Adatvédelmi és Adatkezelési tájékoztató
1. A tájékoztató célja
A jelen Tájékoztató célja, hogy rögzítse a Századvég Közéleti Tudásközpont Alapítvány, valamint szervezeti egységei, a Századvég Kiadó, a Századvég Alumni Klub és a Budapesti Civil Közösségi Szolgáltató Központ (továbbiakban együttesen: Alapítvány) továbbá a Századvég Konjunktúrakutató Zrt. (a továbbiakban: Konjunktúrakutató) (az Alapítvány és a Konjunktúrakutató együttesen: Adatkezelők) által alkalmazott adatvédelmi és adatkezelési elveket, valamint az Adatkezelők adatvédelmi és adatkezelési politikáját, amelyet az Adatkezelők magukra nézve kötelező erővel ismernek el.
Jelen dokumentum kialakításakor az Adatkezelők különös tekintettel vették figyelembe az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (Infotv.), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács 2016/679. számú Rendeletét (GDPR), illetve a Polgári Törvénykönyvről szóló 2013. évi V. törvényt.
2. Fogalom meghatározások
Személyes adat: az Érintettre vonatkozó bármely információ – különösen az Érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az Érintettre vonatkozó következtetés. A Személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az Érintettel helyreállítható;
Érintett: az a természetes személy, aki az Adatkezelők részére Személyes adatait megadja – így különösen: valamely kutatás résztvevője, a Századvég Kiadó webáruházának (a továbbiakban: webáruház) regisztrált felhasználója, a Budapesti Civil Közösségi Szolgáltató Központ szolgáltatásainak igénybevevője vagy azzal összefüggésbe hozható személy, illetőleg a Századvég Alumni Klub (a továbbiakban: Alumni) tagja;
Adatállomány: az egy nyilvántartásban kezelt adatok összessége;
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
Jelen Tájékoztatóban foglalt esetekben az adatkezelő az Alapítvány valamint a Konjunktúrakutató, az alábbiak szerint:
Név: Századvég Közéleti Tudásközpont Alapítvány
Székhelye: 1037 Budapest, Hidegkuti Nándor u. 8-10.
Nyilvántartási száma: Fővárosi Törvényszék, 01-01-0012878
Adószáma: 19228053-2-41
Telefon: +36 1 479 5280
E-mail: szazadveg [kukac] szazadveg.hu
Panaszügyintézés: a weboldal „Elérhetőségek” menüpontjában feltüntetett elérhetőségeken
Név: Századvég Konjunktúrakutató Zrt.
Székhelye: 1037 Budapest, Hidegkuti Nándor u. 8-10.
Nyilvántartási száma: Fővárosi Törvényszék Cégbírósága, 01-10-140538
Adószáma: 27094974-2-41
Telefon:+36 1 479 5280
E-mail: szazadveg [kukac] szazadveg.hu
Panaszügyintézés: a weboldal „Elérhetőségek” menüpontjában feltüntetett elérhetőségeken
Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
Adattovábbítás: a Személyes adat meghatározott harmadik személy számára hozzáférhetővé tétele;
Nyilvánosságra hozatal: a Személyes adat bárki számára történő hozzáférhetővé tétele;
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges;
Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
Automatizált adatállomány: automatikus feldolgozásra kerülő adatok sora;
Gépi feldolgozás: a következő műveleteket tartalmazza, ha azokat részben vagy egészben automatizált eszközökkel hajtják végre: az adatok tárolása, az adatokkal végzett logikai vagy aritmetikai műveletek, az adatok megváltoztatása, törlése, visszakeresése és terjesztése;
Álnevesítés: a Személyes adat olyan módon történő kezelése, amely – a Személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
Hozzájárulás: az Érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
3. A kezelt személyes adatok köre
3.1. Az Érintett döntése alapján az alábbi adatokat adja meg:
3.1.1. A kutatás esetén: A kutatás során az Érintett által aláírt nyilatkozatban meghatározott adatok. Adatkezelők a részükre kutatási tevékenységgel kapcsolatban átadott Személyes adatokat kizárólag a kutatási tevékenység elősegítése érdekében kezelik és azokat csak az Érintett hozzájárulása esetén jogosultak továbbítani harmadik személyek felé. Az Érintett által a kutatások során adott válaszok feldolgozásra kerülnek, melyek során azok elveszítik személyes jellegüket, így az Érintettel a továbbiakban nem hozhatóak kapcsolatba. Adatkezelők a Személyes adatokat egymással sem osztják emg, azok kizárólag az adott kutatást végző Adatkezelő kezelése alatt maradnak.
Tudományos kutatás céljára felvett személyes adat csak tudományos kutatás céljára használható fel. A személyes adat Érintettel való kapcsolatának megállapítását – mihelyt a kutatási cél megengedi – véglegesen lehetetlenné kell tenni. Ennek megtörténtéig is külön kell tárolni azokat az adatokat, amelyek meghatározott vagy meghatározható természetes személy azonosítására alkalmasak. Ezek az adatok egyéb adatokkal csak akkor kapcsolhatók össze, ha az a kutatás céljára szükséges.
Az Adatkezelők személyes adatot csak akkor hozhatnak nyilvánosságra, ha
a) az Érintett ahhoz hozzájárult, vagy
b) az a történelmi eseményekről folytatott kutatások eredményeinek bemutatásához szükséges.
3.1.2. A webáruház esetén (természetes személynél): Kiszállítási és számlázási adatok: név; irányítószám; település; utca, házszám. Megrendelő személy elérhetőségei: név; telefonszám; e-mail cím, a Felhasználó által megrendeléseikor vásárolt termékkategória, a Felhasználó által alkalmazott átvételi és fizetési mód, a Felhasználó vásárlásainak tételösszege.
