PÉTER JUDIT
egyéni vállalkozó
Adatkezelési tájékoztatója
Az érintett személyes adatainak kezeléséről
Jelen Adatvédelmi Tájékoztató (a továbbiakban: Tájékoztató) Péter Judit egyéni vállalkozó (a továbbiakban: Vállalkozó/adatkezelő) adatkezelői tevékenységéhez fűződő, weboldala működtetésével kapcsolatos tájékoztatóját tartalmazza az érintettek részére, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016. április 27.) (a továbbiakban: GDPR Rendelet), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) és az egyéb vonatkozó, személyes adatok védelmének biztosítását szolgáló jogszabályoknak való megfelelés céljából.
A személyes adatok biztonsága érdekében adatkezelő megteszi a szükséges és megfelelő intézkedéseket annak érdekében, hogy online felhasználói a www.wndeer.com weboldalon történő tájékozódás és online kapcsolatfelvétel esetén, ügyfelei és más partnerei részére a személyes adataik kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, továbbá elősegíti az Ön, mint érintett személy jogainak gyakorlását.
Tájékoztatom, hogy Vállalkozó a weboldal felhasználásával kapcsolatos jelen Tájékoztatójától elkülönülten, a létrejövő szerződés keretében írásban tájékoztatja az érintett partnereit és ügyfeleit az adatvédelmi jogszabályoknak megfelelő ügyfél-adatkezelésről, tekintettel arra, hogy az kizárólag a szerződő ügyfeleit érintő tevékenységével összefüggésben és kizárólag az ügyfeleire nézve ír elő irányadó jogosultságokat és kötelezettségeket.
Jelen Tájékoztató az adatkezelő székhelyén elérhető Adatvédelmi Szabályzat (a továbbiakban: Szabályzat) 1. mellékletét képezi.
A Tájékoztató tartalmát kérem, hogy figyelmesen olvassa végig, kérdéseivel forduljon bizalommal adatkezelő Vállalkozóhoz.
- fejezet
Az adatkezelő és az adatfeldolgozók megnevezése
Adatkezelő megnevezése
A jelen Tájékoztató kiadója, egyben
Adatkezelő: Péter Judit egyéni vállalkozó
Székhely: 2000 Szentendre, Füzes park 18/A. A épület, 2. lcsh. 2. ajtó
Nyilvántartási szám: 43931685
Elérhetőség: judit@wndeer.com
Weboldal: www.wndeer.com
Adatfeldolgozó megnevezése
Vállalkozó minősül adatkezelőnek az érintett személyes adatainak kezelése során. A weboldal üzemeltetéséhez adatfeldolgozónak minősülő tárhelyszolgáltató segítségét veszi igénybe. Adatfeldolgozót az így megismert adatok tekintetében titoktartási kötelezettség terheli. Az adatfeldolgozó a személyes adatokat a közte és Vállalkozó között létrejött szerződésnek megfelelően, technikai feladataik teljesítése erejéig kezelik.
Az adatfeldolgozó igénybevételéhez adatkezelőnek a jogszabály értelmében nem kell külön kérnie az érintett személy előzetes beleegyezését, de szükséges az érintettek tájékoztatása. Ennek megfelelően Vállalkozó tájékoztatja az érintetteket azon adatfeldolgozó adatairól és elérhetőségéről, ahova Vállalkozó a weboldal üzemeltetésével összefüggésben az érintettek személyes adatainak biztonsága, a gyorsabb és kényelmes ügyintézés érdekében személyes adatot továbbíthat, és amelyeket adatfeldolgozó kizárólag az arra meghatározott célból kezelhet.
- Informatikai adatfeldolgozó partner
Vállalkozó az informatikai szolgáltatásai működtetéséhez tárhelyszolgáltatót vesz igénybe, aki kezeli a érintett személyes adatait a jelen pontban foglaltaknak megfelelően.
Adatfeldolgozó megnevezése: Magyar Hosting Kft.
Levelezési cím: 1132 Budapest, Victor Hugo u. 18-22.
