Adatkezelési tájékoztató
GURU –GURU Invest Kft.
A www.guru.hu az Ön személyes adatai védelmével kapcsolatban a hatályos jogszabályoknak megfelelően jár el és
megóvja a személyes adatait. A megadott adatokat az adatvédelmi törvénynek megfelelően bizalmasan kezeljük, harmadik
félnek nem adjuk át, és azokat csak saját céljainkra használjuk fel.
Adatvédelmi szabályzatunk az egyének védelméről a személyes adatok gépi feldolgozása során, az Európai Parlament és a
Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről
és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi
rendelet), a Strasbourgban 1981, január 28-án kelt egyezmény kihirdetéséről szóló 1998. évi VI. törvény, az információs
önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, illetve a kutatás és közvetlen üzletszerzés
célját szolgáló, név- és lakcímadatok kezeléséről szóló 1995. évi CXIX tv. valamint a 2003 évi C törvény az elektronikus
hírközlésről rendelkezéseinek figyelembe vételével készült. A személyes adatok megadásával ön, mint
vásárló/fogyasztó/szolgáltatást igénybe vevő, hozzájárul ahhoz, hogy személyes adatait, az adatvédelmi irányelvekkel
összhangban, a GURU Invest Kft. összegyűjtse, tárolja, felhasználja, közzé tegye, illetőleg más módon feldolgozza.
A weboldalon való regisztrációval a Megrendelő egyúttal tudomásul veszi, hogy információink igénybevételekor aláveti
magát a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvényi és egyéb vonatkozó
szabályozásnak, és egyben fenntartás nélkül elfogadja a jelen nyilatkozatban rögzített feltételeket.
Fogalom meghatározások a 2011. évi CXII. törvény alapján
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve – azonosítható
természetes személy.
Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és
amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre
kiterjedő – kezeléséhez
Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több
fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból
levonható, az érintettre vonatkozó következtetés.
Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így
különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása,
nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok
további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására
alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Az adatkezelő:
A GURU Invest Kft. kijelenti, hogy a személyes adatokat, információkat az adatvédelmi szabályok tiszteletben tartásával
adatkezelőként kizárólag saját maga kezeli. Az adatok kizárólagos kezelője a GURU Invest Kft.
Személyes adatok kezelése, felhasználása
A GURU Invest Kft. kizárólag olyan személyes adatokat gyűjt és dolgoz fel, amelyeket az érintett vásárló/fogyasztó
önkéntesen bocsát a Társaság rendelkezésére. Különösen: név, lakcím (szállítási cím, munkahelyi cím, stb.), telefonszám, email cím, születési idő. A GURU Invest Kft. a hatályos törvényi előírásoknak megfelelően, csak addig tárolja a
vásárló/fogyasztó/szolgáltatást igénybe vevő, személyes adatait, amíg a meghatározott célok megvalósítása érdekében
indokolt, illetve ameddig a vásárló/fogyasztó/szolgáltatást igénybe vevő az adatok kezeléséhez való hozzájárulást vissza
nem vonja.
A szolgáltatásainak igénybevételéhez regisztrációs formanyomtatvány kitöltése szükséges. A regisztrációs felületen a GURU
Invest Kft. a kapcsolatfelvételhez szükséges személyes adatokat (nevet, e-mail címet, szállítási címet, telefonszámot,
belépési azonosítót) kér.
A www.guru.hu oldal meglátogatásakor csak általános információkat gyűjtünk, amelyek nem azonosítják a felhasználót
személyesen. (pl.: látogatottsági és termékválasztással kapcsolatos adatok) Ezeket és az ezekhez hasonló információkat
folyamatosan elemezzük, annak érdekében, hogy az oldalunk látogatói igényei és vásárlói szokásai alapján fejleszthessük a
felületet.
A honlapunkon cookie-kat, is használunk annak érdekében, hogy kényelmesebbé tegyük a vásárlás folyamatát. Ezzel érjük
el, hogy Önnek nem kell minden belépésekor ismételten megadnia bizonyos adatokat, hiszen az oldal „emlékszik” Önre.
A megrendelt ételeket, az alábbi adatok helyes megadásával tudjuk eljuttatni a szállítási címre.
- Azonosító és jelszó
- Vezeték és keresztnév
- Szállítási cím
- E-mail cím
- Telefonszám
A kötelező adatokon kívül esetileg néhány kiegészítő adatot is kérhetünk. Mivel ezek kitöltése nem kötelező, ezért az ezekre
adott válaszokat külön megköszönjük, de ezen adatok hiánya nem befolyásolja a tényleges rendelés sikerességét. Pld:
Kérdőív, közvélemény kutatási kérdések stb.
A megrendelés leadásakor rögzítésre kerül az Ön által használt számítógéphez köthető adat, illetve a rendeléssel
kapcsolatos egyéb fontos információk is(megrendelés ideje, kért szállítási időpont, fizetés módja, megjegyzés, IP cím,
hűségfok, zamatbank adatok)
A GURU Invest Kft. a vásárló/fogyasztó/szolgáltatást igénybe vevő személyes adatait semmilyen esetben sem adja át,
továbbítja, vagy teszi nyilvánossá harmadik személynek, kivéve, ha erre jogszabály, hatóság vagy bíróság kötelezi. A
vásárló/fogyasztó/szolgáltatást igénybe vevő bármikor kérhet felvilágosítást a GURU Invest Kft. által kezelt adatairól,
kérheti azok módosítását, kérheti azok továbbítását egy másik adatkezelőnek, továbbá kérheti azok GURU Invest Kft.
adatbázisából való törlését - kivételt képeznek azok a számla adatok (a számlák tőpéldányai), melyeknek megőrzésére a
Számviteli Törvény Kötelezi Társaságunkat - az alábbi elérhetőségeken: postai úton a 1126 Budapest, Szent Orbán tér 4.
Kifejezett hozzájárulásával a vásárló/fogyasztó/szolgáltatást igénybe vevő beleegyezett abba, hogy adatai a GURU Invest
Kft. adatbázisába kerüljenek, és azokat a GURU Invest Kft. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és
lakcímadatok kezeléséről szóló 1995. évi CXIX törvényben meghatározott piackutatás és közvetlen üzletszerzés céljából
minden további engedélyezés nélkül felhasználhassa. A vásárló/fogyasztó/szolgáltatást igénybe vevő hozzájárul ahhoz, hogy
a GURU Invest Kft. közvetlen üzletszerzés céljából postai, illetve elektronikus úton (e-mail) reklámot továbbítson, valamint
hogy adatait saját szolgáltatásának fejlesztése érdekében felhasználja.
Az Adatvédelmi incidensek kezelése a GDPR alapján
A GURU Invest Kft. aktívan igazolja az Európai Uniós rendeletnek (GDPR) történő megfelelését, az Adatvédelmi Szabályzat
internetes oldalon történő megjelenítésével, az internetes rendelés folyamatában az adatvédelmi tájékoztató linkjének
megjelenítésével, a hatósági ellenőrzések vagy érintett személyek tájékozódási igényének befogadásakor bármikor
rendelkezésre tudjuk bocsátani a kért adatokat.
Adatvédelmi incidens - szándékos, gondatlan vagy véletlen adatvesztés/adatmódosulás esetén, privacy-t érintő károk,
kibertámadás stb. - esetén a GURU Invest Kft. eljárási rendje a szerverek kijelölt adminisztrátor által történő azonnali
leállítása (offline állapotba helyezése), az incidenst követően legkésőbb 72 órával a tudomásszerzést követően bejelentjük
az illetékes felügyeleti hatóságnál, a Nemzeti Média - és Hírközlési Hatóságnál, valamint Nemzeti Adatvédelmi és
Információszabadság Hatóságnál és email-ben tájékoztatjuk az érintetteket az incidensről. Amennyiben az érintettek
tájékoztatása aránytalan erőfeszítést tenne szükségessé Társaságunk részről, úgy a jelen adatvédelem oldalunkra mutató
linket a GURU Invest Kft. weboldalának nyitólapján az értesítések sorban megjelenítjük.
