Adatvédelem

A LIGHTING BRICKS KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG

ADATKEZELÉSI TÁJÉKOZTATÓJA

  • AZ ADATKEZELÉSI TÁJÉKOZTATÓ CÉLJA, AZ ADATKEZELŐ

Az Adatkezelő

cégnév: Lighting Bricks Korlátolt Felelősségű Társaság

(rövidített cégnév: Lighting Bricks Kft.)

székhely és postázási cím: 1171 Budapest, Réti csík utca 29. fszt. 3.

cégjegyzékszám (Fővárosi Törvényszék Cégbírósága): 01-09-337737

adószám: 26659862-2-42

képviselő: Cseppel Csaba Emil, Gallai János ügyvezetők

Adatkezelési kapcsolattartó

Cseppel Csaba Emil (tel.: +3630-9869-410, e-mail: info@lightingbricks.hu)

Az adatkezelési tájékoztató célja

A Lighting Bricks Korlátolt Felelősségű Társaság a jelen adatkezelési tájékoztatóban foglalja össze az általa alkalmazott adatvédelmi, adatkezelési eljárásrendet, elveket, kötelezettségvállalásokat, az érintetteket megillető jogokat.

Az adatkezelő tevékenysége

A Lighting Bricks Korlátolt Felelősségű Társaság fő tevékenysége műanyag építőanyag – világító térkő - gyártása.

A jelen tájékoztató címzettjei

A jelen tájékoztató a szerződéses partnereknek, a vásárlóknak készült.

A jelen tájékoztató elérhetősége

Az adatkezelési tájékoztató megtekinthető az Adatkezelő székhelyén, munkanapokon előzetes időpont egyeztetés alapján.

Az Adatkezelő kötelezettségvállalásai – az adatkezelés megfelelősége

Az Adatkezelő vállalja, hogy adatkezelési tevékenysége folyamatosan megfelel a jelen tájékoztatónak és a mindenkor hatályos jogszabályi előírásoknak. Amennyiben a jelen tájékoztató és a vonatkozó jogszabályi rendelkezések között eltérés van, az adatkezelésre a jogszabályok az irányadók, és az Adatkezelő köteles a lehető legrövidebb idő alatt a jelen tájékoztatót módosítani.

Az Adatkezelő fenntartja magának a jogot arra, hogy a jelen adatkezelési tájékoztatót egyoldalúan módosítsa. Az adatkezelési tájékoztató visszamenőleges alkalmazása kizárt.

Jelen adatkezelési tájékoztató szerzői jogvédelem alatt áll, így annak felhasználása csak az Adatkezelő előzetes írásbeli engedélyével lehetséges.

A jelen tájékoztató elsődlegesen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), valamint az Európai Parlament és a Tanács (EU) 2016/679 számú Rendelete („Rendelet”) alapján került elkészítésre.

  • RELEVÁNS FOGALMAK, MEGHATÁROZÁSOK

„személyes adat”

Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, (azonosító) szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

„adatkezelés”

Az alkalmazott eljárástól függetlenül az adaton, adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy a műveletek összessége, így különösen a gyűjtés, felvétel, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, nyilvánosságra hozatal, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, zárolás, illetve megsemmisítés, továbbá az adat további felhasználásának a megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

„az adatkezelés korlátozása”

A tárolt személyes adat megjelölése, illetve megjelölés útján történő zárolása az adat további, jövőbeli kezelésének korlátozása céljából.

„nyilvántartási rendszer”

A személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

„adatkezelő”

Az a természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, aki vagy amely önállóan vagy másokkal együtt a személyes adatok kezelésének céljait és eszközeit meghatározza, az erre vonatkozó döntéseket meghozza ás végrehajtja, vagy az adatfeldolgozójával végrehajtatja. (Ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.)

„adatfeldolgozó”

Az a természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, aki vagy amely az adatkezelő nevében, illetve az megbízásából vagy rendelkezése alapján személyes adatokat kezel.

„címzett”

Az a természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, aki vagy amely részére az adatkezelő, illetve az adatfeldolgozó személyes adatot hozzáférhetővé tesz, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

„harmadik fél”

Az a természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak, ilyen műveleteket végeznek.

„az érintett hozzájárulása”

Az érintett akaratának önkéntes, határozott, konkrét és megfelelő tájékoztatáson alapuló, egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést, az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

„adatvédelmi incidens”

Az adatbiztonság olyan sérülése, sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, megsemmisítését, elvesztését, megváltoztatását, módosulását, jogosulatlan közlését, továbbítását, nyilvánosságra hozatalát vagy az azokhoz való jogosulatlan hozzáférést eredményez.

