Adatvédelmi tájékoztató

Cégnév: Clean and Go Hungary Korlátolt Felelősségű Társaság Cégjegyzékszám: 01-09-306814 Adatvédelmi Szabályzat Hatályos: 2017.12.15. A Clean (a továbbiakban: Adatkezelő) tevékenysége során fokozottan ügyel a személyes adatok védelmére, a kötelező jogi rendelkezések betartására, a biztonságos és tisztességes adatkezelésre. Az Adatkezelő adatai: Cégnév:”rövidített név”. Clean and Go Kft Cégjegyzékszám: 01-09-306814 Székhely:. Adószám: 1238 Budapest Csibuk u.23 26089981-2-43 A Nemzeti Adatvédelmi és Információszabadság Hatósághoz történő bejelentés alapján, az Adatkezelő adatkezelés adatvédelmi nyilvántartási azonosító száma: „szám” vagy „bejelentés folyamatban”. Az Adatkezelő a rendelkezésére bocsátott személyes adatokat minden esetben a hatályos magyar és európai jogszabályoknak és etikai elvárásoknak eleget téve kezeli, minden esetben megteszi azokat a technikai és szervezési intézkedéseket, amelyek a megfelelő biztonságos adatkezeléshez szükségesek. A jelen szabályzat a következő hatályos jogszabályok figyelembevételével készült: • évi CXIX. tv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről • évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről • évi XLVIII. tv. a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól • évi CXII. tv az információs önrendelkezési jogról és az információszabadságról • 2016/679/EU Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről Az Adatkezelő vállalja a jelen szabályzat egyoldalú betartását és kéri – honlapján elérhető közleményben – , hogy ügyfelei is fogadják el a szabályzat rendelkezéseit. Az Adatkezelő fenntartja magának a jogot, hogy az adatvédelmi szabályzatát megváltoztassa. Amennyiben a szabályzat módosítására sor kerül, úgy annak aktualizált szövegét nyilvánosan közzéteszi. 2. Szabályzatunkban az adatvédelmi szakkifejezések a következő jelentéssel bírnak: – adatállomány : az egy nyilvántartásban kezelt adatok összessége; – adatfeldolgozó : az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi; – adatfelelős : az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; – adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; – adatkezelő : az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; – adatközlő : az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi; – adatmegjelölés : az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából; – adattovábbítás : az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; – adattörlés : az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; – adatvédelmi incidens : személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés. – adatzárolás : az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; – bűnügyi személyes adat : a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; – EGT-állam : az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; – érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy; – harmadik ország : minden olyan állam, amely nem EGT-állam; – harmadik személy : olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; – hozzájárulás : az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez; – kötelező szervezeti szabályozás : több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja; – közérdekből nyilvános adat : a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; – különleges adat : 3. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, 4. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; – nyilvánosságra hozatal : az adat bárki számára történő hozzáférhetővé tétele; – személyes adat : az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; – tiltakozás : az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri; 5. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, 6. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, -adatfeldolgozás : az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik; -adatmegsemmisítés : az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; 7. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat. 8. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; -közérdekű adat : az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; 9. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem üzleti célra irányul. A személyes megkeresésre a munka törvénykönyve szerinti munkaszüneti napon nem kerülhet sor. Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés). Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a célmegvalósulásához szükséges mértékben és ideig. A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Személyes adat az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzá- járult, vagy azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy ön- kormányzati rendelet határozza meg. Törvény közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében. Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni. Az érintett a hozzájárulását az Adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik. 10. Az Adatkezelő a tevékenységei során a személyes adatok kezelése minden esetben törvényen vagy önkéntes hozzájáruláson alapul. Egyes esetekben az adatkezelés, hozzájárulás hiányában egyéb jogalapon vagy a 2011. évi CXII. törvény 6.§-án nyugszik. Az Adatkezelő tevékenységéhez az alábbi Adatfeldolgozók közreműködését és szolgáltatásait veszi igénybe: Cég neve: Székhelye : Clean and Go Kft 1238 Budapest Csibuk u. 23 Cégjegyzékszáma : 01-09-306814 Adószáma : 26189981-2-43 Továbbított adatok köre : (Pl. csomagküldőm szolgálat esetében: vásárló neve, telefonszáma, email címe, irányító száma, szállítási címe, kapucsengő száma, futár részére megadott üzenet .) Az adattovábbítás célja : (pl. termék kiszállítása, utánvéti díj beszedése) Ha a vállalkozás megbízásából és nevében más gazdálkodó állítja ki a számlát A megbízott cég neve: Székhelye : Cégjegyzékszáma : Adószám a Továbbított adatok köre : Vásárló neve, számlázási címe irányítószámmal, vásárolt termék neve, mennyisége, egységára. Az adattovábbítás célja : számla kiállítása A weblap látogatóinak adatai esetében Az Adatkezelő az általa üzemeltetett weboldalak látogatásakor sem a felhasználó IP címét, sem más személyes adatot nem rögzít. Az Adatkezelő által üzemeltetett weboldalak html kódja webanalitikai mérések céljából független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmazhat. A mérés kiterjed a konverziók követésére is. A webanalitikai szolgáltató személyes adatokat nem, csak a böngészéssel kapcsolatos, az egyes egyének beazonosítására nem alkalmas adatokat kezel. Jelenleg a webanalitikai szolgáltatásokat a „Cégnév”. végzi (Cím) a szolgáltatás keretében (pl. Google Analytics ) Adatvédelmi technikai megoldás leírása (pl.): az Adatkezelő a Facebook és a Google AdWords hirdetési rendszerein keresztül ún. remarketing hirdetéseket futtat. Ezek a szolgáltatók cookie-k, webes jelzők és hasonló technológiák használatával gyűjthetnek vagy kaphatnak adatokat az Adatkezelő weboldaláról és egyéb internetes helyekről. Ezen adatok felhasználásával mérési szolgáltatásokat nyújtanak, illetve hirdetéseket tesznek célzottá: ezek a Facebook és a Google partnerhálózatában szereplő további weboldalakon jelenhetnek meg. A remarketing listák a látogató személyes adatait nem tartalmazzák, személyazonosításra nem alkalmasak. A cookie-k használatát a felhasználó saját számítógépéről törölni tudja, illetve a böngészőjében eleve megtilthatja alkalmazásukat. Ezek a lehetőségek böngészőtől függően, de jellemzően a Beállítások / Adatvédelem menüpontban érhetőek el. További információ a Google és a Facebok adatvédelmi irányelveiről az alábbi elérhetőségeken olvasható: https://www.google.com/privacy.html és https://www.facebook.com/about/privacy/ Hírlevél (példa az adatbiztonság technikai megoldásaira) Az Ada tkezelő az általa üzemeltetett honlapok hírleveleire való feliratkozóknak (más néven VIP tagoknak) általában havonta, de hetente legfeljebb két alkalommal újdonságokat, híreket és üzleti ajánlatokat tartalmazó online hírleveleket és elektronikus úton direkt marketing üzeneteket kézbesít. A