E-mail: info@mhosting.hu
Telefonszám: +36 1 700 2323
Cégjegyzékszám: 01-09-968314
Adószám: 23495919-2-41
Az adatkezelés célja: a weboldal megfelelő működése, üzemeltetése, az ügyfél részére kapcsolatfelvételi lehetőség biztosítása.
Az adatkezelés jogalapja: az érintett hozzájárulása.
Az adatkezelés ideje: az adatkezelő és adatfeldolgozó között fennálló szerződés megszűnéséig vagy érintett hozzájárulásának visszavonásáig.
- fejezet
Fogalommeghatározások
E Tájékoztató alkalmazásában – összhangban a GDPR Rendelet 4. cikkével:
- „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
- „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- 11. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
III. fejezet
Alapelvek
Vállalkozó az érintettek személyes adatainak kezelését – összhangban a GDPR Rendelet 5. cikkével – az alábbi elvek figyelembevételével végzi:
- Jogszerűség, tisztességes eljárás és átláthatóság elve: Vállalkozó a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi;
- Célhoz kötöttség elve: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat a Vállalkozó nem kezeli ezekkel a célokkal össze nem egyeztethető módon; Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés;
- Adattakarékosság elve: A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
- Pontosság elve: A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; Vállalkozó minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse;
- Korlátozott tárolhatóság elve: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a személyes adatok kezelésére a GDPR Rendelet 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e GDPR Rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel;
- Integritás és bizalmas jelleg elve: A személyes adatok kezelését a Vállalkozó oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;
- Elszámoltathatóság elve: Vállalkozó mint adatkezelő felelős az 1–6. pontoknak való megfelelésért, szükség esetén felkészült e megfelelés igazolására.
- fejezet
A érintett személyes adatainak jogszerű kezelése
- [Adatkezelés az érintett hozzájárulása alapján]
(1) Vállalkozó a weboldalán a kapcsolatfelvételi űrlap kitöltésén keresztül elsősorban az érintett hozzájárulása alapján kezeli a jelen Tájékoztató V. fejezetében foglalt személyes adatokat. A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez Vállalkozó az adatkezelés kezdetét megelőzően kéri. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni, jelen célokat a jelen Tájékoztató V. fejezete tartalmazza. A kapcsolatfelvételi űrlapon található négyzet kipipálásával érintett hozzájárulását adja a jelen Tájékoztatóban foglalt céloknak megfelelő adatkezeléshez.
(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell jelezni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel, valamint az nem tartalmazhat tisztességtelen feltételeket. Az érintett hozzájárulását tartalmazó nyilatkozat bármely olyan része, amely nem felel meg a jogszabályokban foglalt követelményeknek, kötelező erővel nem bír.
(3) Ahhoz, hogy az érintett hozzájárulása Vállalkozó tájékoztatásán alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
(4) Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség. Vállalkozó nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek az adott szerződés teljesítéséhez.
(5) A hozzájárulás visszavonásának lehetőségét értehető, könnyen hozzáférhető formában, világos és egyszerű módon kell lehetővé tenni az érintett számára és az nem tartalmazhat tisztességtelen feltételeket. A visszavonás módját a jelen Tájékoztató V. fejezete tartalmazza.
(6) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, Vállalkozó a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
(7) A hozzájárulásnak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie, jogalapként akkor szolgálhat, ha valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában Vállalkozó nem rendelkezik megfelelő jogalappal az adatkezeléshez.
(8) A hozzájárulás jogalapjának egyik speciális esete az Infotv. 6. § (3) bekezdésében megfogalmazott kivétel, amelynek alapján 16 éven aluli kiskorúakat érintő adatkezelések jogszerűségéhez szükséges a szülő beleegyezése.
