántartást vezetet, a nyilvántartás tartalmazza az érintettek által a joggyakorlás során benyújtott kérelmeket és az Adatkezelő arra tett intézkedéseit.
12.1. Tájékoztatáshoz való jog
(1) Adatkezelő az érintettek megfelelő tájékoztatása érdekében adatkezelési tájékoztatót ad ki. Az adatkezelési tájékoztatót könnyen hozzáférhető kell tenni és azt közérthetően, világosan és egyszerű nyelvezettel kell megfogalmazni.
12.2. Az érintett hozzáféréshez való joga
(1) Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon.
(2) Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Az érintett kérelmére az információkat Adatkezelő elektronikus úton is biztosíthatja.
(3) A hozzáféréshez való jog személyesen, írásban a 8200 Veszprém, Óváros tér 2. szám alatti postacímen vagy elektronikusan a info@veszpreminfo.hu címen keresztül gyakorolható.
(8) Az érintett hozzáférési jogának biztosításával kapcsolatban az Ügyvezető tartozik felelősséggel.
12.3. Helyesbítés joga
Az érintett kérheti az Adatkezelő által kezelt, rá vonatkozó pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
12.4. Törléshez való jog (“az elfeledtetéshez való jog”)
(1) Az adatkezelés törlésére irányuló jog biztosítása során az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül vizsgálja meg:
- a személyes adatokra szükség van-e még abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
- az érintett visszavonta-e az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
- az érintett tiltakozott-e az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
- az adatkezelés közvetlen üzletszerzés érdekében történt és az érintett tiltakozott-e az adatkezelés ellen,
- a személyes adatokat jogellenesen kezelték-e,
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítése miatt kell-e törölni,
- a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került-e sor,
- az érintett tiltakozott-e az adatkezelés ellen.
(2) Az érintett az alábbi indokok valamelyikének fennállása esetén jogosult arra, hogy kérésére Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha:
- személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(3) Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a népegészségügy területét érintő, vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
(4) Az adattörlés maradéktalan megvalósítása érdekében az ügyintézőnek kellő gondossággal, pontosan kell meghatározni az Iratkezelési Szabályzat alapján.
12.5. Adatkezelés korlátozáshoz való jog
(1) Az érintett kérésére Adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
- az adatkezelés jogellenes és az érintett ellenzi az adatok törlését és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
12.6. Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa.
12.7. Tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, amennyiben az
- közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
- az adatkezelés, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.
(2) Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azt olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
12.8. Automatizált döntéshozatal, profilalkotás
(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(2) Nem illeti meg az érintettet a fenti jogosultság, ha az
- adatkezelés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges,
- meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy az érintett kifejezett hozzájárulásán alapul.
12.9. Visszavonás joga
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
12.10. Eljárási szabályok
(1) Az érintett kérelmét az Adatkezelőhöz nyújthatja be, küldheti el. A kérelem benyújtása írásban történhet elektronikus levél útján vagy papír alapon.
Ha az érintett a kérelmet nem nyomtatványon nyújtja be, akkor a kérelmet tartalma alapján kell elbírálni. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(2) Az érintett köteles a kérelemben megjelölni, hogy a mely személyes adat vonatkozásában kéri az Adatkezelő intézkedését.
Abban az esetben, amennyiben az Adatkezelő a kérelem előterjesztőjének kilétével kapcsolatban megalapozott kétsége támad, Adatkezelő az érintett személyazonosságának megerősítéséhez szükséges további információk rendelkezésre bocsátását igényelheti.
(3) Adatkezelő az írásban benyújtott kérelem kézhezvételétől számított 1 (egy) hónapon belül köteles kérelmet elbírálni. Szükség esetén, figyelembe véve a kérelem összetettségét, illetve a folyamatban lévő kérelmek számát, Adatkezelő a kérelem elbírálásának határidejét további 2 (kettő) hónappal meghosszabbíthatja. A meghosszabbítás tényéről, illetve a késedelem okairól az érintettet a kérelem kézhezvételétől számított 1 (egy) hónapon belül tájékoztatni kell.
(4) Amennyiben az érintett kérelme megalapozott, az Adatkezelő a kért intézkedést az eljárási határidőn belül végrehajtja, és a végrehajtás megtörténtétével kapcsolatosan írásbeli tájékoztatást ad a közszolgálati tisztviselő részére.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 (egy) hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál és élhet bírósági jogorvoslati jogával.
(5) Adatkezelő az érintetti jogokkal kapcsolatos tájékoztatást, illetve a kérelmezett intézkedéseket díjmentesen biztosítja. Amennyiben azonban az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre
- észszerű összegű díjat számíthat fel vagy
- megtagadhatja a kérelem alapján történő intézkedést.
12.11. Kártérítés és sérelemdíj
(1) Minden személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
(2) Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.
(3) Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
12.12. Bírósághoz fordulás joga
Az érintett a jogainak megsértése esetén az adatkezelő ellen (az érintett választása szerint az alperes székhelye vagy az érintett lakóhelye szerint illetékes) bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
12.13. Adatvédelmi Hatósághoz benyújtható panasz
Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz lehet fordulni. Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1055 Budapest, Falk Miksa u. 9-11.
Postacím: 1363 Budapest, Pf.: 9.
E-mail: ugyfelszolgalat@naih.hu