Az adatvédelmi incidensekről nyilvános nyilvántartás készül GURU Invest Kft. Adatvédelmi oldalán:
- Jelen dokumentum közzététele dátumáig nem történt adatvédelmi incidens a GURU Invest Kft. adatkezelésének
vonatkozásában.
A GURU Invest Kft. biztosítja, hogy egy esetleges adatvédelmi incidens esetén ne közvetlenül és azonnal
kompromittálódjanak a személyes adatok. Ezekre külön fizikai behatolásvédelmet és számítógépes védelmet dolgoztunk ki:
jelszóval védett titkosított adatbázisban tároljuk az adatokat az ügyviteli rendszerünkön belül, azokból titkosítástalan
másolat nem készül, a szervereket külön fizikai védelemmel és távfelügyeletre bekötött kamerás riasztórendszerrel védjük.
A felhasználó és az internetes felület közötti kommunikációt a Let's Encrypt által kiadott, érvényes SSL tanúsítvány védi. A
tanúsítvány a böngésző címsorának bal szélén található információs csíkra történő kattintással bármikor lekérdezhető.
Az adatkezelés jogalapja, célja, módja
Az adatkezelésre a www.guru.hu internetes oldalon található internetes tartalmak
felhasználóinak/vásárlóinak/fogyasztóinak/ önkéntes, megfelelő tájékoztatáson alapuló nyilatkozata alapján kerül sor,
amely nyilatkozat tartalmazza a felhasználók kifejezett hozzájárulását ahhoz, hogy a weboldal használata során közölt
személyes adataik felhasználásra kerüljenek. Az adatkezelés jogalapja az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvény alapján az érintett önkéntes hozzájárulása.
Az adatkezelés célja a www.guru.hu URL alatt elérhető szolgáltatások nyújtásának biztosítása. A
felhasználó/vásárló/fogyasztó által önkéntesen megadott adatokat a GURU Invest Kft. a weboldal fejlesztésére, a vásárlói
igények kielégítésének tökéletesítésére, a szolgáltatások nyújtásának precizitására használja.
Az adatkezelés időtartama
A felhasználó/vásárló/fogyasztó által megadott személyes adatok kezelése addig tart, amíg a felhasználó/vásárló/fogyasztó
a szolgáltatásról - az általa regisztrált felhasználói névvel - ki nem iratkozik. A törlés időpontja a felhasználó kiiratkozásának
(törlési igényének) beérkezésétől számított 10 munkanap. A felhasználó/vásárló/fogyasztó által elkövetett rendszer elleni
támadás és más egyéb bűncselekmény elkövetése esetén a GURU Invest Kft. jogosult a felhasználó/vásárló/fogyasztó
regisztrációjának megszűnésével egyidejűleg adatait haladéktalanul törölni. A GURU Invest Kft. bűncselekmény gyanúja
vagy polgári jogi felelősség gyanúja esetén jogosult az adatokat a lefolytatandó eljárás időtartamára őrizni is.
A felhasználó/vásárló/fogyasztó által önkéntesen megadott személyes adatok addig kezelhetőek a GURU Invest Kft., mint
adatkezelő által, amíg a felhasználó kifejezetten írásban nem kéri az adatai kezelésének megszüntetését. A GURU Invest Kft.
szolgáltatásainak igénybe vételéhez fűződő jogot nem érinti a felhasználó/vásárló/fogyasztó adatainak kezelésének
megszüntetésére irányuló kérelme. Az adatok törlésére, az erre irányuló kérelem beérkezésétől számított 10 munkanapon
belül kerül sor. Az adatok végleges törlését az elérhetőségeink bármelyikén kérhetik az ügyfeleink (pl guru@guru.hu).
Ki férhet hozzá az adatokhoz?
A GURU Invest Kft. ügyfélkezeléssel foglalkozó munkatársa és a szolgáltatás folyamatos üzemeltetésért felelős
rendszergazda férhet hozzá az oldal által eltárolt adatokhoz. Munkatársaink és ügynökségeink titoktartási kötelezettséget
vállaltak a tárolt adatokkal kapcsolatban.
A tárhely-szolgáltató ügynökségünk
A tárhely szolgáltató megnevezése: UNAS Online Kft.
A tárhely szolgáltató levelezési címe: Sopron, Kőszegi út 14, 9400
Az adatkezelő e-mail címe: unas@unas.hu
A tárhely szolgáltató telefonszáma: (06 99) 200 200
A tárhely szolgáltató cégjegyzékszáma: Cg. 08 09 015594
A tárhely szolgáltató adószáma: 14114113-2-08
Személyes adatokat láthat, de azokat a szerződésének megfelelően bizalmasan kezeli.
Fejlesztő ügynökségünk
AB-Média Kft.
Székhely: 4400 Nyíregyháza, Moszkva u. 7/B fszt.1
Adószám: 32092284-2-15
Személyes adatokat láthat, de azokat a szerződésének megfelelően bizalmasan kezeli.
A hírlevél adatfeldolgozó megnevezése:
Név: MediaCenter Hungary Kft. (a továbbiakban Szolgáltató)
Székhely: 6000 Kecskemét, Sosztakovics u. 3. II/6
Postai cím: 6001 Kecskemét, Pf. 588.
E-mail: mediacenter@mediacenter.hu
Telefon: 06 76 / 575-023 Fax: 06 76 / 575-024
Honlap: www.mediacenter.hu
Online fizetéskor a www.guru.hu felhasználói adatbázisában tárolt alábbi személyes adataim átadásra
kerüljenek a B-Payment Szolgáltató Zrt. (1132 Budapest; Váci út 4. +36 1 793 6776 info@borgun.hu ), mint
adatfeldolgozó részére. A továbbított adatok köre: név-előtag, vezetéknév, keresztnév, számlázási cím, szállítási
cím, telefonszám, e-mail cím, bankkártyaszám utolsó négy számjegye. Az adattovábbítás célja: a fizetési
tranzakciókhoz szükséges adatkommunikáció lebonyolítása a kereskedő és a fizetési szolgáltató rendszere
között, a tranzakciók visszakereshetőségének biztosítása a kereskedő partnerek számára.
Az adatkezelés célhoz kötöttsége:
A GURU weboldalon keresztül a Szolgáltató csak meghatározott célból, nevezetesen a megrendelések sikeres és magas
színvonalú teljesítése érdekében jogosult a Megrendelőre vonatkozó adatokat kezelni. Az adatkezelésnek minden
szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának
megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
Hirdetések, Hírlevelek és egyéb kommunikáció
A GURU weboldal rendelési felületén és a visszaigazoló e-mailekben a rendelési folyamatot nem zavaró módon
hirdetéseket helyezhet el. A rendelés leadását követően a rendszer akár több a rendelés tételeihez, fajtájához tartozó
értesítést is küldhet. Pld: Minőségi visszajelzés űrlap stb. Jelen nyilatkozat aláírásával Ön nyilatkozhat arról, hogy szeretne-e
értesítést kapni e-mail címére kampányainkról, újdonságainkról. A kiküldött hírlevelekben lehetőséget biztosítunk a
leiratkozásra, így megfelelünk a 2008-ban életbe lépett un. spam törvény előírásainak.
Adatbiztonsági intézkedések
Adatok a szerverteremben 24 órás őrzéssel védettek, a C-Host Kft. által biztosított dedikált szerverek winchesterein
tárolódnak. Belső hozzáférés gyakorlatilag lehetetlen a külső támadások ellen pedig magas szinten felkészített tűzfal védi az
adatokat.
A felhasználók jogai személyes adataik kezelésével kapcsolatban
A már felsorolt kötelező adatok nélkül, nem adhatja le online rendeléseit. A Felhasználó személyéhez szorosabban köthető
személyes adatok megadásáról maguk a felhasználók döntenek. Az adatkezelés az érintettek önkéntes hozzájárulásával
történik. Személyes adataid kezeléséről tájékoztatást kérhet! A tájékoztatás ügyfélszolgálatunk felkeresésével kérhető. Az
ügyfélszolgálat csak abban az esetben ad felvilágosítást az adatokról amennyiben a tájékoztatást kérő megfelelő módon
azonosítja magát.