A webáruház használata során (különösen a fizetési szakaszban) felmerülhet a fenti adatokon felül további adatok kezelése, illetőleg a folyamat során az Alapítványtól eltérő személy általi adatkezelés. Az ilyen esetekre vonatkozóan bővebb tájékoztatást a webáruház Általános Szerződési Feltételei tartalmaznak.
3.1.3. Az Alumni esetén: a jelentkező neve, címe, valamint e-mail elérhetősége.
3.1.4. A Budapesti Civil Közösségi Szolgáltató Központ esetén: a rendezvények jelenléti ívein résztvevő Érintettek neve (jogi személy esetén a jogi személy és képviselőjének neve), valamint e-mail elérhetősége; hírlevélre jelentkezés esetén az Érintett e-mail címe; továbbá a Központ jogi kötelezettségei teljesítéséhez szükséges, hatóságok nyilvános adatbázisaiból vagy a szolgáltatások teljesítésének eredményéből származó elérhetőségek (név, telefonszám, e-mail cím).
3.2. Az Adatkezelők weboldalának működtetése során technikailag rögzítésre kerülő adatok: az Érintett bejelentkező számítógépének azon adatai, melyek a szolgáltatás igénybe vétele során generálódnak, és melyeket az Adatkezelők rendszere a technikai folyamatok automatikus eredményeként rögzít. Az automatikusan rögzítésre kerülő adatokat a rendszer az Érintett külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza. Ezen adatok egyéb felhasználói Személyes adatokkal – törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Az adatokhoz kizárólag az Adatkezelők férnek hozzá (Adatbiztonság követelménye).
3.3. Az Adatkezelők weboldalán keresztül a testre szabott kiszolgálás érdekében az Érintett számítógépén kis adatcsomagot (ún. „cookie”-t) helyez el. A cookie célja az adott oldal minél magasabb színvonalú működésének biztosítása a felhasználói élmény növelése érdekében. A cookie-t az Érintett képes törölni saját számítógépéről, illetve beállíthatja böngészőjét, hogy a cookie-k alkalmazását tiltsa. A cookie-k alkalmazásának tiltásával az Érintett tudomásul veszi, hogy cookie nélkül a weboldal működése nem teljes értékű.
3.4. Az Adatkezelők rendezvényei során – a tömegfelvételre illetve a nyilvános közéleti szereplésre vonatkozó szabályok szerint – kép- és hangfelvételek készülnek a résztvevőkről. Erről az Adatkezelők külön is tájékoztatják a rendezvényeiken résztvevőket.
3.5. Bizonyos esetekben – különösen a járványhelyzet során – előfordulhat az Adatkezelők rendezvényeinek online formában való megtartása, melyen a résztvevők az interneten, audiovizuális kapcsolaton keresztül vesznek részt. Ez esetben a kezelt személyes adatok köre a résztvevőkről készített kép- és hangfelvételeken túl kiterjedhet a résztvevők egyéb, a kapcsolat létrehozása szempontjából szükséges adatokra (név, telefonszám, e-mail cím, IP cím, stb.) is, melyekről az Érintettek külön tájékoztatást kapnak.
3.6. A regisztráció, webáruházból történő megrendelés, továbbá hírlevélre feliratkozás során az informatikai rendszer eltárolja a hozzájárulással kapcsolatos informatikai adatokat (a hozzájárulás időpontját és az Érintett IP címét) a későbbi bizonyíthatóság érdekében.
4. Az adatkezelés jogalapja, célja és módja
4.1. Az Adatkezelésre az Érintett által részére külön biztosított vagy a www.szazadveg.hu internetes weboldal felhasználóinak a weboldalon található megfelelő tájékoztatáson alapuló önkéntes, konkrét és egyértelmű kinyilvánítása alapján kerül sor, amellyel hozzájárulnak ahhoz, hogy a közölt Személyes adataik felhasználásra kerüljenek, kivételes esetben pedig törvényi előírás alapján. Az Adatkezelés jogalapja ennek megfelelően az Infotv. 5.§ (1) bek. a) pontja szerint az Érintett önkéntes hozzájárulása, illetőleg egyes esetekben az Infotv. 5. § (1) bek. b) pontja szerinti kötelező adatkezelés.
A weboldalon keresztül megadott adatokkal kapcsolatosan a jogszabályi előírások értelmében az Érintett hozzájárulását az Adatkezelők a későbbiek során is kötelesek igazolni, ezért ez esetben az adattárolás jogalapja az Adatkezelők hozzájárulás igazolásával kapcsolatos kötelezettsége a GDPR 7. cikk (1) bekezdése alapján.
4.2. Az Adatkezelés célja az Adatkezelők fenti tevékenységeinek biztosítása, valamint az azokkal kapcsolatos jogszabályi kötelezettségek teljesítése.
4.3. Az automatikusan rögzítésre kerülő adatok (lásd. 3.2. pont) célja az Adatkezelők internetes oldalán keresztül elérhető szolgáltatások nyújtásának biztosítása, a személyre szabott tartalmak és hirdetések megjelenítése, statisztikakészítés, az informatikai rendszer technikai fejlesztése, a felhasználók jogainak védelme. Az Érintett által a szolgáltatás igénybevétele során hozzáférhetővé tett adatokat az Adatkezelők felhasználhatják arra, hogy felhasználói csoportokat képezzenek, és a felhasználói csoportok részére az Adatkezelők weboldalain célzott tartalmat, és/vagy hirdetést jelenítsenek meg.
4.4. Az Adatkezelők a megadott Személyes adatokat az e pontokban írt céloktól eltérő célokra nem használhatják fel. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak törvény ettől eltérően nem rendelkezik kötelező erővel – kizárólag az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.
4.5. Adatkezelők a nekik megadott Személyes adatokat nem ellenőrzik. A megadott adatok megfelelősségéért kizárólag az azt megadó Érintett felel. Bármely Érintett e-mail címének megadásakor egyben felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen történt belépésekkel összefüggő mindennemű felelősség kizárólag azt az Érintettet terheli, aki az e-mail címet regisztrálta.
