Általános adatkezelési tájékoztató

Érvényes: 2022. január 01-től

  1. Bevezetés 2
  2. Fogalmi meghatározások 2
  3. Ki az adatkezelő? 5
  4. Mely elvek tiszteletben tartásával végezzük az adatkezelést? 5
  5. Megbízunk adatfeldolgozókat? Ha igen, milyen feltételek mellett? 6
  6. Milyen intézkedésekkel garantáljuk a személyes adatok fizikai és informatikai biztonságát? 7
  7. A személyes adatok mely esetekben továbbíthatók harmadik országba? 7
  8. Melyek az Ön adatkezeléssel összefüggő jogai és miként érvényesítheti őket? 9

8.1. Az adatkezelésről történő tájékoztatás (a hozzáférés joga) 9

8.2 A személyes adatok helyesbítése, törlése 10

8.3 Az adathordozhatóság 10

8.4 Az adatkezelés korlátozása 11

8.5 Tiltakozás a személyes adatok kezelése ellen 11

8.6 Az automatizált döntéshozatallal kapcsolatos jogosultságok 12

8.7 A hozzájárulás visszavonása 12

8.8 Az érintetti jogosultságok gyakorlásának egyéb kérdései 12

  1. Melyek a jogellenes adatkezelés következményei? 13

1. Bevezetés 

Számunkra kiemelt érték azoknak a bizalma, akikkel a mindennapi munkánk során kapcsolatba kerülünk – felsorolás-szerűen, a teljesség igénye nélkül beszélhetünk például a honlapunkra látogató érdeklődőről, jelenlegi vagy jövőbeli Kollégánkról, esetleg megrendelőnk vagy beszállítónk kapcsolattartójáról stb. – és akiknek az adatai a birtokunkba kerülnek. Ön, aki azzal a bizalommal tüntet ki bennünket, hogy ránk bízza az adatait, megérdemli, hogy megszolgáljuk a bizalmát. Ehhez az általunk nyújtott szolgáltatások, illetve partneri/ kollegiális kapcsolataink kimagasló minőségén túl természetes módon hozzátartozik az is, hogy úgy kezeljük és használjuk fel az adatait, mintha a saját adatainkról lenne szó. Magától értetődő módon ismerjük és betartjuk az ide vonatkozó jogi előírásokat – a Fogalmi meghatározások című fejezetben részletesen is felsoroltuk őket.

A könnyebb áttekinthetőség érdekében ebben a tájékoztatóban azokat az információkat – például azt, hogy mit jelentenek az egyes fogalmak, hogyan védjük az adatait, milyen jogok illetik meg Önt, kihez fordulhat kérdés/ kérés esetén stb. – foglaltuk össze, amelyek egyformán érvényesek valamennyi esetben, amikor adatokat kezelünk. Az adatkezelések egyedi kérdéseiről – például arról, hogy mely adatait, milyen célból és mennyi ideig kezeljük, mely beszállítókat vonjuk be az adatok kezelésébe, kik férhetnek hozzá az Ön adataihoz, milyen forrásból szerezzük be az adatait stb. – ún. egyedi vagy kiegészítő adatkezelési tájékoztatóinkból tájékozódhat. Igyekszünk valamennyi tájékoztatónkat mind online, mind pedig papír alapú verzióban elérhetővé tenni.

Adatkezeléssel kapcsolatos kérdés esetén forduljon bizalommal a „Ki az adatkezelő?” című fejezetben jelzett kapcsolattartónkhoz, aki készséggel áll rendelkezésére.

2. Fogalmi meghatározások

Mind az általános, mind pedig a kiegészítő adatkezelési tájékoztatóban előfordulnak ismétlődő kifejezések. Ezek jelentéséről az alábbiakban tájékozódhat:

Adatállomány: egy nyilvántartásban kezelt adatok összessége;

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai, technológiai jellegű feladatok elvégzése, amelyeket nem közvetlenül mi végzünk, hanem azokat mással (az adatfeldolgozóval) végeztetjük el; az adatfeldolgozás során a műveletek végrehajtásakor alkalmazott módszer és eszköz, valamint a művelet elvégzésének helye nem releváns;

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a velünk kötött szerződés alapján az adatok feldolgozását végzi;

Adathordozó: az adat megjelenítését lehetővé tevő eszköz – ideértve az iratokat is –, amely többek között lehet papíralapú, illetve mágneses adathordozó, a leggyakrabban előforduló adathordozók a következők: papír alapú és digitális okirat, mágneslemez, pendrive, CD, DVD, mágnesszalag, winchester (Hard Disk Drive), videoszalag, hangszalag;

Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet, így például az adatok összegyűjtése, felvétele formanyomtatványon, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése nyilvános vagy nem nyilvános adatbázisból, továbbítása, nyilvánosságra hozatala, más adatokkal való összekapcsolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, továbbá fénykép-, hang- vagy képfelvétel készítése;

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt is) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; az adatkezelő beazonosításához szükséges információkat a „Ki az adatkezelő?” című fejezetben találja;

Adatmegjelölés: a személyes adat azonosító jelzéssel ellátása annak érdekében, hogy más – akár személyes, akár nem személyes – adatoktól megkülönböztessük. Amennyiben Ön kifejezetten vitatja, hogy az Önről tárolt adat megfelel-e a valóságnak, illetve pontos-e, kötelesek vagyunk az adatot megjelölni, minden egyéb esetben egyedi mérlegelés alapján döntünk az adat megjelöléséről;

Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése, melynek következtében az adathoz többé sem mi, sem pedig más nem férhet hozzá, illetve nem képes helyreállítani;

Adattovábbítás: a személyes adatnak Öntől, tőlünk és az adatfeldolgozótól különböző harmadik személy számára hozzáférhetővé tétele;

Adattörlés: a személyes adatnak mindenki számára végleges hozzáférhetetlenné tétele;

Alkalmazott jogszabályok: adatkezeléseink során az alábbi jogszabályi rendelkezések figyelembevételével járunk el:

  1. az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről [a továbbiakban: „GDPR”])
  2. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”)
  3. a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”)
  4. a számvitelről szóló 2000. évi C. törvény (a továbbiakban: „Számv. tv.”)
  5. az adózás rendjéről szóló 2017. évi CL. törvény (a továbbiakban: „Art.”)
  6. az általános forgalmi adóról szóló 2007. évi CXXVII. törvény (a továbbiakban: „Áfa tv.”)
  7. személyi jövedelemadóról szóló 1995. évi CXVII. törvény (a továbbiakban: „Szja tv.”)
  8. a munka törvénykönyvéről szóló 2021. évi I. tv.  (a továbbiakban: „Mt.”)
  9. a társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. tv. (a továbbiakban: „Tnytv.”)
  10. társadalombiztosítás ellátásaira jogosultakról, valamint ezen ellátások fedezetéről szóló 2019. évi CXXII. törvény (a továbbiakban: „Tbtv.”)
  11. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: „Eüak. tv.”)
  12. a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet
  13. a keresőképtelenség és keresőképesség orvosi elbírálásáról és annak ellenőrzéséről szóló 102/1995. (VIII. 25.) Korm. rendelet
  14. a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény
  15. a munkavédelemről szóló 1993. évi XCIII. törvény
  16. a munkavédelemről szóló 1993. évi XCIII. törvény egyes rendelkezéseinek végrehajtásáról szóló 5/1993. (XII. 26.) MüM rendelet
  17. a kötelező egészségbiztosítás ellátásairól szóló 1997. évi LXXXIII. törvény végrehajtásáról szóló 217/1997. (XII. 1.) Korm. rendelet
  18. a munkába járással kapcsolatos utazási költségtérítésről szóló 39/2010. (II. 26.) Korm. rendelet
  19. az álláskeresési járadék és álláskeresési segély megállapításához szükséges igazolólapról szóló 34/2009. (XII. 30.) SZMM rendelet
  20. a munkavállalók munkahelyen történő egyéni védőeszköz használatának minimális biztonsági és egészségvédelmi követelményeiről szóló 65/1999. (XII. 22.) EüM rendelet;

Álnevesítés: a személyes adatok olyan módon történő kezelése (például az adat azonosítóval történő helyettesítése), amelynek következtében további információk (például a személyes adat és a helyette alkalmazott azonosító közötti kapcsolatot megteremtő módszer, eljárás leírása) felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az adat és az azonosító közötti kapcsolatot jelentő információt a személyes adattól elkülönítve tárolják és megfelelő technikai és szervezési intézkedésekkel biztosított, hogy a korábban már ténylegesen azonosított, vagy még nem azonosított, de azonosítható természetes személyhez az álnevesített személyes adatot nem lehet hozzákapcsolni;

Anonimizálás: olyan technikai eljárás, amely biztosítja, hogy Ön és a személyes adat közötti kapcsolat többé nem állítható helyre;

Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése abból a célból, hogy a jövőben csak korlátozott módon vagy ideig kezelhessük őket;

Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan adat (például arckép vagy ujjlenyomat), amely lehetővé teszi a természetes személy egyedi azonosítását vagy éppen megerősíti a korábban már elvégzett azonosítás eredményét;

Érintett: bármely egyedileg meghatározott, személyes adat alapján ténylegesen azonosított vagy még nem azonosított, de – akár közvetlenül az általunk kezelt adatok alapján, vagy más adatok felhasználásával közvetve – azonosítható természetes személy; a kiegészítő adatkezelési tájékoztatók részletezik az érintettek körét;

Felügyeleti hatóság: a GDPR felhatalmazása alapján a vonatkozó tagállami jogszabályban az adatvédelmi előírások betartásának ellenőrzésére kijelölt hatóság, amely Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „NAIH”);

Harmadik ország: az Európai Unió tagállamain, valamint az Európai Gazdasági Térség (a továbbiakban: „EGT”) tagállamain (Izland, Norvégia és Liechtenstein) kívüli országok;

Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos Önnel, velünk vagy az adatfeldolgozóval;

Hozzájárulás: a személyes adatai kezelésére vonatkozó akaratának mindenféle külső befolyástól mentes és határozott kinyilvánítása, amelyet megfelelő tájékoztatás előzött meg (például a jelen tájékoztató, valamint a kiegészítő tájékoztatók formájában) és amellyel egyértelmű beleegyezését adja az Önre vonatkozó személyes adatok – akár teljes körű, akár csak egyes adatkezelési műveletekre kiterjedő – kezeléséhez;