Minden felhasználó maga helyesbítheti személyes adatait. Erre bejelentkezés után az adataim szerkesztése funkció alatt
van lehetőség.
Süti szabályzat (Cookie szabályzat)
A Süti szabályzat meghatározza az oldal használata (böngészése) közben a GURU Invest Kft. által begyűjtött és tárolt
információkat és ezek felhasználását. A cookie (magyarul süti) egy olyan kisméretű file, amely a felhasználóink
számítógépén tárolódik, előzetes engedély-kérést követően. A sütik nem alkalmasak a felhasználók azonosítására! A cookie
segít az internetes forgalom elemzésében és segítséget nyújt abban, hogy a felhasználóinkat személyre szabott módon
szólíthassuk meg. A felhasználók preferenciáját nyilvántartva segít a navigációban.
Az általunk használt sütik egy része feltétlenül szükséges ahhoz, hogy Ön navigálni tudjon az egyes oldalak között, és meg
tudjon tekinteni bizonyos védett tartalmakat (például a csak regisztrált felhasználók számára látható oldalakat).
Emellett funkcionális sütiket is használunk, melyek segítségével információkat gyűjthetünk arról, hogy Ön hogyan használja
az oldalt, és személyre szabhatjuk a weboldalt; így például meg tudjuk jegyezni az Ön által kiválasztott nyelvet, valamint azt,
hogy például milyen termékekre keresett rá. Ezeket az adatok kizárólagosan a tartalmaink személyre szabott ajánlásához
használjuk és nem használjuk fel semmilyen más célra. A forgalmat naplózó cookie-k a meglátogatott oldalak azonosítására
szolgálnak. Ez segít nekünk abban, hogy a weboldal forgalmát naplózzuk. Ezeket az információkat kizárólag statisztikai
elemzésekhez használjuk fel, az eredeti adatok a felhasználást követően törlésre kerülnek. A cookie-k segítenek például
abban is, hogy a felhasználóink az oldalunkra bejelentkezzenek, vagy személyre szabott tartalmakat érjenek el.
Külső webes szolgáltatások
Oldalainkon időnként külső webes szolgáltatások segítségével jelenítünk meg különféle tartalmakat. Erre például különböző
képek, videók és statisztikák vagy éppen keresődobozok megjelenítéséhez van szükség. A közösségi gombokhoz hasonlóan
ez esetben sincs befolyásunk arra, hogy ezek a weboldalak, illetve külső domének milyen adatokat gyűjtenek arról, hogy Ön
miként használja ezeket a beágyazott tartalmakat.
Általánosságban tehát a cookie-k abban segítenek nekünk, hogy a felhasználóinknak egy jobb weboldalt készítsünk, segít
abban, hogy meghatározzuk, hogy mely oldalakat vagy termékeket találnak hasznosnak vagy éppen haszontalannak. A
cookie-k nem biztosítanak semmilyen hozzáférést a felhasználóink számítógépéhez, vagy bármilyen más személyes
adathoz, csak azokat az adatokat tárolják, amelyeket a felhasználóink döntése alapján tudatnak velünk. A cookie-k
használatát lehet engedélyezni és lehet tiltani. A legtöbb böngésző automatikusan engedélyezi a használatukat, de a
böngésző beállításokban kézzel is lehet módosítani ezeket.
E-mailes kommunikáció
A fentiek mellett nyomon követhetjük azt is, hogy Ön megnyitotta-e, illetve továbbította-e a tőlünk kapott e-mail
üzeneteket, hogy a jövőben hasznosabb és érdekesebb tájékoztatással tudjunk szolgálni. Amennyiben nem szeretné, hogy
adatokat gyűjtsünk arról, hogy Ön megnyitotta-e, illetve továbbította-e az általunk küldött üzeneteket, úgy ebben az
esetben le kell iratkoznia hírleveleinkről, mivel nincs rá mód, hogy anélkül küldjünk e-mailes üzeneteket, hogy ilyen jellegű
adatokat gyűjtenénk. Ha Ön regisztrált felhasználó, és módosítani szeretné az e-mail üzenetekre vonatkozó
beállításait, bármikor kapcsolatba léphet velünk, és bármikor leiratkozhat a levelezőlistánkról az általunk küldött emailekben kapott útmutatást követve.
Jogérvényesítési lehetőségek
A felhasználó/vásárló/fogyasztó jogérvényesíti lehetőségeit az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. tv., valamint az 2013. évi V. tv. (Ptk.) alapján bíróság előtt gyakorolhatja,
továbbá bármilyen személyes adattal kapcsolatos kérdésben kérheti a Nemzeti Adatvédelmi és Információszabadság
Hatóság segítségét is (1125. Budapest, Szilágyi Erzsébet fasor 22/C., postacím: 1530. Bp. Pf.: 5.)
Az a Felhasználó, aki vélelmezi, hogy a www.guru.hu üzemeltetői megsértették személyes adatai védelméhez való jogát,
igényét polgári bíróság előtt érvényesítheti, vagy kérheti az adatvédelmi biztos segítségét is. Az ajánlásokat és a részletes
szabályozást a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény
tartalmazza.
A szolgáltató neve: GURU – GURU Invest Kft.
A szolgáltató székhelye: 1126 Budapest, Szent Orbán tér 4.
A szolgáltató elérhetősége, az igénybe vevőkkel való kapcsolattartásra szolgáló, rendszeresen használt
elektronikus levelezési címe: guru@guru.hu
A szolgáltató cégjegyzékszáma: 01-09-984977
A szolgáltató adószáma: 23928361-2-43
Nyilvántartásban bejegyző hatóság neve: Fővárosi Cégbíróság
A szolgáltató telefonszáma: +36 1 315 3300
A szerződés nyelve: magyar
A tárhely szolgáltató megnevezése: UNAS Online Kft.
A tárhely szolgáltató levelezési címe: 1115 Budapest, Halmi utca 29.
Az adatkezelő e-mail címe: unas@unas.hu
A tárhely szolgáltató telefonszáma: (06 99) 200 200
A tárhely szolgáltató cégjegyzékszáma: Cg. 08 09 015594
A tárhely szolgáltató adószáma: 14114113-2-08
A GURU Invest Kft.
ADATKEZELÉSI TÁJÉKOZTATÓJA
AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL SZEMÉLYES ADATAI KEZELÉSE
VONATKOZÁSÁBAN
Jelen Adatkezelési Tájékoztató (a továbbiakban: Tájékoztató) a GURU Invest Kft. mint
adatkezelő adatkezelési tevékenységéhez fűződő adatkezelési tájékoztatóját tartalmazza
látogatók, vendégek, vásárlók, a Társaság honlapján regisztráló és webshop-ban vásárló
felhasználók részére, az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016.
április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő
védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon
kívül helyezéséről (általános adatvédelmi rendelet) megfelelés céljából.
Az Adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a
személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető
és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa,
továbbá elősegíti az érintett jogainak a gyakorlását.
Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az
információszabadságról 2011. évi CXII. törvény is előírja. Az alábbiakban olvasható
tájékoztatással a Társaság e jogszabályi kötelezettségünknek tesz eleget.
Jelen Tájékoztató a Társaság adatvédelmi szabályzatának 12. mellékletét képezi. Tartalmát az
érintett természetes személlyel meg kell ismertetni, részére kérésére meg kell küldeni.
I. FEJEZET
AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓK MEGNEVEZÉSE
Adatkezelő megnevezése
A jelen Tájékoztató kiadója, egyben az Adatkezelő:
GURU – GURU Invest Kft.
A szolgáltató székhelye: 1126 Budapest Szent Orbán tér 4.