hírlevélre való feliratkozáshoz a név és e-mail cím megadása kötelező, ami elengedhetetlen az üzenetek kézbesítéséhez. Az adatokat mindaddig kezeljük, ameddig azok törlését az érintett nem kéri. A leiratkozás lehetőségét minden hírlevélben egy közvetlen link biztosítja. A megadott személyes adatok valódiságáért a felhasználó felel. Kvízjáték (esetében pl.) Az Adatkezelő az általa üzemeltetett honlapokon kvízjátékokat hirdethet meg. Egy kvízjátékban egy személy egyszer vehet részt. Ennek ellenőrzése céljából az Adatkezelő elkéri a játékos nevét, e- mailcímét és telefonszámát. A nyereményekről, a nyertesek személyéről az e-mail címeiken értesíti valamennyi játékost, azokat is, akik nyereményben nem részesülnek. A megadott telefonszámon a nyertest értesíti, illetve ezen keresztül kéri el a nyertes további adatait, amelyek az esetleges tárgynyeremény kiszállításához szükségesek A kvízjátékosok adatait folyó év utolsó napjáig őrizzük meg. Könyvelőirodák (esetében pl.) A weboldal üzemeltetője: „Cégnév” Hírlevélküldés részletei: Az Adatkezelő az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Az Adatkezelő a szerver üzemeltetőivel együtt olyan technikai, szervezési és szervezeti intézkedésekkel gondoskodik az adatok biztonságáról, ami az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. Az adatkezelés időtartama, az adatok törlésének határideje: A regisztráció törlésével azonnal. Kivéve a számviteli bizonylatok esetében, figyelemmel a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdésére, amely alapján 8 évig meg kell őrizni ezeket az adatokat. A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is ideértve), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni. Az adatok megismerésére jogosult lehetséges adatkezelők személye: A személyes adatokat az adatkezelő munkatársai kezelhetik, a fenti alapelvek keretei között. 11. Aweboldal üzemeltetője: Cég: Székhely: Elektronikus levélcím: Hírlevél küldés esetében: Hírlevél küldés részletei: Hírlevél küldés a ……….. („cég”) szervereiről történik. Székhely: Telefon: Elektronikus levélcím: Az Adatkezelő az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Az Adatkezelő a szerver üzemeltetőivel együtt olyan technikai, szervezési és szervezeti intézkedésekkel gondoskodik az adatok biztonságáról, ami az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. 12. Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével –zárolását, vagy törlését a hírlevelek láblécében található linken vagy a Adatkezelő bármelyik elérhetőségén. Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről. Amennyiben az Adatkezelő belső adatvédelmi felelőssel rendelkezik, a belső adatvédelmi felelős útján, az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza • az érintett személyes adatok körét, • az adatvédelmi incidenssel érintettek körét és számát, • az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint • az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adatvédelmi és az adattovábbítási nyilvántartás adatainak megőrzésére irányuló – és ennek alapján a tájékoztatási – kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozhatja. E korlátozás körében személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg. Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. E tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A valóságnak meg nem felelő személyes adatot az Adatkezelő helyesbíteni köteles. A személyes adatot az Adatkezelő törli, ha kezelése jogellenes, az érintett kéri, az hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható – feltéve, hogy a törlést törvény nem zárja ki, ha az adatkezelés célja megszűnt, az adatok tárolásának törvényben meghatározott határideje lejárt, vagy azt a bíróság vagy az adat- védelmi biztos elrendelte. A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbította. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Az érintett tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el, a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi. Az Adatkezelő – az adatkezelés egyidejű felfüggesztésével – a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Az érintett tájékoztatását az adatkezelő csak kivételes – a 2011. évi CXII. törvény a 9. § (1)bekezdésében, valamint a 19. §-ban meghatározott- esetekben tagadhatja meg. Ez esetben az Adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás Az elutasított kérelmekről az adatkezelő a Hatóságot évente a tárgyévet követő év január 31-éig értesíti. Az érintett a jogainak megsértése esetén – és e tényről Adatkezelő tájékoztatja a panaszost – az adatkezelő ellen bírósághoz vagy az adatvédelmi hatósághoz fordulhat. Jogorvoslati lehetőséggel, panasszal a következő elérhetőségeken lehet élni: Név: Nemzeti Adatvédelmi és Információszabadság Hatóság Cím:1125 Budapest, Szilágyi Erzsébet fasor 22/c. Telefon: 06- 1-391-1400 Fax: 06-1-391-1410 E-mail: ugyfelszolgalat@naih.hu Weboldal: www.naih.hu Kelt:… 2017.12.15 Segédlet a GDPR – az általános adatvédelmi rendeletnek 2018. május 25-től megfelelő szabályzat kialakításához Ezidáig a személyes adatok kezeléséről csak európai uniós irányelv szólt, azt pedig a tagállamok maguk – gyakran eltérő módon –, ültették át nemzeti joganyagukba. Ezzel szemben a GDPR (General Data Protection Regulation, 2016/679. rendelet, azaz adatvédelmi rendelet) közvetlen hatállyal bír, minden tagállamban kötelezően alkalmazandó. Ezzel minden tagállamban ez a rendelet lesz a legfontosabb szabályanyag a személyes adatok kezelése és védelme tekintetében, attól eltérni csak akkor lehet, ha azt maga a GDPR megengedi. A GDPR tehát az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, amelyet 2018. május 25-től kötelező alkalmaznia a tagállamoknak, így Magyarországnak is. Abból, hogy uniós szabályrendszerről beszélünk, logikusan következik, hogy a GDPR a valamely oknál fogva az Európai Unióhoz kapcsolódó adatkezelésekre állapít meg rendelkezéseket. Ez azt jelenti, hogy alkalmaznia kell az általános adatvédelmi rendelet előírásait azoknak a természetes és jogi személyeknek, akik/amelyek tevékenységüket az Unió területén folytatják, és ahhoz adatkezelési tevékenység is társul. Ilyen eset például, ha a vállalkozás honlapot tart fenn, amelyen keresztül hírlevél szolgáltatására feliratkozókat (esetleg előfizetőket) gyűjt és azok kapcsolódó adatait rögzíti, nyilvántartja. Emellett a GDPR túlterjeszkedik a fentiek szerint „logikus” alanyi körön: szabályait alkalmazni rendeli azokra az adatkezelésekre, adatfeldolgozási műveletekre is, amelyeket az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó végez, ám áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak (mint például egy harmadik állambeli székhellyel működő csomagküldő szolgálat), vagy az érintettek Unió területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódnak Fontos tudni, hogy a GDPR célja szerint a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól. Ebből következően, a természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá. Továbbra is a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság marad a személyes adatok védelmének biztosításáért felelős hatóság, feladata változatlanul a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése. Ebből következően Magyarországon a NAIH felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja. Továbbá iránymutatást biztosító, jogszabály- értelmezést segítő feladatai is megmaradnak. A GDPR – ezzel összhangban a 2011. évi CXII. törvény – fogalmai szerint az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így – itt a teljesség igénye nélkül kiemelve néhányat – az adatok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, módosítását. Az ezt végző személy az Adatkezelő, míg az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az Adatfeldolgozó . Meghatározó különbség közöttük az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – és jellemzően technikai jellegű – műveleteket az adatokon (például a web-tárhely szolgáltatója). Az adatkezeléssel, adatvédelemmel kapcsolatos kötelezettségek