4.6. Az Adatkezelők jelen Tájékoztatóban foglalt egyes feladataiknak teljesítése érdekében külön megállapodás alapján Adatfeldolgozókat – pl.: fizetési szolgáltató, futár, posta, stb. – vehetnek igénybe. Ha az adatkezelést az Adatkezelők nevében más végzi, az Adatkezelők kizárólag olyan Adatfeldolgozókat vehetnek igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés jogszabályok követelményeinek való megfelelését és az Érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
5. Az adatkezelés elvei
5.1. A Személyes adatok kezelését csak jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”).
A személyes adatok kezelése jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az Adatkezelőkre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az Adatkezelőkre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az Adatkezelők vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
5.2. A Személyes adatokat csak meghatározott, egyértelmű és törvényes célra szabad tárolni, és attól eltérő módon nem szabad felhasználni. Nem minősül az eredeti céllal össze nem egyeztethetőnek a kutatási vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”).
5.3. A Személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”).
5.4. A Személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan Személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”).
5.5. A Személyes adatok tárolási módjának olyannak kell lennie, amely az Érintett azonosítását csak a tárolás céljához szükséges ideig teszi lehetővé („korlátozott tárolhatóság”).
5.6. Meg kell tenni a megfelelő biztonsági intézkedéseket az automatizált adatállományokban tárolt Személyes adatok védelme érdekében a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozására („integritás és bizalmas jelleg”).
5.7. Az Adatkezelők felelősek a fentieknek megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
5.8. A Személyes adatok kutatási célból vagy statisztikai célból folytatott kezelését az Érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az Álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.
6. Az adatkezelők által alkalmazott adatvédelmi irányelvek
6.1. Az Adatkezelők tevékenységeinek ellátásához elengedhetetlenül szükséges Személyes adatokat az Adatkezelők az Érintettek hozzájárulása alapján, és kizárólag célhoz kötötten használják fel.
6.2. Az Adatkezelők vállalják, hogy a birtokukba jutott Személyes adatokat az Infotv. és a GDPR rendelkezéseinek figyelembevételével, a jelen dokumentumban rögzített adatvédelmi elveknek megfelelően kezelik, és azokat harmadik félnek az Érintett vagy jogszabályi engedély nélkül át nem adják.
6.3. Az Adatkezelők kötelezettséget vállalnak arra, hogy az Érintettek bármely Személyes adatának felvétele, rögzítése, kezelése előtt világos, figyelemfelkeltő és egyértelmű közlést tesznek közzé, amelyben tájékoztatják őket az adatfelvétel módjáról, céljáról és elveiről. Mindezeken túlmenően, minden olyan esetben, amikor az adatfelvételt, kezelést, rögzítést nem jogszabály teszi kötelezővé, az Adatkezelők felhívják az Érintett figyelmét az adatszolgáltatás önkéntességére. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. Az Érintettet tájékoztatni kell az adatkezelés céljáról és arról, hogy a Személyes adatokat kik fogják kezelni, illetve feldolgozni. Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.
6.4. Az Adatkezelők a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajtanak végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt a jogszabályi követelmények teljesítéséhez és az Érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
Az Adatkezelők megfelelő technikai és szervezési intézkedéseket hajtanak végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan Személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött Személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.
6.5. Minden olyan esetben, ha a szolgáltatott Személyes adatokat az Adatkezelők az eredeti adatfelvétel céljától eltérő célra kívánják felhasználni, erről az Érintettet tájékoztatják, és ehhez előzetes, kifejezett hozzájárulását megszerezik, illetőleg lehetőséget biztosítanak számára, hogy a felhasználást megtiltsa.
6.6. Az Adatkezelők az adatok felvétele, rögzítése és kezelése során a jogszabályok által rögzített korlátozásokat minden esetben betartják, tevékenységéről az Érintettet annak igénye szerint, elektronikus levelezés útján tájékoztatják. Az Adatkezelők kötelezi magukat, hogy semmilyen szankciót nem érvényesítenek az olyan Érintettel szemben, aki a nem kötelező adatszolgáltatást megtagadja.
6.7. Az Adatkezelők kötelezik magukat, hogy gondoskodnak a Személyes adatok biztonságáról, megteszik továbbá azokat a technikai és szervezési intézkedéseket és kialakítják azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt Személyes adatok védettek legyenek, illetőleg megakadályozzák azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezik magukat arra is, hogy minden olyan harmadik felet, akiknek a Személyes adatokat esetlegesen továbbítják vagy átadják, ugyancsak felhívják ez irányú kötelezettségeinek teljesítésére.
6.8. Ha a Személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő Személyes adat az Adatkezelők rendelkezésére áll, a Személyes adatot az Adatkezelők vagy utasításuk alapján az Adatfeldolgozó helyesbíti.
7. Az adatkezelés időtartama
7.1. Az Érintett által megadott Személyes adatok kezelése mindaddig fennmarad, amíg az Érintett (különösen az Alumni és a Budapesti Civil Közösségi Szolgáltató Központ hírlevele esetén) a szolgáltatásról – az adott felhasználói névvel – ki nem iratkozik, a Személyes adatok kezelésének megszüntetését kifejezetten írásban nem kéri, vagy a Személyes adat kezelésének célja fennáll, illetőleg a tárolására kötelezően előírt időtartam letelik. Jogellenes, megtévesztő Személyes adat használata esetén vagy az Érintett által elkövetett bűncselekmény, illetve rendszer elleni támadás esetén az Adatkezelők jogosultak az Érintett regisztrációjának megszűnésével egyidejűleg adatait haladéktalanul törölni, ugyanakkor bűncselekmény gyanúja vagy polgári jogi felelősség gyanúja esetén jogosultak a Személyes adatokat a lefolytatandó eljárás időtartamára őrizni is.