A szolgáltató elérhetősége, az igénybe vevőkkel való kapcsolattartásra szolgáló, rendszeresen
használt elektronikus levelezési címe: guru@guru.hu
A szolgáltató cégjegyzékszáma: 01-09-984977
A szolgáltató adószáma: 23928361-2-43
Nyilvántartásban bejegyző hatóság neve: Fővárosi Cégbíróság
A szolgáltató telefonszáma: +36 1 315 33 00 (a továbbiakban: Társaság/Adatkezelő)
Adatfeldolgozók megnevezése
Adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. (Rendelet 4. cikk 8.)
Az adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges
a tájékoztatása. Ennek megfelelően a Társaság a következő tájékoztatást adja:
1. Társaságunk IT szolgáltatói
Társaságunk a honlapja fenntartásához és kezeléséhez és reklámtevékenységekhez
adatfeldolgozókat vesz igénybe, akik az ezekhez fűződő IT szolgáltatásokat biztosítja, és
ennek keretében – a vele fennálló szerződésünk tartamáig - kezeli a honlapon megadott
személyes adatokat, ha az az általa végzett művelet elvégzése érdekében szükséges, tárolja a
személyes adatokat a szerveren.
A tárhelyszolgáltató adatfeldolgozó megnevezése:
A tárhely szolgáltató megnevezése: Unas Online Kft.
A tárhely szolgáltató levelezési címe: Sopron, Kőszegi út 14, 9400
Az adatkezelő e-mail címe: unas@unas.hu
A tárhely szolgáltató telefonszáma: (06 99) 200 200
A tárhely szolgáltató cégjegyzékszáma: Cg. 08 09 015594
A tárhely szolgáltató adószáma: 14114113-2-08
A webfejlesztő adatfeldolgozó megnevezése:
AB-Média Kft.
Székhely: 4400 Nyíregyháza, Moszkva u. 7/B fszt.1.
Adószám: 32092284-2-15
A hírlevél adatfeldolgozó megnevezése:
Név: MediaCenter Hungary Kft. (a továbbiakban Szolgáltató)
Székhely: 6000 Kecskemét, Sosztakovics u. 3. II/6
Postai cím: 6001 Kecskemét, Pf. 588.
E-mail: mediacenter@mediacenter.hu
Telefon: 06 76 / 575-023 Fax: 06 76 / 575-024
Honlap: www.mediacenter.hu
II. FEJEZET FOGALOMMEGHATÁROZÁSOK
E Tájékoztató alkalmazásában – összhangban a Rendelet 4. cikkével:
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”)
vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy
közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat,
online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági,
kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés,
rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés,
felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel
útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük
korlátozása céljából;
4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája,
amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos
személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági
helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez,
megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó
jellemzők elemzésére vagy előrejelzésére használják;
5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében
további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes
adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további
információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított,
hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem
lehet kapcsolni;
6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált
vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott
ismérvek alapján hozzáférhető;
7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan
vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a
tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó
különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik
fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a
tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek
címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az
adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval
vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása
alatt a személyes adatok kezelésére felhatalmazást kaptak;
11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a
megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt
érintő személyes adatok kezeléséhez;
12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más
módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést
eredményezi.
III. FEJEZET ALAPELVEK
A Társaság a személyes adatok kezelését – összhangban a Rendelet 5. cikkével – az alábbi
elvek figyelembevételével végzi:
1. Jogszerűség, tisztességes eljárás és átláthatóság elve: A Társaság a személyes adatok
kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell
végzi;
2. Célhoz kötöttség elve: A személyes adatok gyűjtése csak meghatározott, egyértelmű és
jogszerű célból történik, és azokat a Társaság nem kezeli ezekkel a célokkal össze nem
egyeztethető módon; Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű
archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő
további adatkezelés;
3. Adattakarékosság elve: A személyes adatok az adatkezelés céljai szempontjából
megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
4. Pontosság elve: A személyes adatoknak pontosnak és szükség esetén naprakésznek kell
lenniük; a Társaság minden észszerű intézkedést megtesz annak érdekében, hogy az
adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy
helyesbítse;
5. Korlátozott tárolhatóság elve: A személyes adatok tárolásának olyan formában kell
történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak
eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő
tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a Rendelet 89.
cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi
kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak
és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések
végrehajtására is figyelemmel;
6. Integritás és bizalmas jelleg elve: A személyes adatok kezelését a Társaság oly módon
végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva
legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes
kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni
védelmet is ideértve;
7. Elszámoltathatóság elve: A Társaság, mint adatkezelő felelős az 1.–6. pontoknak való
megfelelésért, szükség esetén felkészült e megfelelés igazolására.
IV. FEJEZET
AZ ADATKEZELÉS JOGSZERŰSÉGE
Adatkezelés az érintett hozzájárulása alapján
A Társaság az érintett személyes adatai védelmével kapcsolatban a hatályos jogszabályoknak
megfelelően jár el és megóvja a személyes adatait. A megadott adatokat az adatvédelmi
törvénynek megfelelően bizalmasan kezeljük, harmadik félnek nem adjuk át, és azokat csak
saját céljainkra használjuk fel.
Az érintett hozzájárulásnak minősül az, ha az érintett a Társaság internetes honlapjának
megtekintése során, illetve az internetes honlapon történő regisztráció során bejelöl egy erre
vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele
során más, erre irányuló technikai beállításokat hajt végre, valamint bármely egyéb olyan
nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását
személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
A hallgatás, az internetes honlapon, papír alapú dokumentumon előre bejelölt négyzet vagy a
nem cselekvés nem minősül hozzájárulásnak.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési
tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást
az összes adatkezelési célra vonatkozóan meg kell adni.
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más
ügyekre is vonatkozik – pl. értékesítési, szolgáltatási szerződés megkötése – a hozzájárulás
iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni,
érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel, valamint az
tartalmazhat tisztességtelen feltételeket.
Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely nem felel meg a
Rendeletben foglalt követelményeknek, kötelező erővel nem bír.
Ahhoz, hogy az érintett hozzájárulása a Társaság tájékoztatásán alapulónak minősüljön, az
érintettnek legalább tisztában kell lennie az adatkezelő Társaság kilétével és a személyes
adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az
érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a
hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési
szándék keretében van szükség. A Társaság nem kötheti szerződés megkötését, teljesítését
olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem
szükségesek az adott szerződés teljesítéséhez.
A hozzájárulás visszavonásának lehetőségét értehető, könnyen hozzáférhető formában,
világos és egyszerű módon kell lehetővé tenni az érintett számára és az nem tartalmazhat
tisztességtelen feltételeket.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett
adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség
teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának
visszavonását követően is kezelheti.
A Társaság Adatvédelmi Szabályzatának 12. melléklete szerinti jelen általános adatkezelési
tájékoztatóját a honlapján könnyen elérhető módon hozzáférhetővé teszi az érintettek
számára. Az általános adatkezelési tájékoztató célja, hogy az érintetteket nyilvánosan is
elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és
részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az
adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult
személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő
Társaság az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik jogosultak
megismerni az adatokat. A Társaság tájékoztatása ennek keretében kiterjed az érintett
adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen adatkezelési
tájékoztatót a legfontosabb adatkezelési lépések mindegyikénél külön linkkel jelölve a
Társaság megismerhetővé teszi és annak meglétéről tájékoztatja az érintetteket.
A törvény által előírt jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett
hozzájárulásától független. Az jelen bekezdésben foglalt esetben az érintettel az adatkezelés
megkezdése előtt a Társaságnak közölni kell, hogy adatainak kezelése törvényi
kötelezettségen alapul, továbbá a Társaság az érintettet az adatkezelés megkezdése előtt
egyértelműen és részletesen tájékoztatja az adatai kezelésével kapcsolatos minden tényről, így
különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra
jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az
adatkezelő Társaság a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik
jogosultak megismerni az adatokat. A tájékoztatásnak ki kell terjednie az érintett
adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés
esetén a Társaság tájékoztatása megtörténhet a jelen bekezdésben foglalt információkat
tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
V. FEJEZET
KAMERÁS MEGFIGYELŐRENDSZER ALKALMAZÁSA AZ ÜZLETHELYISÉGEKBEN
1./ Társaságunk a székhelyén, telephelyén, az üzlethelyiségekben, vásárlók fogadásra nyitva
álló helyiségeiben az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme és a
vagyonvédelem céljából elektronikus megfigyelőrendszert (kamerarendszert) alkalmaz, amely
képfelvétel rögzítését teszi lehetővé, ez alapján személyes adatnak tekinthető az érintett
magatartása is, amit a kamera rögzít.