kapcsán fontos, hogy önmagában az a tény, hogy a vállalkozásnak van weboldala, még nem jelenti automatikusan azt, hogy Adatkezelőnek minősül. A lényeg az, hogy az adott weboldalon található-e adatgyűjtésnek minősülő tartalom, vagy sem. Ilyen tartalom például a hírlevél-feliratkozás lehetősége, illetve az ennek során elkért adatok gyűjtése, kezelése, a Facebook Like-gomb, vagy forráskódba ágyazott „követőkód”, a süti-sáv (cookie-k). Az „adatgyűjtés” – legyen bár látható, mint mondjuk a hírlevél-feliratkozásoknál, vagy rejtőzködő, mint a követőkódok esetében – lényege az, hogy minden esetben személyes adatok juthatnak az Adatkezelő birtokába, például név, email cím. A weboldal adatvédelmi tájékoztató jában pontos, egyértelmű tájékoztatást kell adni a süti-sávról, a felhasználónak pedig kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. A felhasználó számára biztosítani kell annak lehetőségét is, hogy e döntését megváltoztassa, azaz később visszavonja a cookie-k alkalmazásával kapcsolatos hozzájárulását. Lényeges – és az adatvédelmi tájékoztatóban erre is fel kell hívni a felhasználó figyelmét -, hogy a GDPR megközelítése szerint egy oldal használata nem köthető a cookie-k elfogadásához, azaz nem lehet letiltani az oldalt abban az esetben sem, ha a felhasználó nem járult hozzá ezek alkalmazásához. A GDPR rendelkezéseinek megfelelően, ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR-t, kötelező erővel nem bír. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez. Könyvelőirodák, tanácsadók Az általuk kezelt adatok kapcsán is lényeges, hogy a természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá. Adatvédelmi szabályzatukban, illetve a weboldalukon elhelyezett – vagy az érintettek számára egyéb módon könnyen elérhető adatvédelmi tájékoztatójukban, szerződéseikben célszerű kitérniük arra, hogy a szerződésben vállalt tevékenységük – például számviteli szolgáltatás, bérszámfejtés- teljesítése során mely, természetes személyeket érintő adatok beszerzésére és meghatározott szempontok szerinti rendszerezése indokolt, és ezek védelméről mely intézkedéseikkel gondoskodnak. Ennek szabályzatba foglalása a kifizetői feladatokat ellátó munkaadók, foglalkoztatók esetében is szükséges. Hírlevelek, e-mail kampányok, direkt marketing „Az érintett hozzájárulása” a GDPR értelmezésében: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”. A hozzájárulás tehát akkor felel meg a hivatkozott feltételeknek, ha tevőleges, azaz a feliratkozó személy maga pipálja ki a hozzájárulására vonatkozó bejelölő négyzetet. Ezzel a megoldással kizárt annak lehetősége, hogy a feliratkozó tekintete véletlenül átsiklik egy már bejelölt négyzet felett, és szándéka, tudta nélkül egyezett bele adatainak kezelésébe. Továbbá a felhasználó hozzájárulását megfelelő tájékoztatásnak kell megelőznie. A gyakorlatban ezért célszerű elhelyezni a weblapon egy a weblapra, hírlevélre, illetve e-mailre vonatkozó adatkezelési tájékoztatóra mutató linket, továbbá egy bejelölő négyzetet, amelyben a feliratkozó nyilatkozik, hogy a tájékoztatást megismerte. Fontos annak technikai biztosítása, hogy e nyilatkozat nélkül a felhasználó feliratkozását a rendszer ne fogadja el. Továbbá a feliratkozónak ahhoz is külön hozzá kell járulnia, hogy részére direkt marketing útján hirdetéseket küldjenek – ez is a fent leírtak szerinti bejelölő négyzet elhelyezésével oldható meg. A személyes adatok bekérése a GDPR szerinti adatkezelésnek minősül, amelynek során csak olyan jellegű és mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges és arra alkalmas. Mindig csak a minimum adatkört lehet kezelni, amelyek felhasználásával a cél – amelyből az adatokat gyűjtik – már megvalósítható. Biztosítani kell a kezelt személyes adatok biztonságát is, így például fizikai vagy műszaki incidens esetén azt a technikai megoldást, amellyel a személyes adatokhoz való hozzáférés és az adatok állományának visszaállítása, valamint a hozott intézkedések folyamatos felülvizsgálata biztosítható. 