- [Vállalkozó tájékoztatási kötelezettsége]
Vállalkozó a jelen Tájékoztatót weboldalán és székhelyén könnyen elérhető módon hozzáférhetővé teszi a érintettek számára. A Tájékoztató a érintettet nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztatja az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait Vállalkozó az Infotv. 6. § (5) bekezdése (érintett hozzájárulása) alapján kezeli, illetve arról, hogy kik jogosultak megismerni az adatokat. Vállalkozó tájékoztatása ennek keretében kiterjed az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
- [Az adatkezelő jogos érdekén alapuló adatkezelés]
A személyes adat kezelhető abban az esetben is, ha az adatkezelés Vállalkozó – kivételesen harmadik fél – jogos érdekének érvényesítéséhez szükséges, kivéve, ha ennél az érdeknél magasabb rendű az érintett személyes adatai védelméhez és a magánélete tiszteletben tartásához való joga. Ez az érintett hozzájárulásától függetlenül jogszerűvé teheti az érintett adatkezelését, feltéve, ha a jogos érdek csak a szükséges és arányos mértékben korlátozza az érintett személyes adatok védelméhez való jogát, magánszféráját. Az ilyen, érdekmérlegelésen alapuló adatkezelések esetében a fokozatosság elvének érvényesülésével és lehetőgés szerint a érintett jelenlétének biztosításával kell eljárni.
- fejezet
Adatkezelés Vállalkozó weboldalán és a közösségi média felületeken
- [Kapcsolatfelvétel Vállalkozó weboldalán keresztül]
(1) A weboldalon keresztül kapcsolatfelvételt kezdeményező természetes személy a kapcsolat létesítéséhez szükséges alábbi adatait adja meg:
- neve (vezetéknév, keresztnév);
- telefonszáma;
- e-mail címe; weboldal címe, ha van;
- üzenetében foglalt, az érintett által önkéntesen, esetlegesen közölt egyéb személyes adatok.
(2) A személyes adatok kezelésének célja:
- Vállalkozó szolgáltatásaival kapcsolatos információk nyújtása, kapcsolatteremtés a természetes személy felhasználó és Vállalkozó között.
- Kapcsolatfelvétel a felhasználóval elektronikus, telefonos megkereséssel.
(3) Az adatkezelés jogalapja az érintett hozzájárulása. Az érintett az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. A kapcsolatfelvétel során a jelen Tájékoztató egy ott közzétett linken át elérhető a weboldalon. Amennyiben az érintett vissza kívánja vonni hozzájárulását, ezt a judit@wndeer.com címre küldött elektronikus levélben teheti meg. Vállalkozó az adatok törlését haladéktalanul elvégzi és arról válasz e-mailben tájékoztatja az érintettet.
(4) A (2) bekezdésben foglalt személyes adatok címzettje kizárólag Vállalkozó. Mikor az érintett személy a kapcsolatfelvételi űrlap kitöltésével felveszi Vállalkozóval a kapcsolatot, a továbbított adatokra adatfeldolgozó vagy más harmadik személy nem lát rá, az adatok nem tárolódnak a tárhelyen, azok közvetlenül a kizárólag Vállalkozó által kezelt judit@wndeer.com című e-mail fiókba érkeznek.
(5) A személyes adatok tárolásának időtartama a szolgáltatás fennállásáig, a törvényben előírt kötelező megőrzési időig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig) tart.