2./ Az adatkezelés jogalapja a munkáltató jogos érdekeinek érvényesítése és az érintett
hozzájárulása.
3./ A Társaság köteles az elektronikus megfigyelőrendszer adott területen történő
alkalmazásának tényéről jól látható helyen, jól olvashatóan, a területen megjelenni kívánó
harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást (a
továbbiakban együtt: tájékoztatás) elhelyezni. A tájékoztatást minden egyes kamera
vonatkozásában meg kell adni. Ez a tájékoztatás tartalmazza az elektronikai vagyonvédelmi
rendszer által folytatott megfigyelés tényéről, valamint a rendszer által rögzített, személyes
adatokat tartalmazó képfelvétel készítésének, tárolásának céljáról, az adatkezelés jogalapjáról,
a felvétel tárolásának helyéről, a tárolás időtartamáról, a rendszert alkalmazó (üzemeltető)
személyéről, az adatok megismerésére jogosult személyek köréről, továbbá az érintettek
jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről szóló tájékoztatást is. A
tájékoztatás mintája az Adatkezelési Szabályzat 10. mellékletét képezi.
4./ A megfigyelt területre belépő harmadik személyekről (ügyfelek, látogatók, vendégek)
képfelvétel a hozzájárulásukkal készíthető és kezelhető. A hozzájárulás ráutaló magatartással
is megadható különösen úgy, ha a megfigyelt területre belépő természetes személy az annak
bejáratánál kihelyezett elektronikus megfigyelő-rendszer alkalmazásáról szóló tájékoztató
jelzés, ismertetés ellenére a területre bemegy.
5./ A rögzített felvételek felhasználás hiányában maximum 5 (öt) munkanapig őrizhetők meg,
ezt követően azok törlésre kerülnek. Felhasználásnak minősül, ha a rögzített képfelvételt,
valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként
kívánnak felhasználni.
6./ Akinek jogát vagy jogos érdekét a képfelvétel adatának rögzítése érinti, a képfelvétel
rögzítésétől számított 5 (öt) munkanapon belül jogának vagy jogos érdekének igazolásával
kérheti, hogy az adatot az adatkezelő ne semmisítse meg, illetve ne törölje.
7./ Nem lehet kamerás megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a
megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az
illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá
az olyan helyiségben sem, amely kifejezetten a munkavállalók munkaközi szünetének
eltöltése céljából lett kijelölve.
8./ Ha az üzlethelyiség területén jogszerűen senki sem tartózkodhat – így különösen
nyitvatartási időn kívül – akkor az üzlethelyiség teljes területe megfigyelhető.
9./ A kamerás megfigyelőrendszerrel rögzített adatok megtekintésére a törvényben erre
feljogosítottakon kívül a jogsértések feltárása és a rendszer működésének ellenőrzése céljából
a megfigyelőrendszert kezelő személyzet, a Társaság vezetője és helyettese, továbbá a
megfigyelt terület vezetője jogosult.
VI. FEJEZET
ADATKEZELÉS A TÁRSASÁG HONLAPJÁVAL ÖSSZEFÜGGŐ SZOLGÁLTATÁSOK SORÁN
Látogatói adatkezelés a Társaság honlapján. Tájékoztatás sütik (cookie-k)
alkalmazásáról
1./ A sütik (cookie-k) olyan kisméretű fájlok, amely a Társaság honlapjának felhasználói
számítógépén tárolódnak, az érintett felhasználó előzetes engedélykérése és az érintett
felhasználó engedélyezését követően. A sütik nem alkalmasak az érintettek személyének
azonosítására. A sütik célja, hogy az adott infokommunikációs, internetes szolgáltatást
megkönnyítse, kényelmesebbé tegye. A sütik segítik az internetes forgalom elemzését és
segítséget nyújtanak abban, hogy a felhasználóinkat személyre szabott módon szólíthassuk
meg. A felhasználók preferenciáját nyilvántartva segítik őket a navigációban.
2./ A felhasználó hozzájárulását nem igénylő sütik esetében a honlap első látogatása során
kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre vonatkozó tájékoztató teljes
szövege megjelenjen a honlapon, elegendő, ha a honlap üzemeltetői röviden összefoglalják a
tájékoztatás lényegét, és egy linken keresztül utalnak a teljes körű tájékoztató elérhetőségére.
3./ A hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első
látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó adatkezelés már az
oldal felkeresésével megkezdődik. Amennyiben a süti alkalmazására a felhasználó által
kifejezetten kért funkció igénybevételéhez kapcsolódik, akkor a tájékoztatás is megjelenhet e
funkció igénybevételéhez kapcsolódóan. Ebben az esetben sem szükséges az, hogy a sütikre
vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő egy rövid
összefoglaló a tájékoztatás lényegéről, és egy linken keresztül utalás a teljes körű tájékoztató
elérhetőségére.
4./ A honlapon a sütik alkalmazásáról a látogatót a Társaság az Adatvédelmi Szabályzata 12.
melléklete szerinti jelen adatkezelési tájékoztatóban tájékoztatja. E tájékoztatóval a Társaság
biztosítja, hogy a látogató a honlap információs társadalommal összefüggő szolgáltatásainak
igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a Társaság mely
adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül
kapcsolatba nem hozható adatok kezelését is.
Regisztráció a Társaság honlapján
1./ A honlapon a regisztráló természetes személy az erre vonatkozó négyzet bejelölésével
adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a négyzet előre bejelölése.
2./ A kezelhető személyes adatok köre a természetes személy: 1. neve (vezetéknév,
keresztnév);
2. címe;
3. telefonszáma;
4. e-mail címe;
5. ha van, online azonosítója.
3./ A személyes adatok kezelésének célja:
1. A Társaság honlapján nyújtott szolgáltatások teljesítése.
2. Kapcsolatfelvétel a felhasználóval elektronikus, telefonos, SMS, és postai megkereséssel.
3. Tájékoztatás a Társaság termékeiről, szolgáltatásairól, szerződési feltételeiről, akcióiról. 4.
A honlap használatának elemzése.
4./ Az adatkezelés jogalapja az érintett hozzájárulása.
5./ A személyes adatok címzettjei, illetve a címzettek kategóriái a Társaság ügyfélszolgálattal,
marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként
a Társaság IT szolgáltatójának tárhelyszolgáltatást és fejlesztést végző munkavállalói.
6./ A személyes adatok tárolásának időtartama a regisztráció/szolgáltatás fennállásáig, vagy
az érintett hozzájárulása visszavonásáig (törlési kérelméig) tart.
Hírlevél szolgáltatáshoz kapcsolódó adatkezelés
1./ A honlapon a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó
négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. Tilos a
négyzet előre bejelölése. A feliratkozás során az Adatkezelési tájékoztatót (12. melléklet) egy
linkkel elérhetővé kell tenni. A hírlevélről az érintett az e-mail útján érkező hírlevél
„Leiratkozás” gombjának használatával vagy e-mailben tett nyilatkozattal bármikor
leiratkozhat, amely a hozzájárulás visszavonását jelenti. Ilyen esetben a leiratkozó minden
adatát haladéktalanul törölni kell.
2./ A kezelhető személyes adatok köre a természetes személy:
1. neve (vezetéknév, keresztnév);
2. e-mail címe.
3./ A személyes adatok kezelésének célja:
1. Hírlevél küldése a Társaság termékei, szolgáltatásai tárgyában; 2. Reklámanyag küldése.
4./ Az adatkezelés jogalapja az érintett hozzájárulása.