Közös adatkezelés: az adatkezelés azon formája, amikor több adatkezelő közösen dönt az adatkezelés lényeges kérdéseit (például a gyűjtött adatok köre, az adatok felhasználásának célja, az adatok megőrzésének időtartama, az adatok felhasználására használt módszerek és eszközök stb.) illetően. Abban az esetben is közös adatkezelésről beszélhetünk, ha a közös adatkezelők csak bizonyos, az adatkezeléseket érintő lényegi kérdésekben döntenek közösen, más lényegi kérdésekben viszont, vagy csak az egyik vagy csak a másik adatkezelő akarata érvényesül;

Nyilvánosságra hozatal: a személyes adat bárki számára hozzáférhetővé tétele;

Profilalkotás: a személyes adatok automatizált – emberi beavatkozás nélküli – kezelése, amelynek során a személyes adatokat valamely természetes személyhez fűződő személyes jellemzők (például pénzügyi helyzet, hitelképesség, fizetőképesség, egészségi állapot, személyes vásárlási preferenciák, érdeklődési kör, megbízhatóság, viselkedés) értékelésére, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

Személyes adat: az Önnel kapcsolatba hozható információ – különösen a neve, bármilyen azonosító jele, legyen az hatóság vagy az általunk létrehozott azonosító –, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági vagy szociális helyzetére jellemző ismeret;

Személyesadat-nyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált állománya, amelyben meghatározott ismérvek alapján hozzáférhetők, kereshetők az adatok;

Természetes személy: élő ember (magánszemély), aki személyiségi jogok – például a személyes adatok védelméhez fűződő jog – jogosultja lehet;

Tiltakozás: az Ön bármilyen formában (például szóban, írásban, telefonon vagy e-mailben) kifejezett szándéka, amellyel az általunk gyűjtött személyes adatainak kezelését kifogásolja és az adatkezelés megszüntetését, illetve a kezelt adatok törlését/ megsemmisítését kéri;

Titkosítás: olyan eljárás, amellyel az adatot egy matematikai eljárás segítségével olyan szöveggé alakítják át, amit csak az a magánszemély képes olvasni, aki rendelkezik az olvasáshoz – a titkosított adat visszafejtéséhez – szükséges speciális tudással, azaz ismeri a titkosítási kulcsot.

3. Ki az adatkezelő?

Neve: BÁNÁTI+HARTVIG Kft.

Székhelye: 1117 Budapest, Fehérvári út 38.

Cégjegyzékszáma: 01-09-563639

Az adatvédelmi ügyekben illetékes kapcsolattartó neve, e-mail címe: Bánáti Béla, banati@bh.hu

Közös adatkezelés esetén a további adatkezelők adatait a kiegészítő adatkezelési tájékoztatók tartalmazzák.

4. Mely elvek tiszteletben tartásával végezzük az adatkezelést?

  1. Az adat az adatkezelés során mindaddig személyes adatnak minősül, amíg Önnel kapcsolatba hozható. Önnel akkor hozható kapcsolatba az adat, ha akár mi, akár az adatfeldolgozó, esetleg valamely harmadik személy ténylegesen rendelkezik azokkal a technikai feltételekkel, háttérismeretekkel, amelyek az Ön és az adat közötti összefüggés megállapításához szükségesek, azaz képes az adat alapján kétséget kizáróan beazonosítani Önt. Az az adat is személyes adatnak minősül, amely ugyan alkalmas arra, hogy Önt annak felhasználásával azonosítsák, azonban az azonosítás ténylegesen (még) nem történt meg.
  2. Kizárólag az Európai Unió, illetve Magyarország jogszabályai (az alkalmazott jogszabályokat a „Fogalmi meghatározások” között soroltuk fel) által meghatározott előírások betartásával, megfelelő jogalap alapján kezelünk személyes adatot (jogszerűség elve). Mit jelent az, hogy az adatkezelésnek megfelelő jogalap alapján kell történnie? A GDPR meghatározza azokat a jogi rendelkezéseket – a jogalapokat –, amelyek közül valamelyiknek teljesülnie kell ahhoz, hogy az adatkezelésünk jogszerű legyen. A GDPR több lehetséges jogalapot is felsorol, melyek közül mi jellemzően az alábbiakra alapozzuk az adatkezeléseinket:
  3. Ön hozzájárult az adatkezeléshez,
    • az adatkezelés az Önnel kötendő szerződés (például munkaszerződés, megbízási szerződés) előkészítéséhez vagy a szerződés teljesítéséhez szükséges,
    • az adatkezelés a ránk vonatkozó – például jogszabályban, hatósági vagy bírósági határozatban előírt – jogi kötelezettség teljesítéséhez szükséges,
    • az adatkezelés a cégünk, Ön vagy valamely mindkettőnktől független harmadik fél jogos érdekének érvényesítéséhez szükséges.

A konkrét adatkezelés konkrét jogalapjáról a kiegészítő adatkezelési tájékoztatóban talál információkat.