7.2. A weboldal működése során automatikusan, technikailag rögzítésre kerülő adatok a generálódásuktól számítva a weboldal működésének biztosítása szempontjából indokolt időtartamig kerülnek tárolásra a rendszerben. Az Adatkezelők biztosítják, hogy ezen, automatikusan rögzített adatok egyéb felhasználói Személyes adatokkal – a törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Ha az Érintett Személyes adatainak kezeléséhez adott hozzájárulását megszüntette, vagy a szolgáltatásról leiratkozott, úgy ezt követően a technikai adatokról az ő személye nem lesz beazonosítható.
8. További adatkezelések
Amennyiben az Adatkezelők további adatkezelést kívánnak végezni, akkor előzetes tájékoztatatást nyújtanak az adatkezelés lényeges körülményeiről (adatkezelés jogszabályi háttere és jogalapja, az adatkezelés célja, a kezelt adatok köre, az adatkezelés időtartama).
A hatóságok törvényi felhatalmazáson alapuló, írásbeli adatkéréseit az Adatkezelők kötelesek teljesíteni. Az Adatkezelők a Személyes adatokkal kapcsolatos adatkezeléseikről, az adatvédelmi incidensekről és az Érintett hozzáférési jogával kapcsolatos intézkedésekről az Infotv. 25/E. §-a alapján nyilvántartást vezetnek, amelynek tartalmáról az Érintett kérésére az Adatkezelők tájékoztatást nyújtanak, kivéve, ha a tájékoztatását törvény kizárja.
Amennyiben az Adatkezelők a gyűjtött adatokkal kapcsolatban a gyűjtésük céljától eltérő célból további adatkezelést kívánnak végezni, a további adatkezelést megelőzően tájékoztatják az Érintetteket az adatkezelés céljáról és az alábbi információkról:
a Személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, akkor az időtartam meghatározásának szempontjairól;
az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőktől Személyes adataihoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és jogos érdeken alapuló adatkezelés esetén tiltakozhat a személyes adatok kezelése ellen, valamint a hozzájáruláson, vagy szerződéses kapcsolaton alapuló adatkezelés esetén kérheti az adathordozhatósághoz való jog biztosítását;
hozzájáruláson alapuló adatkezelés esetén arról, hogy a hozzájárulást az Érintett bármikor visszavonhatja,
a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
arról, hogy a Személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az Érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
az automatizált döntéshozatal tényéről (ha alkalmazott ilyen eljárás), ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel bír és várható következményekkel jár az Érintettre nézve.
9. Adatfeldolgozás
Az Adatkezelők külső adatfeldolgozót nem vesznek igénybe. Az általuk kezelt Személyes adatokat maguk vagy az adatfeldolgozással megbízott munkavállalóik dolgozzák fel. A kezelt adatok az egyes tevékenységekkel kapcsolatosan a vonatkozó tájékoztatóban meghatározott Adatfeldolgozók által kerülnek kezelésre.
10. Nyilvántartás, biztonság
10.1. Ha az adatkezelés nem alkalmi jellegű, az Adatkezelők a felelősséükbe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezetnek. E nyilvántartás a következő információkat tartalmazza:
a. az adott Adatkezelő neve és elérhetősége, valamint az Adatkezelő képviselőjének a neve és elérhetősége;
b. az adatkezelés céljai;
c. az Érintettek kategóriáinak, valamint a Személyes adatok kategóriáinak ismertetése;
d. olyan címzettek kategóriái, akikkel a Személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
e. adott esetben a Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
f. ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
g. ha lehetséges, az adatbiztonság garantálása érdekében végrehajtott technikai és szervezési intézkedések általános leírása.
Az Adatkezelők a jogszabályok szerint a nyilvántartást kizárólag a felügyeleti hatóság részére, annak megkeresése alapján bocsátják rendelkezésére.
10.2. Az Adatkezelők és az Adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtanak végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálják, ideértve, többek között, adott esetben:
a. a Személyes adatok álnevesítését és titkosítását;
b. a Személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a Személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt Személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
Az Adatkezelők és az Adatfeldolgozó intézkedéseket hoznak annak biztosítására, hogy az Adatkezelők vagy az Adatfeldolgozó irányítása alatt eljáró, a Személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelők utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre jogszabály kötelezi őket.
10.3. Az adatvédelmi incidenst az Adatkezelők indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomásukra jutott, bejelentik az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A bejelentésben ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az Adatkezelők által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az Adatkezelők nyilvántartják az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
11. Adattovábbítás lehetősége
Az Adatkezelők jogosultak és kötelesek minden olyan rendelkezésükre álló és általuk szabályszerűen tárolt Személyes adatot az illetékes hatóságoknak továbbítani, amely adattovábbításra őket jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt Adatkezelők nem tehetőek felelőssé.
12. Az érintettek jogai az Adatkezelők által kezelt személyes adataikkal kapcsolatosan
12.1. Az Érintettek bármikor írásban, az érintett Adatkezelő címére küldött ajánlott vagy tértivevényes-ajánlott levélben, illetve a vonatkozó tájékoztatóban kijelölt Adatfeldolgozó e-mail címére küldött e-mailben
Személyes adataik kezeléséhez szükséges hozzájárulásukat visszavonhatják;
Személyes adataik kezeléséről tájékoztatást kérhetnek;
Személyes adataikban bekövetkezett változás vagy helytelenül nyilvántartott adatok esetén adataik helyesbítését kérhetik;
Személyes adataik törlését vagy zárolását kérhetik;
Személyes adataik kezelésének korlátozását kérhetik;
tiltakozhatnak Személyes adataik kezelése ellen; illetőleg
Személyes adataik tagolt, széles körben használt, géppel olvasható formátumban megküldését kérhetik, továbbá, hogy ezeket az adatokat az adott Adatkezelő – annak akadályozása nélkül – egy másik adatkezelőnek továbbítsa (adathordozhatósághoz való jog).