5./ A személyes adatok címzettjei, illetve a címzettek kategóriái a Társaság ügyfélszolgálattal,
marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként
a Társaság IT szolgáltatója munkavállalói a tárhelyszolgáltatás, reklámtevékenység és
fejlesztés teljesítése céljából.
6./ A személyes adatok tárolásának időtartama a hírlevél-szolgáltatás fennállásáig, vagy az
érintett hozzájárulása visszavonásáig (törlési kérelméig) tart.
Adatkezelés a Társaság Facebook oldalán
1./ A Társaság termékei, szolgáltatásai megismertetése, népszerűsítése céljából Facebook
oldalt tart fenn.
2./ A Társaság részére a Facebook oldalon tett panasz nem minősül hivatalosan benyújtott
panasznak.
3./ A Társaság Facebook oldalán a látogatók által közzétett személyes adatokat a Társaság
nem kezeli.
4./ A látogatókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.
5./ A Társaság Facebook oldalán tett jogellenes, vagy sértő tartalom publikálása esetén a
Társaság előzetes értesítés nélkül kizárhatja az érintettet az oldal kedvelői közül és törölheti
hozzászólását.
6./ A Társaság nem felel a Facebook felhasználók által a Társaság Facebook oldalán közzétett
jogszabályt sértő adattartalmakért, hozzászólásokért. A Társaság nem felel semmilyen
személyes adatok védelmét érintő, a Facebook működéséből adódó hibáért, üzemzavarért
vagy a rendszer működésének megváltoztatásából fakadó problémáért.
Adatkezelés a Társaság webáruházában
1./ A Társaság által működtetett webáruházban történő vásárlás szerződésnek minősül,
figyelemmel az elektronikus kereskedelmi szolgáltatások, valamint az információs
társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény
13/A. §-ára, és a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló
45/2014. (II. 26.) Korm. rendeletre is. Webáruházban történő vásárlás esetén az adatkezelés
jogcíme a szerződés.
2./ A Társaság a szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására
irányuló szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének
figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos
követelések érvényesítése céljából kezelheti a webáruházban regisztráló, vásárló
azonosításához szükséges természetes személyazonosító adatokat és lakcímet a 2001. évi
CVIII. törvény 13/A. § (1) bekezdés jogcímén, továbbá hozzájárulás jogcímén a
telefonszámát, e-mail címét, bankszámlaszámát, online azonosítóját.
3./ A Társaság számlázás céljából kezelheti az információs társadalommal összefüggő
szolgáltatás igénybevételével kapcsolatos természetes személyazonosító adatokat, lakcímet,
valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó
adatokat, a 2001. évi CVIII. törvény 13/A.§ (2) bekezdés jogcímén.
4./ A személyes adatok címzettjei, illetve a címzettek kategóriái a Társaság ügyfélszolgálattal,
marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként,
a Társaság adózási, könyvviteli feladatait ellátó vállalkozás munkavállalói, az adó és
számviteli kötelezettségek teljesítése céljából, a Társaság IT szolgáltatója munkavállalói a
tárhelyszolgáltatás teljesítése céljából, futárszolgálat alkalmazása esetén a futárszolgálat
munkavállalói a szállítási adatok (érintett neve, címe, telefonszáma) vonatkozásában.
5./ A személyes adatok kezelésének időtartama a regisztráció / szolgáltatás fennállásáig, vagy
az érintett hozzájárulása visszavonásáig (törlési kérelméig), vásárlás esetén a vásárlás évét
követő 5 évig tart. Ezt követően az érintett személyes adatokat törölni kell.
6./ A webáruházban történő vásárlás során az Adatkezelési tájékoztatót (12. melléklet) egy
linkkel elérhetővé kell tenni.
Ajándéksorsolás szervezésével kapcsolatos adatkezelés
1./ Ha a Társaság ajándéksorsolást (1991. évi XXXIV. törvény 23.§) szervez, hozzájárulása
alapján kezelheti az érintett természetes személy:
1. nevét;
2. címét;
3. telefonszámát;
4. e-mail címét;
5. ha van, online azonosítóját.
2./ A játékban való részvétel önkéntes. Az adatkezelési hozzájárulás a jelen Szabályzat 7.
melléklete szerinti adatkérő lap szerinti tartalommal kérhető.
3./ A személyes adatok kezelésének célja a nyereményjáték nyertesének megállapítása,
értesítése, a nyeremény megküldése. Az adatkezelés jogalapja az érintett hozzájárulása.
4./ A személyes adatok címzettjei, illetve a címzettek kategóriái a Társaság ügyfélszolgálattal
kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként a Társaság IT szolgáltatója
szerverszolgáltatást végző munkavállalói, futárszolgálat alkalmazása esetén a futárszolgálat
munkavállalói.
5./ A személyes adatok tárolásának időtartama az ajándéksorolás végelszámolásáig tart. Ezt
követően az érintett személyes adatokat törölni kell.
Direkt marketing célú adatkezelés
1./ Ha külön törvény eltérően nem rendelkezik, reklám természetes személynek mint reklám
címzettjének közvetlen megkeresése módszerével (közvetlen üzletszerzés), így különösen
elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján – a
2008. évi XLVIII. törvényben meghatározott kivétellel – kizárólag akkor közölhető, ha ahhoz
a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult.
2./ A Társaság által reklám-címzetti megkeresés céljára kezelhető személyes adatok köre a
természetes személy:
1. neve;
2. címe;
3. telefonszáma;
4. e-mail címe;
5. ha van, online azonosítója.
3./ A személyes adatok kezelésének célja a Társaság tevékenységéhez kapcsolódó direkt
marketing tevékenység folytatása, azaz reklámkiadványok, hírlevelek, aktuális ajánlatok
nyomtatott (postai) vagy elektronikus formában (e-mail) történő rendszeres vagy
időszakonkénti megküldése a regisztrációkor megadott elérhetőségekre.
4./ Az adatkezelés jogalapja az érintett hozzájárulása.
5./ A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal
kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként a Társaság IT szolgáltatója
szerverszolgáltatást végző munkavállalói, postai kézbesítés esetén a Posta munkavállalói.
6./ A személyes adatok tárolásának időtartama a hozzájárulás visszavonásáig tart. Ezt
követően az érintett személyes adatokat törölni kell.
7./ A direkt marketing célú adatkezeléshez való hozzájárulásra a jelen Szabályzat 7.
melléklete szerinti adatkérő lap alkalmazható.
VII. FEJEZET
A TÁRSASÁG MINT ADATKEZELŐ NEVÉBEN ELLÁTOTT ADATFELDOLGOZÓI
TEVÉKENYSÉGEK
Tájékoztatás az adatkezelő és az adatfeldolgozó között fennálló jogok és kötelezettségek
érvényesüléséről
1./Az ezen fejezetben feltüntetett adatfeldolgozók különösen a szakértelem, a megbízhatóság
és az erőforrások tekintetében – a Rendelet követelményeinek teljesülését biztosító technikai
és szervezési intézkedéseket végrehajtásával járnak el, ideértve az adatkezelés biztonságát is.
2./ Az adatfeldolgozókat a Társaság mint adatkezelő által részükre továbbított,
megismerhetővé tett adatok tekintetében titoktartási kötelezettség terheli.
3./ Az adatfeldolgozó tevékenysége során biztosítja, hogy az érintett személyes adatokhoz
való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási
kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok
vonatkozásában titoktartási kötelezettséget vállaljanak. A Társaság által alkalmazott
Titoktartási nyilatkozat szövegét az Adatvédelmi Szabályzat 14. melléklete tartalmazza. Az
adatfeldolgozó megfelelő hardver és szoftver eszközökkel rendelkezik, az adatkezelés
jogszerűségének és az érintettek jogai védelmének biztosítására alkalmas műszaki és
szervezési intézkedések végrehajtását köteles biztosítani.