(6) Vállalkozó weboldala nem végez felhasználókezelést, azonban a felhasználó élményének javítása érdekében sütiket (cookie) használ. A süti egy olyan kisméretű szövegfájl, amely a számítógép vagy a mobil eszköz merevlemezén tárolódik a sütiben beállított lejárati ideig és a későbbi látogatásokkor aktiválódik (visszajelez a webkiszolgálónak). A honlapok cookie-kat használnak azzal a céllal, hogy rögzítsék a látogatással kapcsolatos információkat (meglátogatott oldalak, az oldalakon töltött idő, böngészési adatok, kilépések stb.), illetve a személyes beállításokat, ezek azonban a látogató személyével kapcsolatba nem hozható adatok. Ez az eszköz segít a felhasználóbarát honlap kialakításában, a látogatók online élményének fokozása érdekében. A sütik nem alkalmasak az érintettek személyének azonosítására. A sütik célja, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. A weboldal annak első látogatásakor a sütik alkalmazására vonatkozó tájékoztatást és annak elfogadását jelzi a felhasználó részére, amely során a felhasználó tudomásul veheti, hogy a weboldal sütiket használ. A weboldal ugyanakkor mindössze ezt az egy sütikezelést végzi, amelyben a felhasználó a sütihasználat tudomásulvételéről dönt. A felhasználónak lehetősége van ezeket kitörölni, vagy visszautasítani. Mivel minden böngésző eltérő, Ön egyénileg, a böngésző eszköztára segítségével állíthatja be a sütikkel kapcsolatos preferenciáit. Amennyiben semmilyen sütit nem kíván engedélyezni, módosíthatja a webböngésző beállításait úgy, hogy értesítést kapjon a küldött sütikről, vagy egyszerűen elutasíthat minden sütit. Ugyanakkor bármikor törölheti a számítógépén vagy mobileszközén eltárolt sütiket is. A beállításokkal kapcsolatos további tudnivalókat keresse a böngésző súgójában.
- [Adatkezelés Vállalkozó közösségi média felületein]
(1) Vállalkozó „Wndeer Design” néven Instagram, LinkedIn, Facebook és Behance (a továbbiakban együtt: közösségi oldal) oldalt működtet.
(2) A Vállalkozó által üzemeltetett „Wndeer Design” részére annak közösségi oldalán tett adatkezelési panasz nem minősül hivatalosan benyújtott panasznak.
(3) A „Wndeer Design” közösségi oldalon a látogatók által közzétett személyes adatokat Vállalkozó nem kezeli.
(4) A látogatókra a közösségi oldal Adatvédelmi- és Szolgáltatási Feltételei irányadók.
(5) A közösségi oldalakon tett jogellenes, vagy sértő tartalom publikálása esetén a Vállalkozó, mint a „Wndeer Design” üzemeltetője előzetes értesítés nélkül kizárhatja az érintettet az oldal kedvelői közül és törölheti hozzászólását.
(6) Vállalkozó nem felel a közösségi oldal felhasználói által a közösségi oldalunkon közzétett jogszabályt sértő adattartalmakért, hozzászólásokért. Vállalkozó nem felel semmilyen személyes adatok védelmét érintő, a közösségi oldal működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének megváltoztatásából fakadó problémáért.
(7) A jelen szakaszban foglalt rendelkezések megfelelően irányadók a jövőben további közösségi oldalakon létrehozott felületekre is.
VIII. Fejezet
Adatbiztonsági intézkedések
- [Adatbiztonsági intézkedések]
(1) Vállalkozó valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adatvédelem érvényesülése érdekében szükségesek.
(2) Vállalkozó az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
(3) Vállalkozó a személyes adatokat bizalmas adatként minősíti és kezeli.
(4) Vállalkozó weboldalán át érkező adatok vonatkozásában az elektronikus adatfeldolgozást, nyilvántartást számítógépes informatikai rendszer útján végzi, amely megfelel az adatbiztonság követelményeinek.
(5) Ha az érintett természetes személyek adatait Vállalkozó adatkezelési tevékenysége körében erre alkalmas papír alapú dokumentumon kezeli, azokat Vállalkozó székhelyén, zártan kell kezelni és őrizni, a Szabályzatban és jelen Tájékoztatóban foglalt előírásoknak megfelelően (jogalap, kezelt adatok köre, megőrzési idő).
(6) Vállalkozó a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.
(7) A folyamatban levő munkavégzés, feldolgozás alatt levő személyes adatot tartalmazó dokumentumokhoz csak Vállalkozó férhet hozzá, azokat biztonságosan elzárva tartja.
(8) Vállalkozó biztosítja az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
- Fejezet
Az adatvédelmi incidensek kezelése
- [Az adatvédelmi incidens fogalma]
(1) Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. (GDPR Rendelet 4. cikk 12.)
(2) A leggyakoribb jelentett incidensek lehetnek többek között: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása; adatok nem biztonságos továbbítása, ügyfél-, partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.