Az Érintett bármikor jogosult az adatkezeléshez adott hozzájárulást visszavonni, ilyen esetben a megadott adatokat az adott Adatkezelő – az alábbiakban említett, illetőleg az adatok törlésénél felsorolt kivételekkel – rendszereiből köteles törölni. A webáruház használata során a nem teljesített megrendelés esetén azzal járhat, hogy a megrendelt Terméket nem lehetséges kiszállítani a vásárló részére, továbbá megvalósult vásárlások esetén a számviteli előírások alapján a számlázással kapcsolatos adatok törlését jogszabály kizárja, valamint amennyiben az Érintettnek tartozása áll fenn, úgy a követelés behajtásával kapcsolatos jogos érdek alapján adatait a hozzájárulás visszavonása esetén is kezelni szükséges.
E-mailben küldött tájékoztatáskérést az Adatkezelők csak akkor tekintenek hitelesnek, ha – amennyiben az az Adatkezelők rendelkezésére áll – azt az Érintett regisztrált e-mail címéről küldik. A tájékoztatáskérés kiterjedhet az Érintett Adatkezelők által kezelt adataira, azok forrására, az Adatkezelés céljára, jogalapjára, időtartamára, az esetleges Adatfeldolgozók nevére és címére, az adatkezeléssel összefüggő tevékenységekre, valamint a Személyes adatoknak továbbítása esetén arra, hogy kik és milyen célból kapták vagy kapják meg az Érintett adatait.
Személyes adat törlésére vagy módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.
12.2. Az Adatkezeléssel kapcsolatos kérdésre Adatkezelők a kézhezvételtől számított legrövidebb időn, legfeljebb azonban 25 napon belül, közérthető formában, az Érintett erre irányuló kérelmére kötelesek írásban megadni a tájékoztatást. E-mail esetében a kézhezvétel időpontjának az elküldést követő első munkanapot kell tekinteni.
12.3. A kezelt Személyes adat helyesbítéséről, a zárolásról ill. a törlésről az Érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti.
12.4. Az Érintett jogosult arra, hogy kérésére az Adatkezelők indokolatlan késedelem nélkül töröljék a rá vonatkozó Személyes adatokat, az Adatkezelők pedig kötelesek az Érintettre vonatkozó Személyes adatokat – jogszabály eltérő rendelkezése hiányában – indokolatlan késedelem nélkül törölni, ha az alábbi indokok valamelyike fennáll:
a. a Személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték, vagy a Személyes adatok tárolásának törvényben meghatározott határideje lejárt;
b. a Személyes adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki;
c. az Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
d. az Érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
e. a Személyes adatokat jogellenesen kezelték;
f. a Személyes adatokat jogszabály teljesítéséhez törölni kell (a Személyes adat törlését bíróság vagy hatóság elrendelte).
Ha az Adatkezelők nyilvánosságra hozták a Személyes adatot, és azt a fentiek értelmében törölni kötelesek, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszik az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassák az adatokat kezelő adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó Személyes adatokra mutató linkek vagy e Személyes adatok másolatának, illetve másodpéldányának törlését.
A jelen pontban rögzítettek nem alkalmazhatóak, amennyiben az adatkezelés szükséges:
a. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b. a Személyes adatok kezelését előíró, az Adatkezelőkre alkalmazandó jogszabályi kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;
c. a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adat törlése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
12.5. Törlés helyett az Adatkezelők zárolják a Személyes adatot, ha az Érintett ezt kéri, vagy ha a rendelkezésükre álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit. Az így zárolt Személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a Személyes adat törlését kizárta.
12.6. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az Érintettet, továbbá mindazokat értesíteni kell, akik részére korábban a Személyes adatot Adatkezelés céljára továbbításra került. Az értesítést az Adatkezelők mellőzhetik, ha ez az Adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti.
12.7. Ha az Adatkezelők az Érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesítik, a kérelem kézhezvételét követő 25 napon belül írásban tájékoztatják az Érintettet a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokairól, továbbá arról, hogy az Adatkezelők határozatával szemben a bírósághoz ill. a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat.
12.8. Az Érintett jogosult arra, hogy kérésére az Adatkezelők korlátozzák az adatkezelést, ha az alábbiak valamelyike teljesül:
a. ha az Érintett vitatja az adott Adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró Adatfeldolgozó által kezelt Személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára;
b. az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c. az adott Adatkezelőnek már nincs szüksége a Személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d. az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelők jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben, továbbá
e. ha az adatok törlésének lenne helye, de az Érintett írásbeli nyilatkozata vagy az Adatkezelők rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az Érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára;
f. ha az adatok törlésének lenne helye, de az Adatkezelők vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások – így különösen büntetőeljárás – során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig;
g. ha az adatok törlésének lenne helye, de dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, a kezelt adat törlését követő tíz évig.
Ha az adatkezelés korlátozás alá esik, az ilyen Személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az Adatkezelők az Érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatják.
12.9. Az Érintett tiltakozhat Személyes adatának adatkezelése ellen,
a. ha a Személyes adatok kezelése vagy továbbítása kizárólag az adott Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, a Személyes adatot átvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
b. ha a Személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
c. törvényben meghatározott egyéb esetben.
Az Adatkezelők a tiltakozást annak kézhezvételétől benyújtásától számított legrövidebb időn belül, de legfeljebb 25 napon belül megvizsgálják, annak megalapozottsága kérdésében döntést hoznak, és döntésükről az Érintett írásban tájékoztatják.