  1. Kiemelt hangsúlyt fektetünk arra, hogy az adatkezeléseink az Ön számára érthetőek, átláthatóak (átláthatóság elve) és tisztességesek (nem megtévesztőek) legyenek. A jelen tájékoztató közzétételével, naprakészen tartásával és folyamatos elérhetővé tételével gondoskodunk az átláthatóság követelményének megvalósulásáról.
  2. Kizárólag a kiegészítő adatkezelési tájékoztatókban esetről esetre meghatározott célokból kezeljük a személyes adatait (célhoz kötöttség elve). Haladéktalanul tájékoztatjuk, ha az adatait új, korábban még nem jelzett célokra is szeretnénk felhasználni.
  3. Csak azokat a személyes adatokat kezeljük és csakis annyi adatot, amely adatok az adatkezelés céljának megvalósulásához elengedhetetlenül szükségesek és a cél elérésére megfelelőek (adattakarékosság elve).
  4. Csak az adatkezelési cél megvalósulásához feltétlenül szükséges mértékben és ideig kezeljük a személyes adatokat (korlátozott tárolhatóság elve).
  5. Az adatkezelés során az adatbeviteli hiba észlelését követően általunk elvégzett, illetve Ön által kezdeményezett helyesbítéssel (a helyesbítés jogáról lásd a „Melyek az Ön adatkezeléssel összefüggő jogai és miként érvényesíthetők?” című fejezetet) biztosítjuk a kezelt adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy Önt csak az adatkezelés céljához feltétlenül szükséges ideig lehessen azonosítani (pontosság elve).
  6. Az adatkezelés során gondoskodunk az általunk kezelt személyes adatok titokban tartásáról és az illetéktelenek általi hozzáférés megakadályozásáról (bizalmasság elve).

5. Megbízunk adatfeldolgozókat? Ha igen, milyen feltételek mellett?

  1. Az adatfeldolgozók kiválasztása során azt az elvet tartjuk szem előtt, hogy olyanra bízzuk az adatait, aki ugyanolyan gondosan bánik velük, mintha mi magunk végeznénk el az adott műveletet, ami az Ön adatainak kezelésével jár. Az adatfeldolgozókkal a GDPR alapján kötendő adatfeldolgozói szerződés aláírása nem puszta formalitás. Kizárólag olyan partnerrel szerződünk, amely nem csupán technikailag képes arra, hogy ugyanolyan színvonalon kezelje az adatait, mint ahogyan mi tennénk, hanem a személyes adatok kezelésével járó bizalmi pozíciót szem előtt tartva kiemelten felelősségteljes magatartást tanúsít a nevünkben.
  2. Már a szerződéskötést megelőzően, majd pedig a rendszeres auditok során is meggyőződünk többek között arról, hogy a kiválasztott partner tisztában van azokkal a kötelezettségekkel, amelyek az adatvédelmi jogszabályok szerint mindkettőnkre érvényesek, érti, hogy miért szervezzük ki az adatok feldolgozását, érti az adatkezeléseinkből eredő kockázatokat, megfelelő tapasztalattal, szakértelemmel és technológiai háttérrel rendelkezik, hogy a kockázatokat lehetőség szerint teljes mértékben eliminálja vagy legalábbis minimálisra csökkentse. Vizsgáljuk az adatfeldolgozó által az adatok kezelésére használt rendszerek – például adatközpontok – személyi és fizikai biztonsági paramétereit: kizárólag olyan szállítóval szerződünk, amely a közös együttműködés minden szakaszában a technológia mindenkori állása szerint észszerűen elérhető legmagasabb szintű biztonságot garantálja. Ellenőrizzük, hogy az adatfeldolgozó valóban képes-e segítséget nyújtani számunkra abban, hogy eleget tegyünk az Ön kérésének (a „Melyek az Ön adatkezeléssel összefüggő jogai és miként érvényesíthetők?” című fejezetben részletezzük, milyen jellegű kérésekkel fordulhat hozzánk) és például töröljük, vagy megsemmisítsük az Ön adatát.
  3. Az adatfeldolgozó részére adott utasítások jogszerűségéért mi felelünk.
  4. Az adatfeldolgozó a feladatai ellátása során – beleegyezésünk és rendelkezéseink szerint – további adatfeldolgozót igénybe vehet.
  5. Az adatfeldolgozó az adatkezelést (például annak célját, módját, a kezelt adatok körét) érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a mi utasításaink szerint dolgozhatja fel, saját céljára nem használhatja fel őket, a személyes adatokat a rendelkezéseink szerint köteles tárolni és megőrizni, az adatfeldolgozás megszűnésekor pedig részünkre visszaszolgáltatni vagy helyreállíthatatlanul törölni, illetve megsemmisíteni.

6. Milyen intézkedésekkel garantáljuk a személyes adatok fizikai és informatikai biztonságát?

  1. Az adatkezelési műveleteket úgy tervezzük meg és hajtjuk végre, hogy az Ön magánszférájának legmagasabb szintű védelmét biztosítsuk.
  2. Ahogy mi, úgy az általunk igénybe vett adatfeldolgozó is gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, továbbá kialakítja azokat az eljárási szabályokat, amelyek a GDPR, az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
  3. Megfelelő intézkedésekkel védjük az adatokat különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technológia (például adattárolásra használt IT megoldás) megváltozásából fakadó hozzáférhetetlenné válás ellen.
  4. Csak akkor alkalmazunk automatizált döntéshozatali rendszert – beleértve különösen a profilalkotást is – ha a rendszer biztosítja
    • a jogosulatlan adatbevitel felismerését és megakadályozását;
    • a robotok általi adatbevitel megakadályozását;
    • annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely címzettek részére továbbították vagy továbbíthatják;
    • annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitt be az adatfeldolgozó rendszerekbe;
    • a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és azt, hogy
    • az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
  5. Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor figyelembe vesszük a technika mindenkori fejlettségét. Több lehetséges adatkezelési megoldás közül azt választjuk, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene számunkra.