- [Adatvédelmi incidensek kezelése, orvoslása]
(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása Vállalkozó feladata.
(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.
(3) Ha Vállalkozó informatikai szolgáltatást végző adatfeldolgozó partnere a feladata ellátása során adatvédelmi incidenst észlel, haladéktalanul értesíti Vállalkozót.
(4) Adatvédelmi incidens bejelenthető Vállalkozó központi e-mail címén (judit@wndeer.com), így az ügyfelek, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.
(5) Adatvédelmi incidens bejelentése esetén Vállalkozó haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről vagy téves felhívásról van szó. Meg kell vizsgálni és meg kell állapítani:
- a) az incidens bekövetkezésének időpontját és helyét,
- b) az incidens leírását, körülményeit, hatásait,
- c) az incidens során kompromittálódott adatok körét, számosságát,
- d) a kompromittálódott adatokkal érintett személyek körét,
- e) az incidens elhárítása érdekében tett intézkedések leírását,
- f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
(6) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.
- [Adatvédelmi incidensek nyilvántartása]
(1) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
- a) az érintett személyes adatok körét,
- b) az adatvédelmi incidenssel érintettek körét és számát,
- c) az adatvédelmi incidens időpontját,
- d) az adatvédelmi incidens körülményeit, hatásait,
- e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
- f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
(2) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
- Fejezet
Az érintett személy jogai, jogorvoslat
Az alábbiakban Vállalkozó tájékoztatja érintettet a személyes adatok védelme tekintetében az érintett természetes személyt megillető jogokról és jogorvoslati lehetőségeiről.
- [Előzetes tájékozódáshoz való jog]
Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. (GDPR Rendelet 13-14. cikk)
- [Az érintett hozzáférési joga]
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a GDPR Rendeletben meghatározott kapcsolódó információkhoz hozzáférést kapjon. (GDPR Rendelet 15. cikk).
- [A helyesbítéshez való jog]
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. (GDPR Rendelet 16. cikk).
- [A törléshez való jog („az elfeledtetéshez való jog”)]
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a Rendeletben meghatározott indokok valamelyike fennáll. (GDPR Rendelet 17. cikk)
- [Az adatkezelés korlátozásához való jog]
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést ha a rendeltben meghatározott feltételek teljesülnek. (GDPR Rendelet 18. cikk)
- [A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség]
Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről. (GDPR Rendelet 19. cikk)
- [Az adathordozhatósághoz való jog]
A GDPR Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. (GDPR Rendelet 20. cikk)
- [A tiltakozáshoz való jog]
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló okból. (GDPR Rendelet 21. cikk)
- [Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást]
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. (GDPR Rendelet 22. cikk)
- [Korlátozások]
Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel, a GDPR Rendeletben meghatározott esetekben korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében a személyes adatok kezelésére vonatkozó (GDPR Rendelet 5. cikk) jogok és kötelezettségek hatályát. (GDPR Rendelet 23. cikk)
11, [Az érintett tájékoztatása az adatvédelmi incidensről]
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. (GDPR Rendelet 34. cikk)
- [A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)]
Az érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR Rendeletet. (GDPR Rendelet 77. cikk)
- [A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog]
Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. (GDPR Rendelet 78. cikk)
- [Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog]
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR Rendeletnek nem megfelelő kezelése következtében megsértették a GDPR Rendelet szerinti jogait. (GDPR Rendelet 79. cikk)
- Fejezet
Az érinett kérelmének előterjesztése, az Vállalkozó/Vállalkozó adatkezelő intézkedései
- [Intézkedések az érintett kérelme alapján]
(1) Vállalkozó mint adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) Vállalkozó a GDPR Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költséget számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(6) Ha Vállalkozónak, mint adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
- A felügyeleti hatóság elérhetőségei:
Nemzeti Adatvédelmi és Információszabadság Hatóság
http://naih.hu
Postacím: 1530 Budapest, Pf.: 5.
E-mail: ugyfelszolgalat@naih.hu
Telefonszám: +36 (1) 391-1400