Ha az Adatkezelők az Érintett tiltakozásának megalapozottságát megállapítják, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetik, a Személyes adatokat zárolják, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesítik mindazokat, akik részére a tiltakozással érintett Személyes adatot korábban továbbították, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az Érintett az Adatkezelők döntésével nem ért egyet, illetve ha az Adatkezelők a jelen pontban hivatkozott határidőt elmulasztják, a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül az Érintett bírósághoz fordulhat.
13. Jogérvényesítési lehetőségek
Az Érintett az Infotv., valamint a 2013. évi V. tv. (Ptk.) alapján jogérvényesítését bíróság előtt gyakorolhatja, továbbá bármilyen Személyes adattal kapcsolatos kérdésben kérheti az illetékes felügyeleti hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság segítségét is (1055 Budapest, Falk Miksa utca 9-11; postacím: 1363 Budapest, Pf. 9.).
Az Érintett a jogainak megsértése esetén, valamint az Infotv. 21. §-ban meghatározott esetekben az adatátvevő, az Adatkezelők ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik.
Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel ezen túlmenően kereshetők az illetékes Adatfeldolgozók is az egyes tájékoztatásokban foglalt e-mail címeken.lhat.
14. Az Adatkezelési Tájékoztató módosítása
14.1. A jelen Tájékoztatót az Adatkezelők jogosultak egyoldalúan bármikor módosítani. A szolgáltatás további felhasználásával az Érintettek a megváltozott adatkezelési szabályokat tudomásul veszik, ezen túlmenő beleegyezésük kikérésére nincs szükség.
Az Érintett a jogainak megsértése esetén, valamint az Infotv. 21. §-ban meghatározott esetekben az adatátvevő, az Adatkezelők ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik.
Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel ezen túlmenően kereshetők az illetékes Adatfeldolgozók is az egyes tájékoztatásokban foglalt e-mail címeken.lhat.
Alapítvány, valamint szervezeti egységei, a Századvég Kiadó, a Századvég Alumni Klub és a Budapesti Civil Közösségi Szolgáltató Központ (továbbiakban együttesen: Alapítvány) által alkalmazott adatvédelmi és adatkezelési elveket, valamint az Alapítvány adatvédelmi és adatkezelési politikáját, amelyet az Alapítvány magára nézve kötelező erővel ismer el.
Jelen dokumentum kialakításakor az Alapítvány különös tekintettel vette figyelembe az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (Infotv.), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács 2016/679. számú Rendeletét (GDPR), illetve a Polgári Törvénykönyvről szóló 2013. évi V. törvényt
2. Fogalom meghatározások
Személyes adat: az Érintettre vonatkozó bármely információ – különösen az Érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az Érintettre vonatkozó következtetés. A Személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az Érintettel helyreállítható;
Érintett: az a természetes személy, aki az Alapítvány részére Személyes adatait megadja – így különösen: valamely kutatás résztvevője, a Századvég Kiadó webáruházának (a továbbiakban: webáruház) regisztrált felhasználója, a Budapesti Civil Közösségi Szolgáltató Központ szolgáltatásainak igénybevevője vagy azzal összefüggésbe hozható személy, illetőleg a Századvég Alumni Klub (a továbbiakban: Alumni) tagja;
Adatállomány: az egy nyilvántartásban kezelt adatok összessége;
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
Jelen Tájékoztatóban foglalt esetekben az adatkezelő az Alapítvány, az alábbiak szerint:
név: | Századvég Politikai Iskola Alapítvány |
---|---|
székhelye: | 1037 Budapest, Hidegkuti Nándor u. 8-10. |
nyilvántartási száma: | Fővárosi Törvényszék, 01-01-0004243 |
adószáma: | 18052411-2-41 |
telefon: | +36 1 479 5280 |
e-mail: | szazadveg@szazadveg.hu |
panaszügyintézés: | a weboldal „Kapcsolat” menüpontjában feltüntetett elérhetőségeken |
Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
Adattovábbítás: a Személyes adat meghatározott harmadik személy számára hozzáférhetővé tétele;
Nyilvánosságra hozatal: a Személyes adat bárki számára történő hozzáférhetővé tétele;
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges;
Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
Automatizált adatállomány: automatikus feldolgozásra kerülő adatok sora;
Gépi feldolgozás: a következő műveleteket tartalmazza, ha azokat részben vagy egészben automatizált eszközökkel hajtják végre: az adatok tárolása, az adatokkal végzett logikai vagy aritmetikai műveletek, az adatok megváltoztatása, törlése, visszakeresése és terjesztése;
Álnevesítés: a Személyes adat olyan módon történő kezelése, amely – a Személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
Hozzájárulás: az Érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
3. A kezelt Személyes adatok köre
3.1. Az Érintett döntése alapján az alábbi adatokat adja meg:
3.1.1. A kutatás esetén: A kutatás során az Érintett által aláírt nyilatkozatban meghatározott adatok. Adatkezelő a részére kutatási tevékenységgel kapcsolatban átadott Személyes adatokat kizárólag a kutatási tevékenység elősegítése érdekében kezeli és azokat csak az Érintett hozzájárulása esetén jogosult továbbítani harmadik személyek felé. Az Érintett által a kutatások során adott válaszok feldolgozásra kerülnek, melyek során azok elveszítik személyes jellegüket, így az Érintettel a továbbiakban nem hozhatóak kapcsolatba.
Tudományos kutatás céljára felvett személyes adat csak tudományos kutatás céljára használható fel. A személyes adat Érintettel való kapcsolatának megállapítását – mihelyt a kutatási cél megengedi – véglegesen lehetetlenné kell tenni. Ennek megtörténtéig is külön kell tárolni azokat az adatokat, amelyek meghatározott vagy meghatározható természetes személy azonosítására alkalmasak. Ezek az adatok egyéb adatokkal csak akkor kapcsolhatók össze, ha az a kutatás céljára szükséges.