7. A személyes adatok mely esetekben továbbíthatók harmadik országba?

  1. Az „adattovábbítás” leggyakoribb megjelenési formája a személyes adatokat tartalmazó papíralapú vagy elektronikus dokumentumok postai úton vagy e-mailben történő eljuttatása egy olyan címzettnek, aki nem Ön vagy az adatfeldolgozónk (ún. harmadik személy). Sőt, már az adattovábbításnak minősül, ha csupán elérhetővé tesszük az adatokat – például hozzáférést biztosítunk az adattárolási helyhez – az említett harmadik személynek. Amennyiben ez a harmadik személy egy ún. harmadik országban – az Európai Unió tagállamain, valamint az Európai Gazdasági Térség tagállamain (Izland, Norvégia és Liechtenstein) kívüli országok – létesített döntési jogosultsággal rendelkező központi egységet, akkor ezen harmadik személy felé irányuló adattovábbítás harmadik országba történt adattovábbításnak minősül.
  2. Az Európai Unión kívüli államok eltérő szintű védelmet biztosítanak az érintettek magánszférájának. Például az amerikai jog lehetővé teszi, hogy az Egyesült Államokbeli bűnüldöző hatóságok és bíróságok információkat kérjenek az amerikai szolgáltatók – így többek között a Google – ügyfeleiről és az ügyfelek által valamely, a szolgáltató által létrehozott/ üzemeltetett infrastruktúrán tárolt adatokról és az adatok által azonosítható személyekről.
  3. Az Európai Unió a GDPR által megteremtett védelmi szint garantálása érdekében plusz kötelezettségeket ró azokra az adatkezelőkre és adatfeldolgozókra, amelyek harmadik országba továbbítanak személyes adatokat. Fontos kiemelni, hogy EGT tagállamba irányuló adattovábbítást a hatályos adatvédelmi előírások alapján úgy kell tekinteni, mintha Magyarország területén belül történne az adattovábbítás.
  4. Személyes adatot harmadik országba csak akkor továbbítunk, ha a harmadik országban biztosított a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme elsődlegesen akkor biztosított a célországban, ha az Európai Bizottság kötelező érvényű – ún. megfelelőségi – határozata ezt megállapítja (azon országok listája, amelyek adatvédelmi előírásait az Európai Bizottság megfelelő szintűnek minősítette, az alábbi linken található: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#dataprotectionincountriesoutsidetheeu).
  5. A célországra vonatkozó megfelelőségi határozat hiányában az alábbi esetekben továbbíthatunk személyes adatot EGT-n kívüli országban lévő címzett részére:

A NAIH külön, egyedi engedélye nélkül:

  1. ha a célországban is működő vállalatcsoport tagjaiként a csoport tagjai közötti adattovábbításra külön megállapodás ún. kötelező erejű vállalati szabályok (binding corporate rules) – ebben az esetben csak a csoport tagjai között továbbíthatók adatok,
  2. ha a címzettel az Európai Bizottság által elfogadott általános szerződési feltételeket aláírjuk,
  3. ha a címzettel a NAIH által egyedileg jóváhagyott általános szerződési feltételeket aláírjuk,
  4. ha magunkra nézve kötelezőnek ismerjük el valamely szakmai szervezet (pl. szakmai kamarák, egyesületek) által előkészített és az Európai Unió által jóváhagyott magatartási kódexet,
  5. ha megszerezzük az adattovábbításra vonatkozó tanúsítványt.
  1. A NAIH egyedi jóváhagyásával a harmadik országbeli címzettel kötött egyedi adattovábbítási szerződés alkalmazása esetén is megvalósulhat az adattovábbítás.
  2. Az előbbiekben említett feltételek hiányában az alábbiakban részletezett egyedi helyzetek bekövetkezése esetén is sor kerülhet az adattovábbításra:
    • ha Ön kifejezett hozzájárulását adta a tervezett adattovábbításhoz azt követően, hogy tájékoztattuk az adattovábbításból eredő – a megfelelőségi határozat, illetve az előzőekben hivatkozott (NAIH jóváhagyáshoz kötött, vagy anélkül is igénybe vehető) garanciák hiányából fakadó – esetleges kockázatokról;
    • ha az adattovábbítás az Önnel kötött szerződésünk teljesítéséhez, vagy a szerződést megelőzően az Ön kérésére tett intézkedések végrehajtásához szükséges;
    • ha az adattovábbítás a köztünk és valamely más természetes vagy jogi személy közötti, az Ön érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
    • ha az adattovábbítás fontos közérdekből (például hatósági eljárás támogatása, járványmegelőzés stb.) szükséges;
    • ha az adattovábbítás jogi igények (például peres vagy hatósági eljárás megindítása) érvényesítéséhez szükséges;
    • ha az adattovábbítás akár az Ön, akár más személy létfontosságú érdekeinek védelme (például életveszély elhárítása) miatt szükséges és Ön vagy a más érintett személy fizikailag vagy jogilag képtelen a hozzájárulás megadására;
    • ha a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a magyar jog értelmében a nyilvánosság tájékoztatását szolgálja (például a cégjegyzék), és amely nyilvántartás általában a nyilvánosság vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak akkor, ha az uniós vagy magyar jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Az adattovábbítások címzettjeit és az adattovábbítás garanciáit a kiegészítő adatkezelési tájékoztatók tartalmazzák.