4./ A Társaság mint adatkezelő az adatfeldolgozási tevékenységre írásbeli szerződést köt az
adatfeldolgozóval, amely szerződés – a másik szerződéskötő fél elfogadása esetén –
tartalmazza az Adatvédelmi Szabályzat 14. mellékletében foglalt adatfeldolgozási jogokat és
kötelezettségeket.
5./ A Társaság mint adatkezelő jogosult ellenőrizni az adatfeldolgozónál a szerződés szerinti
tevékenység végrehajtását.
6./ A Társaságnak mint adatkezelőnek a szerződésben meghatározott feladatokkal kapcsolatos
utasításai jogszerűségéért a Társaságot terheli felelősség, ugyanakkor az adatfeldolgozó
köteles haladéktalanul jelezni az adatkezelő Társaságnak, amennyiben annak utasítása vagy
az utasítás végrehajtása jogszabályba ütközne.
7./ A Társaság mint adatkezelő kötelezettsége, hogy az érintett természetes személyeket az
Adatvédelmi Szabályzat szerinti adatfeldolgozásról tájékoztassa, ha jogszabály előírja,
hozzájárulásukat beszerezze.
8./ Az adatfeldolgozó tevékenysége során kizárólag a Társaság mint adatkezelő írásbeli
utasítása alapján jár el.
9./ Az adatfeldolgozó tevékenysége során biztosítja, hogy az érintett személyes adatokhoz
való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási
kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok
vonatkozásában titoktartási kötelezettséget vállaljanak.
10./ Az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá
az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek
jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat
figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak
érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Az
adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a
személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő
utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre
uniós vagy tagállami jog kötelezi őket. Az adatfeldolgozó gondoskodik arról, hogy a tárolt
adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra
feljogosított személyek, és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá.
Az adatfeldolgozó gondoskodik a felhasznált eszközök szükséges, rendszeres
karbantartásáról, fejlesztéséről. Az adatokat tároló eszközt megfelelő fizikai védelemmel
ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is. Az
adatfeldolgozó a szerződésben meghatározott feladatok ellátása érdekében köteles
gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi
jogszabályi rendelkezések, a szerződésben foglalt kötelezettségek, valamint az adatfelvétel
célja és módja tekintetében.
11./ Az adatfeldolgozó további adatfeldolgozót csak a Rendeletben és az Infotv.-ben
meghatározott feltételek teljesítése mellett vesz igénybe. A Társaság, mint adatkezelő teljes
bizonyító erejű magánokiratban (szerződésben) felhatalmazást adhat az adatfeldolgozónak,
hogy további adatfeldolgozót (alvállalkozót) vegyen igénybe.Az adatfeldolgozó ilyen esetű
további adatfeldolgozó igénybevételét megelőzően tájékoztatja a Társaságot a további
adatfeldolgozó személyéről, valamint a további adatfeldolgozó által végzendő tervezett
feladatokról. Ha a Társaság ezen tájékoztatás alapján a további adatfeldolgozó
igénybevételével szemben kifogást emel, a további adatfeldolgozó igénybevételére az
adatfeldolgozó kizárólag a kifogásban megjelölt feltételek teljesítése esetén jogosult.
12./ Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési
tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, erre írásba foglalt
szerződést köt, és abban a további adatfeldolgozóra is ugyanazokat az adatvédelmi
kötelezettségeket telepíti, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött
jelen szerződésben szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő
garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és
ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a
további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó
adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó
kötelezettségeinek a teljesítéséért.
13./ Az adatfeldolgozó minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogai
érvényesítésének elősegítése, ezzel kapcsolatos kötelezettségei teljesítése érdekében. Az
adatfeldolgozó segíti az adatkezelőt a Rendelet 32–36. cikk (Adatbiztonság, Adatvédelmi
hatásvizsgálat és előzetes konzultáció) szerinti kötelezettségek teljesítésében, figyelembe
véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat. Az
adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely a
Rendelet 28. cikkében meghatározott kötelezettségek teljesítésének igazolásához szükséges,
továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más
ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Ezen ponttal
kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy
annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi
rendelkezéseket.
VIII. FEJEZET
AZ ADATVÉDELMI INCIDENSEK KEZELÉSE
Az adatvédelmi incidens fogalma
1./ Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más
módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést
eredményezi. (Rendelet 4. cikk 12.)
2./ A leggyakoribb jelentett incidensek lehetnek többek között: a laptop vagy mobil telefon
elvesztése, személyes adatok nem biztonságos tárolása; adatok nem biztonságos továbbítása,
ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások,
honlap feltörése.
Adatvédelmi incidensek kezelés, orvoslása
1./ Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a
Társaság vezetőjének feladata.
2./ Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kisérleteket, és
ezeket folyamatosan elemezni kell.
3./ Ha Társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi
incidenst észlelnek, haladéktalanul értesíteniük kell a Társaság vezetőjét.
4./ A Társaság munkavállalói kötelesek jelenteni a Társaság vezetőjének, vagy a munkáltatói
jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
5./ Adatvédelmi incidens bejelenthető a Társaság központi e-mail címén, telefonszámán,
amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló
eseményeket, biztonsági gyengeségeket.
6./ Adatvédelmi incidens bejelentése esetén a Társaság vezetője – az informatikai, pénzügyi
és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során
azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról
van szó. Meg kell vizsgálni és meg kell állapítani:
a) az incidens bekövetkezésének időpontját és helyét,
b) az incidens leírását, körülményeit, hatásait,
c) az incidens során kompromittálódott adatok körét, számosságát,
d) a kompromittálódott adatokkal érintett személyek körét,
e) az incidens elhárítása érdekében tett intézkedések leírását,
f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
7./ Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat
be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését
alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a
károk helyreállítását és a jogszerű működés visszaállítását.
Adatvédelmi incidensek nyilvántartása
1./ Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza: a) az érintett
személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
2./ A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell
őrizni.
IX. FEJEZET
AZ ÉRINTETT SZEMÉLY JOGAI, JOGORVOSLAT
Előzetes tájékozódáshoz való jog
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az
adatkezelés megkezdését megelőzően tájékoztatást kapjon. (Rendelet 13-14. cikk)
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy
személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van,
jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódó
információkhoz hozzáférést kapjon. (Rendelet 15. cikk).
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül
helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés
célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett
kiegészítő nyilatkozat útján történő – kiegészítését. (Rendelet 16. cikk).
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a
rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre
vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeltben
meghatározott indokok valamelyike fennáll. (Rendelet 17. cikk)
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést ha a
rendeltben meghatározott feltételek teljesülnek. (Rendelet 18. cikk)
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés
korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy
adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez
lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az
adatkezelő tájékoztatja e címzettekről.
(Rendelet 19. cikk)
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy
adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel
olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik
Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a
személyes adatokat a rendelkezésére bocsátotta. (Rendelet 20. cikk)
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon
személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés
közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében
végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az adatkezelő vagy
egy harmadik fél jogos érdekeinek érvényesítéséhez szükség. (Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált
adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve
joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. (Rendelet 22. cikk)
Korlátozások
Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási
intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22.
cikkben meghatározott jogokkal és kötelezettségekkel összhangban. (Rendelet 23. cikk)
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek
jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az
érintettet az adatvédelmi incidensről. (Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való
jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a
szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti
tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése
megsérti a Rendeletet. (Rendelet 77. cikk)
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti
hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti
hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet
a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(Rendelet 78. cikk)
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz
való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes
adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet
szerinti jogait. (Rendelet 79. cikk)
Részletes tájékoztatás az érintett jogairól
Előzetes tájékozódáshoz való jog alapján az érintett jogosult arra, hogy az adatkezeléssel
összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást
kapjon, a 49. § és 50. §-ban foglaltaknak megfelelően.
Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
1./ Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a
személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a
következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek érvényesítés) alapuló
adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi
szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi
határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkben vagy a 49.
cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és
alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló
módokra vagy az azok elérhetőségére való hivatkozás.