13. május 25-től megszűnik a NAIH által vezetett adatvédelmi nyilvántartás: Bejelentési kötelezettség keletkezik viszont az Adatkezelő oldalán ún. adatvédelmi incidensek , azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül. Kivétel ez alól, ha a személyes adatok megsértése „valószínűsíthetően” (ezt persze nehéz konkretizálni) nem okoz nagy sérelmet az érintettek számára. Az adatvédelmi szabályzatban e feladatokat indokolt munkakörhöz kapcsolódóan delegálni. Az Adatkezelőnek a vonatkozó bejelentését a NAIH felé kell megtennie. Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent, (Így például banki kódok kiszivárgása esetén). Az Adatfeldolgozó bejelentési kötelezettsége is felmerülhet, amennyiben jogsértést észlel, de bejelentését nem a NAIH, hanem az Adatkezelő felé kell megtennie. Lényeges, hogy a weboldal látogatására, mint tevékenységre vonatkozó információk is személyes adatnak minősülnek, amennyiben azok az érintett személlyel összefüggésbe hozhatóak. Indokolt erre egy külön adatvédelmi tájékoztatót készíteni, amelyben felhívják a látogató, a felhasználó figyelmét erre, és hozzájárulását kérni az ilyen jellegű adatok tárolásához. Hozzájárulás birtokában jogszerűen tárolható a látogatói tevékenység. Fentiek kapcsán is célszerű a weblap készítőjével olyan szerződést kötni, amely rögzíti, hogy a készítő felelősséget vállal arra nézve, hogy a weboldal megfelel a GDPR szerinti követelményeknek. Adatai törlését bárki az Adatkezelőhöz címzett nyilatkozattal kérheti szóban, írásban, postai címen, e- mail címen, weboldalon – célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Az adatvédelmi tájékoztatóban ezért fel kell tüntetni az Adatkezelő pontos elérhetőségeit. Fontos rögzíteni az adatvédelmi tájékoztatóban azt is, hogy panasz esetén hová fordulhat az érintett, így a kompetens bíróság és a NAIH elérhetőségét kell feltüntetni annak részletezése mellett, hogy milyen jogsértés esetén melyikhez lehet fordulni Hírlevél-feliratkozás kapcsán indokolt a weboldal adatvédelmi tájékoztatójában biztosítani a felhasználókat arról, hogy kizárólag csak azon adataikat kérik be és tartják nyilván, amelyek a hírlevél szolgáltatás kapcsán elengedhetetlenek. Marketing e-mail Nagyon fontos, hogy magánszemélyek részére tilos direkt marketing célú üzeneteket küldeni, kivéve, ha az üzenet címzettje korábban hozzájárulását adta ehhez. Adatkezelési, adatvédelmi szempontból is problémát jelent, hogy az említett hozzájárulás kérése is már direkt marketingnek minősül, ha az üzenet lényegi tartalma a hozzájárulás kérése, tehát főszabályként nem lehet „előrelátóan” beszerezni ezt a hozzájárulást. A megoldás az, hogy már az oldalra történő első látogatásnál a felhasználó megismer és elfogad egy adatvédelmi tájékoztatást, valamint hozzájárul személyes adatainak meghatározott célú kezeléséhez és ahhoz, hogy a cég a továbbiakban direkt marketing célú üzeneteket küldjön számára. Egyebekben bármilyen e-mail címről küldhető, de az elengedhetetlen, hogy az e-mailből egyértelműen kiderüljön, hogy ki az adatkezelő. Továbbá minden esetben biztosítani kell a leiratkozás lehetőségét úgy, hogy az egyértelmű és könnyű legyen. Például: „Ha nem kíván cégünktől több hirdetést fogadni, a leiratkozáshoz kattintson ide.” Fentiek okán aggályos az olyan megoldások alkalmazása, amely a leiratkozás alkalmával újabb adatokat kér be, ideértve azt a kérdést, hogy mi az oka annak, hogy a felhasználó a leiratkozás mellett döntött. A leiratkozás után a felhasználó e-mail címét véglegesen törölni kell minden adatbázisból. (Az adatkezelési incidensek elkerülése érdekében célszerű olyan technikai megoldást választani, amellyel ez nem igényel manuális beavatkozást, tehát automatikusan történik az adatok törlése.) Adatbázis-kereskedelem A hírlevél-feliratkozók, a direkt marketing üzenetek fogadásába beleegyező személyek adataival való kereskedelem, illetve az adatok átadása – akár ingyen is – harmadik fél számára, tilos. Csak abban az esetben megengedett, ha ehhez az adatkezeléssel érintett