8. Melyek az Ön adatkezeléssel összefüggő jogai és miként érvényesítheti őket?

A 3. fejezetben megjelölt postai címen, illetve e-mail útján

  1. tájékoztatást kérhet a személyes adatai kezeléséről (ez az ún. hozzáférés joga),
  2. kérheti a személyes adatai helyesbítését, törlését,
  3. kérheti a személyes adatai másik adatkezelőhöz továbbítását (ez az ún. adathordozhatósághoz való jog),
  4. kérheti az adatkezelés korlátozását.

Továbbá a 3. fejezetben megjelölt postai címen, illetve e-mail útján

  1. tiltakozhat az adatkezelés ellen,
  2. kezdeményezheti, hogy az automatizált döntéshozatal hatálya ne terjedjen ki Önre,
  3. bármikor visszavonhatja az adatkezeléshez adott hozzájárulását.

Az Ön halálát követő öt éven belül a hozzáférés, a helyesbítés, a törlés, a korlátozás és a tiltakozás jogát az Ön által még életében megjelölt meghatalmazott gyakorolhatja. A meghatalmazott kijelölésére vonatkozó nyilatkozatot Önnek kell eljuttatni hozzánk. Meghatalmazott hiányában a helyesbítés és a tiltakozás jogát, valamint – ha az adatkezelés már az Ön életében is jogellenes volt, vagy az adatkezelés célja az Ön halálával megszűnt – a törlés és a korlátozás jogát a közeli hozzátartozója (a házastársa, egyenesági rokona, örökbefogadott, mostoha- és nevelt gyermeke, örökbefogadó-, mostoha- és nevelőszülője, valamint testvére) gyakorolhatja.

Az előző bekezdésben említett jogokat gyakorolni kívánó meghatalmazottat, illetve közeli hozzátartozót arra fogjuk kérni, hogy a személyazonosságát, valamint a halál tényét és időpontját igazolja. A halál tényének és időpontjának igazolására kizárólag halotti anyakönyvi kivonat, vagy a halát tényét megállapító bírósági határozat fogadható el: ezek hiányában a meghatalmazott, illetve a közeli hozzátartozó kérelmét nem teljesítjük.

8.1 Az adatkezelésről történő tájékoztatás (a hozzáférés joga)

  1. A hozzáférés joga nem az adatokhoz, illetve az azokat tároló fizikai eszközökhöz vagy IT rendszerekhez való közvetlen hozzáférés lehetőségét jelenti, hanem azt, hogy az Ön kérelmére tájékoztatást adunk arról, hogy kezeljük-e személyes adatát, ha igen, akkor tájékoztatjuk továbbá arról is, hogy
    1. milyen célból kezeljük az adatokat,
    2. kinek továbbítjuk őket,
    3. mennyi ideig tároljuk az adatokat (ha a tárolási idő nem határozható meg előzetesen, akkor a tárolási idő meghatározásának szempontjairól),
    4. ha nem közvetlenül Ön adta meg az adatokat, akkor milyen forrásból jutottunk hozzájuk, történik-e automatizált döntéshozatal (beleértve a profilalkotást is), mi az automatizált döntéshozatalnak a logikája, valamint arról, hogy az automatizált döntéshozatal milyen jelentőséggel bír és Önre nézve milyen várható következményekkel jár,
    5. az adatokat továbbítjuk-e harmadik országba; ha igen, milyen garanciák mellett (a lehetséges garanciák körét az „A személyes adatok mely esetekben továbbíthatók Harmadik országba?” című fejezet részletezi).
  2. A kért tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban egy hónapon belül, az Ön kifejezett kérelme esetén írásban adjuk meg.
  3. A kezelt adatok másolatát első alkalommal ingyenesen, azt követően a másolatkészítéssel járó költségek megtérítése ellenében tesszük elérhetővé.

8.2 A személyes adatok helyesbítése, törlése

  1. Ha az általunk kezelt személyes adat nem felel meg a valóságnak és a valóságnak megfelelő személyes adat a rendelkezésünkre áll, az adatot helyesbítjük, illetve kiegészítjük; egyéb esetekben a helyesbítésre az Ön kérése alapján, a helyes adat megadását követően kerülhet sor.
  2. Töröljük a személyes adatokat, ha
    1. a személyes adatokra már nincs szükség abból a célból, amely cél elérése érdekében azokat gyűjtöttük vagy más módon kezeltük,
    2. Ön visszavonta az adatkezeléshez adott hozzájárulását,
    3. Ön tiltakozik a jogos érdeken – mint adatkezelési jogalapon – alapuló adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
    4. a kezelésük jogellenes, jogszabályba ütköző módon történik,
    5. a személyes adatokat a ránk nézve alkalmazandó, az Európai Unió vagy Magyarország joga által előírt jogi kötelezettség teljesítése érdekében törölni kell,
    6. azt bíróság vagy a NAIH elrendelte.