„felügyeleti hatóság”

Egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (http://naih.hu/).

„Infotv.”

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

„GDPR”

vagy

„Rendelet”

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Az itt fel nem sorolt meghatározások a Rendelet 4. cikkében, illetve az Infotv. 3. §-ában találhatók.

  • ADATKEZELÉSI ALAPELVEK

Az Adatkezelő kötelezettséget vállal a Rendeletben és az Infotv.-ben, valamint az egyéb vonatkozó jogszabályokban írt, relevánsan alább összefoglalt elvek betartására:

Jogszerűség, tisztességes eljárás és átláthatóság elve

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie.

Célhoz kötöttség elve

A személyes adatok kezelése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. Ennek megfelelően csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Pontosság elve

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. Minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

Korlátozott tárolhatóság elve

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak a jogszabályokban (elsődlegesen a Rendeletben és az Infotv.-ben) írt esetben és módon kerülhet sor.

Adattakarékosság elve

A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.

Integritás és bizalmas jelleg elve

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

A biztonság elve

Az adatkezelés során arra alkalmas műszaki vagy szervezési - így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító - intézkedések alkalmazásával biztosítani kell a személyes adatok megfelelő biztonságát.

Elszámoltathatóság elve

Az Adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

  • AZ ADATKEZELÉS JOGALAPJA (ÁLTALÁNOS TÁJÉKOZTATÁS)

Az Adatkezelő az Infotv. alapján magára nézve kötelezőnek tartja a következőket:

Személyes adat akkor kezelhető, ha

  1. azt törvény vagy helyi önkormányzati rendelet közérdeken alapuló célból elrendeli,
  2. az a) pontban meghatározottak hiányában az az Adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult;
  3. az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy
  4. az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az Adatkezelés céljának megvalósulásához szükséges és azzal arányos.

Különleges adatok kezelésére az Infotv. vonatkozó rendelkezései irányadók.

Cselekvőképtelen és korlátozottan cselekvőképes kiskorú személy nyilatkozatához a törvényes képviselőjének hozzájárulása szükséges, kivéve azon szolgáltatás részeket, ahol a nyilatkozat a mindennapi életben tömegesen előforduló regisztrációt céloz, és különösebb megfontolást nem igényel. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.

Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.

Az Adatkezelő a GDPR alapján magára nézve kötelezőnek tartja a következőket:

A személyes adatok kezelése az Adatkezelő adatkezelési tevékenységei tekintetében akkor és annyiban jogszerű, amennyiben

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez, azzal, hogy a hozzájárulást az érintett bármikor visszavonhatja;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az Adatkezelő vagy egy harmadik személy jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekkel szemben elsőbbséget élveznek az érintett olyan érdekei, vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az Adatkezelő köteles az adatkezelés megkezdése előtt az érintettet tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatni az adatai kezelésével kapcsolatos minden tényről, így különösen

  • az adatkezelés céljáról és jogalapjáról,
  • az adatkezelő – és ha van, akkor az adatvédelmi tisztviselő – elérhetőségéről,
  • az adatkezelésre és az adatfeldolgozásra jogosult személyéről,
  • az adatkezelés időtartamáról,
  • arról, ha az érintett személyes adatait az adatkezelő az érintett hozzájárulásával és az adatkezelőre vonatkozó jogi kötelezettség teljesítése vagy harmadik személy jogos érdekének érvényesítése céljából kezeli, illetve
  • arról, hogy kik ismerhetik meg az adatokat,
  • arról, hogy az adatkezelő külföldre kívánja-e továbbítani az adatokat,
  • arról, hogy az érintettnek milyen jogai vannak az adatkezeléssel kapcsolatban, vagyis arra, hogy az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogára,
  • a jogorvoslati lehetőségekről.

Ha az Adatkezelő a személyes adatokat nem közvetlenül az érintettől szerzi meg, úgy a tájékoztatásnak ki kell terjednie az adatok forrására és arra is, hogy ezen adatok nyilvánosan hozzáférhető forrásból származnak-e.

A fenti kötelező előírásoknak az Adatkezelő jelen tájékoztató útján, illetve az érintettnek címzett előzetes írásbeli tájékoztatás útján tesz eleget.

  • AZ ADATKEZELÉS JOGALAPJA, A KEZELT ADATOK KÖRE, AZ ADATKEZELÉS CÉLJA ÉS IDŐTARTAMA

  • Általános rendelkezések

Jogalap

Az Adatkezelő elsődlegesen az érintettek hozzájárulása alapján kezel személyes adatokat.