előzetesen hozzájárult. A hozzájárulás alapjául szolgáló tájékoztatásnak pedig tartalmaznia kell, hogy a vevő harmadik fél a rendelkezésre álló adatbázist milyen célokra használhatja. Ezt az adatbázist átruházó szerződésbe is érdemes belefoglalni. Úgynevezett „anonimizált” adatok esetén – azaz, amikor a technika jelenleg ismert lehetőségei szerint az adatokat többet nem lehet összefüggésbe hozni az érintett személlyel – érintetti hozzájárulás nélkül is lehetséges az adatbázis-kereskedelem. Azonban ebben az esetben is szükséges a szerződésbe belefoglalni, hogy a vevő nem rendelkezik olyan eszközzel, amely az anonimizált adatokat ismét összekötné az érintettel. Webáruházak, e-kereskedelem Az e-kereskedelmet folytató vállalkozásoknak ugyanúgy eleget kell tenniük a GDPR előírásainak, mint más tevékenységet végző cégeknek. Ebből következően a fentebb már vázolt előzetes tájékoztatást is el kell a kereskedelmi tevékenységhez kapcsolódó weboldalon helyezni azzal a technikai megoldással, amellyel elérhető, hogy még az oldal használatának –a „vásárlásnak” – megkezdése előtt, hozzájáruló nyilatkozatot adjon a potenciális vásárló ahhoz, hogy vele kapcsolatban az oldal személyes adatokat kezelhessen. Itt is érvényes az, hogy direkt marketing küldemények küldése esetében külön-külön hozzájáruló nyilatkozat szükséges. Lényeges, hogy a webáruház adatbázisában szereplő adatokat nem szabad az adott ügylet befejezése után kezelni, azokat törölni kell az ügylet végeztével. Kivétel ez alól az, ha az érintett személy kifejezett hozzájárulását adja személyes adatai más célú további tárolásához is. A webáruházak jellemzően nyilvántartják a felhasználó azon adatait, amelyek lehetővé teszik a rendelés követését (például nincs raktáron, beszállításra vár a megrendelt termék, már összeállították a csomagot és átadták a futárszolgálatnak, stb.), a korábban megrendelt áru újrarendelését, korábbi rendelések megtekintését mind a kereskedő, mind a vásárló számára. Ráadásul a szóban forgó adatok a kereskedő számára számviteli és adójogi okokból is lényegesek (Szt. és Art. szerinti elévülési idő). A GDRP is elismeri, hogy az adatkezelés jogalapja többféle lehet. Az adatok megőrzésére vonatkozó kifejezett törvényi kötelezettség esetén a törvényi előírás, mint jogalap jogszerűvé (sőt, kifejezetten kötelezővé) teszi az adatok megőrzését. A törvény által előírt adatkezelés kereteit – az adatok jellege, terjedelme, megőrzése, adott célhoz való releváns kapcsolódása, az érintett hozzájárulása tekintetében – nem szabad túllépni. A GDPR ezzel összefüggésben akként rendelkezik, hogy a személyes adatok „tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.” A törvényi kötelezettség teljesítése miatti adatkezelés kiemelt fontosságát e jogszabály is elismeri, így a törléshez való jog gyakorlását nem is teszi lehetővé az érintett számára, ha az adatkezelés szükséges az adatkezelésre épülő jogi kötelezettség teljesítéséhez (ideértve az Adatkezelő adókötelezettségét is). E körbe tartozik a webáruház vásárlójának azon személyes adata is, amely a kereskedő szerződésben vállalt kötelezettségének, a termék értékesítéséhez kapcsolódó „kényelmi” szolgáltatások teljesítéséhez szükségesek (az utánrendelést, a még teljesítéssel le nem zárt rendelés nyomon követését lehetővé tévő információk). Az adatvédelmi tájékoztatóban ezen adatok körére és kezelésének céljára is ki kell térni azzal, hogy a rendelés folyamatába építve a felhasználó nyilatkozhat ennek tudomásulvételéről, hozzájárulását adhatja. Amennyiben a vásárló e szolgáltatásokra nem tart igényt, nem egyezik bele a szóban forgó adatainak tárolásába – ideértve különösen a korábbi megrendeléseit érintőekre – , úgy lehetővé kell tenni számára a „regisztráció nélküli” vásárlást is. Ebben az esetben a konkrét ügylet szerződésszerű teljesítésével egyidejűleg az adatokat törölni kell (kivéve a más jogszabályi kötelezettség okán, adott esetben eltérő rendszerezettségben – például adójogi szempontok szerint- megőrzendő adatokat.)