Az adatok megőrzési idejét a kiegészítő adatkezelési tájékoztatók rögzítik.

  1. Ha nyilvánosságra hoztuk a személyes adatot és azt törölni vagyunk kötelesek, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megtesszük az észszerűen elvárható intézkedéseket annak érdekében, hogy tájékoztassuk az adatokat kezelő további adatkezelőket arról, hogy Ön kérte a szóban forgó személyes adatokra mutató linkek vagy ezen személyes adatok másolatának, illetve másodpéldányának törlését.
  2. Megjelöljük az általunk kezelt személyes adatot, ha vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
  3. A helyesbítési és a törlési kérelemről értesítjük mindazokat, akiknek korábban továbbítottuk az adatot adatkezelés céljára. Az értesítés csak akkor mellőzhető, ha ez az adatkezelés céljára tekintettel az Ön jogos érdekét nem sérti.

8.3 Az adathordozhatóság

  1. Kezdeményezheti, hogy az Önre vonatkozó személyes adatokat tagolt, széles körben használt, (számító)géppel olvasható formátumban (például Excel, .txt vagy .csv kiterjesztésű fájlban) elérhetővé tegyük Önnek, továbbá kérheti azt is, hogy ezeket az adatokat közvetlenül egy másik adatkezelőnek továbbítsuk feltéve, ha
    1. az adatkezelés automatizált módon történik és
    2. az adatkezelés a) az Ön hozzájárulásán alapul, vagy b) az Önnel kötött szerződés teljesítéséhez szükséges, vagy c) a szerződés megkötését megelőzően az Ön kérésére történő lépések megtételéhez szükséges.

Arról, hogy történik-e automatizált adatkezelés, továbbá az adatkezelések jogalapjáról a kiegészítő adatkezelési tájékoztatókban találhatók részletes információk.

8.4 Az adatkezelés korlátozása

  1. Az alábbi esetek bármelyikének bekövetkezése esetén korlátozzuk a személyes adatainak kezelését:
    1. Ön vitatja a személyes adatai pontosságát; ez esetben a korlátozás addig tart, amíg ellenőrizzük a személyes adatok pontosságát,
    2. az adatkezelés jogellenessége esetén Ön adatai törlése helyett csupán azok felhasználásának korlátozását kéri tőlünk,
    3. már nincs szükségünk a személyes adatokra, azonban Ön jogi igények érvényesítéséhez (például bírósági vagy hatósági eljárás megindításához) igényli tőlünk azok rendelkezésre bocsátását,
    4. Ön tiltakozott az általunk végzett vagy harmadik személy jogos érdekén alapuló adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelést megalapozó jogos érdek elsőbbséget élvez-e az Ön jogos indokaival szemben.
  2. A korlátozási kérelem az adatkezelés módjára (például arra, hogy automatizált helyett csak manuálisan dolgozzuk fel az adatait), illetve időtartamára (például kérheti, hogy egy bizonyos időponttól kezdődően már ne használjuk fel az adatait) is vonatkozhat.
  3. Az adatkezelés korlátozása esetén a személyes adatokat a tároláson túlmenően csak a) az Ön hozzájárulásával, vagy b) jogi igényeink érvényesítéséhez (például az Önnel szembeni pénzügyi követelésünk érvényesítéséhez szükséges peres eljárás megindításához), vagy c) más természetes vagy jogi személy jogainak védelme érdekében, vagy d) az Európai Unió, illetve Magyarország fontos közérdekéből (például járványügyi előírásoknak való megfelelés érdekében) lehet kezelni.
  4. A korlátozás feloldása előtt tájékoztatjuk Önt.

8.5 Tiltakozás a személyes adatok kezelése ellen

  1. Tiltakozhat személyes adatának kezelése ellen,
    1. ha a személyes adatok kezelése vagy továbbítása kizárólag a mi vagy harmadik személy jogos érdekének érvényesítéséhez szükséges (az adatkezelések jogalapjai kiegészítő adatkezelési tájékoztatókban találhatók), kivéve, ha az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Ön érdekeivel, jogaival és szabadságaival szemben, illetve, ha a személyes adatok kezelése jogi igények előterjesztéséhez, érvényesítéséhez szükséges,
    2. ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés (direkt marketing) céljára történik.
  2. Amennyiben a tiltakozását megalapozottnak tartjuk, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – haladéktalanul megszüntetjük, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesítjük mindazokat, akik részére a tiltakozással érintett személyes adatokat korábban továbbítottuk, és akik szintén kötelesek megtenni a szükséges lépéseket az adatkezelés megszüntetése érdekében.

8.6 Az automatizált döntéshozatallal kapcsolatos jogosultságok

A kiegészítő adatkezelési tájékoztatók nyújtanak információkat arról, hogy alkalmazunk-e, ha igen, mely esetekben emberi beavatkozás nélküli döntéshozatalt. Amennyiben erre sor kerül, az automatizált döntésre az alábbiak vonatkoznak.