2./ Az 1./ pontban említett információk mellett az adatkezelő a személyes adatok
megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést
biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam
meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes
adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett
adathordozhatósághoz való jogáról;
c) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2)
bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás
bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a
hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen
alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a
személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az
adatszolgáltatás elmaradása;
f) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye,
ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és
arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az
érintettre nézve milyen várható következményekkel bír.
3./ Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további
adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet
erről az eltérő célról és a 2./ pontban említett minden releváns kiegészítő információról.
4./ Az 1./-3./ pontok nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik
az információkkal. (Rendelet 13. cikk)
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől
szerezték meg
1./ Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett
rendelkezésére bocsátja a következő információkat:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy
valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a
Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a
47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás
esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának
megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.
2./ Az 1./ pontban említett információk mellett az adatkezelő az érintett rendelkezésére
bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges
következő kiegészítő információkat:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam
meghatározásának szempontjai;
b) ha az adatkezelés a Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az
adatkezelő vagy harmadik fél jogos érdekeiről;
c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes
adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való
joga;
d) a Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2)
bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás
bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a
hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető
forrásokból származnak-e; és
g) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye,
ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és
arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az
érintettre nézve milyen várható következményekkel bír.
3./ Az adatkezelő az 1./ és 2./ pontok szerinti tájékoztatást az alábbiak szerint adja meg:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok
megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az
érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első
alkalommal való közlésekor.
4./ Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további
adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet
erről az eltérő célról és a 2./ pontban említett minden releváns kiegészítő információról.
5./ Az 1./-4./ pontokat nem kell alkalmazni, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy
aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából,
tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1)
bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés
esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség
valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés
céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az
információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak
és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós
vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő
intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási
kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is,
bizalmasnak kell maradnia. (Rendelet 14. cikk)
Részletes tájékoztatás az érintett hozzáférési jogáról
1./ Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan,
hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban
van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést
kapjon: a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat
közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a
nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem
lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok
helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok
kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető
információ;
h) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye,
ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és
arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az
érintettre nézve milyen várható következményekkel jár.
2./ Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő
továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra
vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
3./ Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett
rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az
adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett
elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt
elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A
másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
(Rendelet 15. cikk)
Részletes tájékoztatás az érintett törléshez való jogáról („az elfeledtetéshez való jog”)
1./ Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül
törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre
vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok
valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy
más módon kezelték;
b) az érintett visszavonja a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2)
bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az
adatkezelésnek nincs más jogalapja;
c) az érintett a Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és
nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2)
bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi
kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett, információs
társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
2./ Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi 1. pont értelmében
azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek
figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai
intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy
az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e
személyes adatok másolatának, illetve másodpéldányának törlését.
3./ Az 1./ és 2./ pont nem alkalmazandó, ha az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami
jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott
közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének
megfelelően a népegészségügy területét érintő közérdek alapján;
d) a Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából,
tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1. pontban
említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az
adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. (Rendelet 17. cikk)
Az adatkezelés korlátozásához való jog
1./ Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az
alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az
időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes
adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok
felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az
érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
vagy d) az érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen;
ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy
az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
2./ Ha az adatkezelés az 1. pont alapján korlátozás alá esik, az ilyen személyes adatokat a
tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez,
érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak
védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet
kezelni.
3./ Az adatkezelő az érintettet, akinek a kérésére az 1. pont alapján korlátozták az
adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja. (Rendelet 18.
cikk)
Az adathordozhatósághoz való jog
1./Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére
bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban
megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek
továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a
rendelkezésére bocsátotta, ha:
a) az adatkezelés a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2)
bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja
szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
2./ Az adatok hordozhatóságához való jog 1./ pont szerinti gyakorlása során az érintett
jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok
adatkezelők közötti közvetlen továbbítását.
3./ E jog gyakorlása nem sértheti a Rendelet 17. cikkét. Az említett jog nem alkalmazandó
abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi
jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
4./ Az 1. pontban említett jog nem érintheti hátrányosan mások jogait és szabadságait.
(Rendelet 20. cikk)
A tiltakozáshoz való jog
1./ Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor
tiltakozzon személyes adatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az
adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának
keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az
adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló
kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben
az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja,
hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget
élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi
igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
2./ Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett
jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő
kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez
kapcsolódik.
3./ Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő
kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
4./ Az 1./ és 2./ pontban említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során
kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és
minden más információtól elkülönítve kell megjeleníteni.
5./ Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan
és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon
alapuló automatizált eszközökkel is gyakorolhatja.
6./ Ha a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően
tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult
arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes
adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat
végrehajtása érdekében van szükség. (Rendelet 21. cikk)
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
1./ Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált
adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve
joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
2./ Az 1./ pont nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében
szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé,
amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló
megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
3./ A 2./ pont a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő
intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme
érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi
beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
4./ A 2./ pontban említett döntések nem alapulhatnak a személyes adatoknak a Rendelet 9.
cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének
a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek
védelme érdekében megfelelő intézkedések megtételére került sor.
(Rendelet 22. cikk)
Korlátozások
1./ Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási
intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a
12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései
tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás
tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak
védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása,
illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel
szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen
az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a
monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális
biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása,
felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok
ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.
2./ Az 1./ pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket
tartalmaznak legalább:
a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,
b) a személyes adatok kategóriáira,
c) a bevezetett korlátozások hatályára,
d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó
garanciákra,
e) az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az
adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait és szabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha
ez hátrányosan befolyásolhatja a korlátozás célját. (Rendelet 23. cikk)
Az érintett tájékoztatása az adatvédelmi incidensről
1./ Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes
személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül
tájékoztatja az érintettet az adatvédelmi incidensről.
2./ Az 1./ pontban említett, az érintett részére adott tájékoztatásban világosan és közérthetően
ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk
(3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
3./ Az érintettet nem kell az 1./ pontban említettek szerint tájékoztatni, ha a következő
feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és
ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében
alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –,
amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára
értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett,
amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 1. pontban említett
magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket
nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell
hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
4./ Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti
hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas
kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a 3. pontban
említett feltételek valamelyikének teljesülését. (Rendelet 34. cikk)
A felügyeleti hatóságnál történő panasztételhez való jog
1./ Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett
jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos
tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –,
ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e
rendeletet.
2./ Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet
a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a
Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni. (Rendelet 77. cikk)
A felügyeleti hatóság elérhetőségei:
Nemzeti Adatvédelmi és Információszabadság Hatóság http://naih.hu
Postacím: 1530 Budapest, Pf.: 5.
E-mail: ugyfelszolgalat@naih.hu
Telefonszám: +36 (1) 391-1400
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
1./ Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül,
minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti
hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
2./ Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül,
minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk
alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül
nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási
fejleményekről vagy annak eredményéről.
3./ A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti
tagállam bírósága előtt kell megindítani.
4./ Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az
egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést
hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
(Rendelet 78. cikk)
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz
való jog
1./ A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük
a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme
nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a
személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e
rendelet szerinti jogait.
2./ Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az
adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen
eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is,
kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi
jogkörében eljáró közhatalmi szerve. (Rendelet 79. cikk)
X. FEJEZET
AZ ÉRINETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI
Intézkedések az érintett kérelme alapján
1./ A Társaság mint adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a
kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai
gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
2./ Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a
határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az
adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy
hónapon belül tájékoztatja az érintettet.
3./ Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint
elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
4./ Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül,
de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az
intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be
valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
5./ A Társaság mint adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett
jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja.
Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege
miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával
vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) 6.000,-Ft, azaz hatezer forint összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt
terheli.
6./ Ha Társaságunknak, mint adatkezelőnek megalapozott kétségei vannak a kérelmet
benyújtó természetes személy kilétével kapcsolatban, további, az érintett
személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
Kelt. Budapesten, 2020. március (hó) 9. napján. GURU Invest Kft.