Az Adatkezelő szerződés teljesítése érdekében is kezel személyes adatot, amely szerződésben az érintett az egyik fél, illetve, amely szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges az adatok kezelése.

Az Adatkezelő akkor is kezeli az érintettek személyes adatait, ha ez jogszabályi előírás alapján kötelezettsége (kötelező adatkezelés). Ez esetben az Adatkezelő csak azokat az adatokat kezeli, amelyek elengedhetetlenek a jogi kötelezettség teljesítéshez, vagyis amelyeket a hatályos jogszabályok számára kötelezően előírnak.

Az Adatkezelő akkor is jogosult személyes adatokat kezelni, ha az jogos érdek érvényesítéséhez szükséges.

  • Konkrét, az Adatkezelő adatkezelésére vonatkozó rendelkezések

  • Szerződéses partnerek adatai

Kezelt adatok: szerződő fél képviselőjének és kapcsolattartójának neve, telefonszáma, e-mail címe.

Az adatkezelés célja: szerződés teljesítése, kapcsolattartás, jogi kötelezettség teljesítése (pl. számlázás).

Az adatkezelés jogalapja: szerződés teljesítése, kötelező adatkezelés, jogos érdek érvényesítése.

Az adatkezelés időtartama: A szerződéses jogviszony fennállása, illetve az ahhoz kapcsolódó, jogszabályokban írt kötelezettségek teljesítése. Kötelező adatkezelés esetében az adatkezelés időtartama a jogszabályokban előírt ideig tart. Az Adatkezelő azon személyes adatokat, amelyek az érintett hozzájárulása alapján kerültek a birtokába, addig kezeli, amíg az érintett hozzájárulását nem vonja vissza, de legkésőbb addig, amíg az érintett és az Adatkezelő között fennáll a szerződéses jogviszony.

  • A SZEMÉLYES ADATOK TÁROLÁSA, VÉDELME, HOZZÁFÉRÉS AZ ADATOKHOZ

Az Adatkezelő papír alapon és számítástechnikai eszközökön tárolja a személyes adatokat, az Adatkezelő székhelyén, informatikai eszközökön és külső szerveren.

Az Adatkezelő a jogszabályi kötelezettségek teljesítése érdekében a vele szerződéses kapcsolatban álló, könyvelési szolgáltatást nyújtó személynek átadja azon adatokat, amelyek a számlázáshoz, könyveléshez szükségesek.

Az Adatkezelő védi a kezelt adatokat a jogosulatlan hozzáférés, megváltoztatás, továbbítás, törlés, valamint a sérülés és a megsemmisülés ellen, és mindezek érdekében számítástechnikai és mechanikai, szervezeti és szervezési, továbbá műszaki védelmi intézkedéseket alkalmaz, és mindezeket megköveteli azoktól a személyektől, akiknek személyes adatot továbbít.

Az Adatkezelő a személyes adatok kezeléséhez alkalmazott számítástechnikai eszközöket úgy választja meg, hogy a kezelt adat:

  • az arra feljogosítottak számára hozzáférhető („rendelkezésre állás”);
  • hitelessége és hitelesítése biztosított („adatkezelés hitelessége”);
  • változatlansága igazolható („adatintegritás”);
  • a jogosulatlan hozzáférés ellen védett („adat bizalmassága”)

legyen.

A papír alapú dokumentumokat az Adatkezelő elzárva tartja, a számítástechnikai eszközök használatát, a jogosultságokat pedig úgy határozza meg, hogy az egyes adatokhoz kizárólag az arra jogosult kapjon hozzáférést. Az informatikai eszközök jelszóval védettek. Az Adatkezelő meghatározott időközönként biztonsági mentést hajt végre.

Az adatokat az Adatkezelő vezetősége jogosult megismerni, de a jelen tájékoztatóban írtak szerint egyes adatok továbbításra kerülnek a jelen tájékoztatóban írt célok megvalósítása érdekében.

Az Adatkezelő nem végez a személyes adatokkal kapcsolatban automatizált feldolgozást.

Az Adatkezelő adatvédelmi nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok körét, az esetleges adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

  1. AZ ÉRINTETTEK JOGAI, JOGORVOSLATI LEHETŐSÉGEK

Az érintettek jogai

Az érintett kérelmezheti az Adatkezelőnél

  • tájékoztatását személyes adatai kezeléséről, mind az adatkezelést megelőzően, mind annak folyamán ([előzetes] tájékozódáshoz való jog)
  • személyes adatainak és az azok kezelésével összefüggő információknak a rendelkezésre bocsátását (hozzáféréshez való jog)
  • személyes adatainak helyesbítését és kiegészítését (helyesbítéshez való jog)
  • személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását (adatok törléséhez és zárolásához való jog)
  • az adatkezelés korlátozását (az adatkezelés korlátozásához való jog), és
  • tiltakozhat az adatkezelés ellen (a tiltakozás joga).

Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

Az érintett jogosult arra is, hogy a rá vonatkozó, általa rendelkezésre bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, amennyiben a szükséges feltételek fennállnak (adathordozhatóság).

A kérelem benyújtása és megválaszolása

Az érintett a kérelmét személyesen, postai levélben, e-mail útján nyújthatja be.

Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb 25 napon belül, írásban, könnyen hozzáférhető és közérthető formában, lényegre törő, világos megfogalmazásban, a kérelemmel megegyező módon megadni a tájékoztatást.

Személyes megkeresés esetén jegyzőkönyv kerül felvételre, amelyet az érintett is aláír. Személyes megkeresés esetében az érintett által megadott módon (e-mail vagy postai levél) köteles az Adatkezelő a tájékoztatást megadni.

Az Adatkezelő a tájékoztatást ingyenesen adja, azonban az Infotv. 15. § (3) bek.-ben írt esetekben költségtérítés állapítható meg.

Az érintett tájékoztatását az Adatkezelő csak az Infotv.-ben, illetve a Rendeletben meghatározott esetekben és okból tagadhatja meg. Ilyen esetben az Adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására az Infotv., illetve a Rendelet mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az Adatkezelő tájékoztatja az érintettet a jogorvoslati lehetőségekről.

Az Adatkezelő az adatot a jogszabályi előírásoknak megfelelően törli, zárolja, helyesbíti, illetve korlátozza vagy megszünteti az adatkezelést, ha a kérelem megalapozott.

Az Adatkezelőt kártérítési kötelezettség terheli, amennyiben a személyes adat kezelése során jogellenesen járt el és ezzel összefüggésben kárt okozott. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.

Jogorvoslati lehetőségek

Az érintettek jogaik megsértése esetén az Adatkezelő ellen bírósághoz fordulhatnak. A bíróság az ügyben soron kívül jár el. A bírósági eljárásra vonatkozóan az Infotv. 22. § irányadó.

Az Adatkezelő adatkezelésével kapcsolatosan panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C., http://www.naih.hu) lehet fordulni.

  • ADATVÉDELMI INCIDENSEK ÉS AZOK KEZELÉSE

Az adatvédelmi incidens

A Rendelet, illetve az Infotv. alkalmazásában adatvédelmi incidens az adatbiztonság olyan sérülése, sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, megsemmisítését, elvesztését, megváltoztatását, módosulását, jogosulatlan közlését, továbbítását, nyilvánosságra hozatalát vagy az azokhoz való jogosulatlan hozzáférést eredményez.

Az adatvédelmi incidensvagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, amennyiben az Adatkezelő nem teszi meg kellő időben a megfelelő intézkedéseket.

Teendők adatvédelmi incidens esetén

Az Adatkezelő adatvédelmi incidens bekövetkezte esetén haladéktalanul megvizsgálja, hogy a jogszabályokban előírt védelmi, szervezési, szervezeti intézkedéseket végrehajtották-e, ideértve különösen az adatvédelmi incidens felismerését és megállapítását, a felügyeleti hatóságnak történő bejelentését, és az érintett értesítését.

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

A bejelentésben legalább:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles írásban bejelenti az Adatkezelőnek.

Az érintettek tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk (3) bekezdésének a)-c) pontjában említett információkat és intézkedéseket.

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  • az Adatkezelő megfelelő műszaki, technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  • az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a Rendelet 33. cikk (1) bekezdésében említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg, illetve az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan, bárki által hozzáférhető módon közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását;
  • a törvény a tájékoztatást kizárja.

  • ZÁRÓ RENDELKEZÉSEK

Amennyiben a jelen tájékoztató és a mindenkor hatályos jogszabályok között ellentmondás van, úgy az Adatkezelő kötelezettséget vállal arra, hogy a vonatkozó hatályos és érvényes jogszabályok által előírtak szerint jár el az adatkezelés során.

Az Adatkezelő a jelen tájékoztatót évenként felülvizsgálja. Az Adatkezelő akkor is köteles a jelen tájékoztatóban írtakat felülvizsgálni, ha lényeges jogszabályváltozás lép hatályba, vagy ha adatvédelmi, adatkezelési folyamatai, eljárásai lényegesen megváltoznak. Ilyen esetekben a jelen tájékoztatót az Adatkezelő megfelelően módosítja, és közzéteszi a székhelyén, valamint a módosítással érintett személyeket közvetlenül, elektronikus úton is értesíti.