Kezdeményezheti, hogy Önre ne terjedjen ki az olyan, kizárólag automatizált – emberi beavatkozás nélküli – adatkezelésen (beleértve a profilalkotást is) alapuló döntés hatálya, amely Önre nézve joghatással járna vagy Önt jelentős mértékben érintené, kivéve abban az esetben, ha az automatizált döntés

  1. az Ön és a köztünk létrejövő szerződés megkötése vagy teljesítése érdekében szükséges, vagy
  2. meghozatalát a ránk nézve alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Ön jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, vagy
  3. az Ön kifejezetten hozzájárulásán alapul

azzal, hogy az 1) és a 3) pont szerinti esetben biztosítjuk Önnek, hogy a döntéssel szemben kifogással éljen, valamint azt, hogy emberi beavatkozást (például az automatizált döntés eredményének utólagos felülvizsgálatát) kezdeményezzen.

8.7 A hozzájárulás visszavonása

Amennyiben a személyes adatok kezelése az Ön hozzájárulásán alapul, a tájékoztató 3. fejezetében megadott elérhetőségek valamelyikére címzett nyilatkozat útján bármikor visszavonhatja az adatkezeléshez adott hozzájárulását, melynek következtében nem kezeljük tovább a személyes adatait. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtt megkezdett adatkezelés jogszerűségét.

Kérjük, hogy csak akkor adja meg a hozzájárulását, ha az általános és a kiegészítő adatkezelési tájékoztatóban részletezett adatkezeléseket teljes mértékben megértette és egyetért azzal, hogy a tájékoztatóban leírtak szerint kezeljük az adatait.

8.8 Az érintetti jogosultságok gyakorlásának egyéb kérdései

Minden esetben a lehető legrövidebb időn belül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatjuk Önt a hozzáférés, a helyesbítés, a törlés, a korlátozás, az adathordozás, a tiltakozás iránti, illetve az automatizált döntéshozatallal kapcsolatos kérelme nyomán hozott intézkedésekről. A kérelem összetettségét és a hozzánk érkezett kérelmek számát figyelembe véve a határidő további két hónappal meghosszabbítható, amelyről a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatjuk Önt. Ha elektronikus csatornán úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint szintén elektronikus úton adjuk meg, kivéve, ha Ön kifejezetten más formában kéri a tájékoztatást.

A jelen fejezetben részletezett tájékoztatásért és/ vagy intézkedések megtételéért csak abban az esetben számíthatunk fel észszerű díjat vagy tagadhatjuk meg a tájékoztatást, illetve a kért intézkedés megtételét, ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó.

A kérelmezői minőségre vonatkozó megalapozott kétség esetén jogosultak vagyunk a kérelmezőt személyazonosságának igazolására felhívni. A személyazonosság igazolásához kizárólag az általunk ismert személyes adatokat kérjük el. Válaszunkban részletesen kifejtjük a kérelem elutasítását alátámasztó ténybeli és jogi indokokat.

Amennyiben nem ért egyet a döntésünkkel, bírósághoz fordulhat: eldöntheti, hogy a lakóhelye (állandó lakcím) vagy a tartózkodási helye (ideiglenes lakcím) szerinti törvényszéknél (a törvényszékek felsorolása: https://birosag.hu/torvenyszekek) nyújtja-e be keresetét.

A lakóhely vagy tartózkodási hely szerinti törvényszék megkereshető a https://birosag.hu/ugyfelkapcsolati-portal/birosag-kereso oldalon.

Ha sérelmezi azt, ahogyan az adatait kezeljük, javasoljuk, hogy először hozzánk forduljon. Megkeresését minden esetben körültekintően kivizsgáljuk.

Amennyiben elégedetlen a panaszkivizsgálás eredményével, a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jelezheti észrevételeit az alábbi elérhetőségeken:

székhely: 1055 Budapest, Falk Miksa utca 9-11.

levelezési cím: 1363 Budapest, Pf. 9

e-mail cím: ugyfelszolgalat@naih.hu

9. Melyek a jogellenes adatkezelés következményei?

  1. Kiemelt figyelmet fordítunk arra, hogy adatkezeléseink minden esetben jogszerűek legyenek, azaz az adatkezelésre az adatkezelési alapelvek szem előtt tartásával, megfelelő célból és jogalap alapján, az adatbiztonsági előírások maradéktalan betartása mellett kerüljön sor.
  2. Az adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt megtérítjük Önnek.
  3. Ha az adatainak jogellenes kezelésével vagy az adatbiztonsági előírások megszegésével valamely személyiségi jogát (például képmáshoz fűződő jogát) is megsértjük, sérelemdíjat is követelhet tőlünk.
  4. Mi felelünk az adatfeldolgozó által Önnek okozott kárért és az Önnek az adatfeldolgozó által okozott személyiségi jogsértés miatti sérelemdíjért is.
  5. Nem vagyunk kötelesek kártérítést, illetve sérelemdíjat fizetni, ha bizonyítjuk, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső, elháríthatatlan ok idézte elő. Nem kell megtérítenünk a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár vagy a személyiségi jog megsértésével okozott jogsérelem az Ön szándékos vagy súlyosan gondatlan magatartásából származott.
Bánáti + Hartvig Építész Iroda
© Copyright 2024. Minden jog fenntartva!
+36 1 467 2131 bh@bh.hu