Az Alapítvány személyes adatot csak akkor hozhat nyilvánosságra, ha
a) az Érintett ahhoz hozzájárult, vagy
b) az a történelmi eseményekről folytatott kutatások eredményeinek bemutatásához szükséges.
3.1.2. A webáruház esetén (természetes személynél): Kiszállítási és számlázási adatok: név; irányítószám; település; utca, házszám. Megrendelő személy elérhetőségei: név; telefonszám; e-mail cím, a Felhasználó által megrendeléseikor vásárolt termékkategória, a Felhasználó által alkalmazott átvételi és fizetési mód, a Felhasználó vásárlásainak tételösszege.
A webáruház használata során (különösen a fizetési szakaszban) felmerülhet a fenti adatokon felül további adatok kezelése, illetőleg a folyamat során az Adatkezelőtől eltérő személy általi adatkezelés. Az ilyen esetekre vonatkozóan bővebb tájékoztatást a webáruház Általános Szerződési Feltételei tartalmaznak.
3.1.3. Az Alumni esetén: a jelentkező neve, címe, valamint e-mail elérhetősége.
3.1.4. A Budapesti Civil Közösségi Szolgáltató Központ esetén: a rendezvények jelenléti ívein résztvevő Érintettek neve (jogi személy esetén a jogi személy és képviselőjének neve), valamint e-mail elérhetősége; hírlevélre jelentkezés esetén az Érintett e-mail címe; továbbá a Központ jogi kötelezettségei teljesítéséhez szükséges, hatóságok nyilvános adatbázisaiból vagy a szolgáltatások teljesítésének eredményéből származó elérhetőségek (név, telefonszám, e-mail cím).
3.2. Az Adatkezelő weboldalának működtetése során technikailag rögzítésre kerülő adatok: az Érintett bejelentkező számítógépének azon adatai, melyek a szolgáltatás igénybe vétele során generálódnak, és melyeket az Adatkezelő rendszere a technikai folyamatok automatikus eredményeként rögzít. Az automatikusan rögzítésre kerülő adatokat a rendszer az Érintett külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza. Ezen adatok egyéb felhasználói Személyes adatokkal – törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Az adatokhoz kizárólag az Adatkezelő fér hozzá (Adatbiztonság követelménye).
3.3. Az Adatkezelő weboldalán keresztül a testre szabott kiszolgálás érdekében az Érintett számítógépén kis adatcsomagot (ún. „cookie”-t) helyez el. A cookie célja az adott oldal minél magasabb színvonalú működésének biztosítása a felhasználói élmény növelése érdekében. A cookie-t az Érintett képes törölni saját számítógépéről, illetve beállíthatja böngészőjét, hogy a cookie-k alkalmazását tiltsa. A cookie-k alkalmazásának tiltásával az Érintett tudomásul veszi, hogy cookie nélkül a weboldal működése nem teljes értékű.
3.4. Az Alapítvány rendezvényei során – a tömegfelvételre illetve a nyilvános közéleti szereplésre vonatkozó szabályok szerint - kép- és hangfelvételek készülnek a résztvevőkről. Erről az Alapítvány külön is tájékoztatja a rendezvényein résztvevőket.
3.5. Bizonyos esetekben – különösen a járványhelyzet során – előfordulhat az Alapítvány rendezvényeinek online formában való megtartása, melyen a résztvevők az interneten, audiovizuális kapcsolaton keresztül vesznek részt. Ez esetben a kezelt személyes adatok köre a résztvevőkről készített kép- és hangfelvételeken túl kiterjedhet a résztvevők egyéb, a kapcsolat létrehozása szempontjából szükséges adatokra (név, telefonszám, e-mail cím, IP cím, stb.) is, melyekről az Érintettek külön tájékoztatást kapnak.
3.6. A regisztráció, webáruházból történő megrendelés, továbbá hírlevélre feliratkozás során az informatikai rendszer eltárolja a hozzájárulással kapcsolatos informatikai adatokat (a hozzájárulás időpontját és az Érintett IP címét) a későbbi bizonyíthatóság érdekében.
4. Az Adatkezelés jogalapja, célja és módja
4.1. Az Adatkezelésre az Érintett által részére külön biztosított vagy a www.szazadveg.hu internetes weboldal felhasználóinak a weboldalon található megfelelő tájékoztatáson alapuló önkéntes, konkrét és egyértelmű kinyilvánítása alapján kerül sor, amellyel hozzájárulnak ahhoz, hogy a közölt Személyes adataik felhasználásra kerüljenek, kivételes esetben pedig törvényi előírás alapján. Az Adatkezelés jogalapja ennek megfelelően az Infotv. 5.§ (1) bek. a) pontja szerint az Érintett önkéntes hozzájárulása, illetőleg egyes esetekben az Infotv. 5. § (1) bek. b) pontja szerinti kötelező adatkezelés.
A weboldalon keresztül megadott adatokkal kapcsolatosan a jogszabályi előírások értelmében az Érintett hozzájárulását az Adatkezelő a későbbiek során is köteles igazolni, ezért ez esetben az adattárolás jogalapja az Adatkezelő hozzájárulás igazolásával kapcsolatos kötelezettsége a GDPR 7. cikk (1) bekezdése alapján.
4.2. Az Adatkezelés célja az Adatkezelő fenti tevékenységeinek biztosítása, valamint az azokkal kapcsolatos jogszabályi kötelezettségek teljesítése.
4.3. Az automatikusan rögzítésre kerülő adatok (lásd. 3.2. pont) célja az Adatkezelő internetes oldalán keresztül elérhető szolgáltatások nyújtásának biztosítása, a személyre szabott tartalmak és hirdetések megjelenítése, statisztikakészítés, az informatikai rendszer technikai fejlesztése, a felhasználók jogainak védelme. Az Érintett által a szolgáltatás igénybevétele során hozzáférhetővé tett adatokat az Adatkezelő felhasználhatja arra, hogy felhasználói csoportokat képezzen, és a felhasználói csoportok részére az Adatkezelő weboldalain célzott tartalmat, és/vagy hirdetést jelenítsen meg.
4.4. Az Adatkezelő a megadott Személyes adatokat az e pontokban írt céloktól eltérő célokra nem használhatja fel. Személyes adatok harmadik személynek vagy hatóságok számára történő kiadása – hacsak törvény ettől eltérően nem rendelkezik kötelező erővel – kizárólag az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.
4.5. Adatkezelő a neki megadott Személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó Érintett felel. Bármely Érintett e-mail címének megadásakor egyben felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen történt belépésekkel összefüggő mindennemű felelősség kizárólag azt az Érintettet terheli, aki az e-mail címet regisztrálta.
4.6. Az Adatkezelő jelen Tájékoztatóban foglalt egyes feladatainak teljesítése érdekében külön megállapodás alapján Adatfeldolgozókat – pl.: fizetési szolgáltató, futár, posta, stb. – vehet igénybe. Ha az adatkezelést az Adatkezelő nevében más végzi, az Adatkezelő kizárólag olyan Adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés jogszabályok követelményeinek való megfelelését és az Érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
5. Az Adatkezelés elvei
5.1. A Személyes adatok kezelését csak jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”).
A személyes adatok kezelése jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
5.2. A Személyes adatokat csak meghatározott, egyértelmű és törvényes célra szabad tárolni, és attól eltérő módon nem szabad felhasználni. Nem minősül az eredeti céllal össze nem egyeztethetőnek a kutatási vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”).
5.3. A Személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”).
5.4. A Személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan Személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”).
5.5. A Személyes adatok tárolási módjának olyannak kell lennie, amely az Érintett azonosítását csak a tárolás céljához szükséges ideig teszi lehetővé („korlátozott tárolhatóság”).
5.6. Meg kell tenni a megfelelő biztonsági intézkedéseket az automatizált adatállományokban tárolt Személyes adatok védelme érdekében a véletlen vagy jogtalan megsemmisítés, vagy véletlen elvesztés, valamint a jogtalan hozzáférés, megváltoztatás vagy terjesztés megakadályozására („integritás és bizalmas jelleg”).
5.7. Az Adatkezelő felelős a fentieknek megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
5.8. A Személyes adatok kutatási célból vagy statisztikai célból folytatott kezelését az Érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az Álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.
6. Az Alapítvány (Adatkezelő) által alkalmazott adatvédelmi irányelvek
6.1. Az Adatkezelő tevékenységeinek ellátásához elengedhetetlenül szükséges Személyes adatokat az Adatkezelő az Érintettek hozzájárulása alapján, és kizárólag célhoz kötötten használja fel.
6.2. Az Adatkezelő vállalja, hogy a birtokába jutott Személyes adatokat az Infotv. és a GDPR rendelkezéseinek figyelembevételével, a jelen dokumentumban rögzített adatvédelmi elveknek megfelelően kezeli, és azokat harmadik félnek az Érintett vagy jogszabályi engedély nélkül át nem adja.
6.3. Az Adatkezelő kötelezettséget vállal arra, hogy az Érintettek bármely Személyes adatának felvétele, rögzítése, kezelése előtt világos, figyelemfelkeltő és egyértelmű közlést tesz közzé, amelyben tájékoztatja őket az adatfelvétel módjáról, céljáról és elveiről. Mindezeken túlmenően, minden olyan esetben, amikor az adatfelvételt, kezelést, rögzítést nem jogszabály teszi kötelezővé, az Adatkezelő felhívja az Érintett figyelmét az adatszolgáltatás önkéntességére. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. Az Érintettet tájékoztatni kell az adatkezelés céljáról és arról, hogy a Személyes adatokat kik fogják kezelni, illetve feldolgozni. Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.
6.4. Az Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt a jogszabályi követelmények teljesítéséhez és az Érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan Személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött Személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.
6.5. Minden olyan esetben, ha a szolgáltatott Személyes adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az Érintettet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerezi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.
6.6. Az Adatkezelő az adatok felvétele, rögzítése és kezelése során a jogszabályok által rögzített korlátozásokat minden esetben betartja, tevékenységéről az Érintettet annak igénye szerint, elektronikus levelezés útján tájékoztatja. Az Adatkezelő kötelezi magát, hogy semmilyen szankciót nem érvényesít az olyan Érintettel szemben, aki a nem kötelező adatszolgáltatást megtagadja.
6.7. Az Adatkezelő kötelezi magát, hogy gondoskodik a Személyes adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt Személyes adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek a Személyes adatokat esetlegesen továbbítja vagy átadja, ugyancsak felhívja ez irányú kötelezettségeinek teljesítésére.
6.8. Ha a Személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő Személyes adat az Adatkezelő rendelkezésére áll, a Személyes adatot az Adatkezelő vagy utasítása alapján az Adatfeldolgozó helyesbíti.
7. Az Adatkezelés időtartama
7.1. Az Érintett által megadott Személyes adatok kezelése mindaddig fennmarad, amíg az Érintett (különösen az Alumni és a Budapesti Civil Közösségi Szolgáltató Központ hírlevele esetén) a szolgáltatásról – az adott felhasználói névvel – ki nem iratkozik, a Személyes adatok kezelésének megszüntetését kifejezetten írásban nem kéri, vagy a Személyes adat kezelésének célja fennáll, illetőleg a tárolására kötelezően előírt időtartam letelik. Jogellenes, megtévesztő Személyes adat használata esetén vagy az Érintett által elkövetett bűncselekmény, illetve rendszer elleni támadás esetén az Adatkezelő jogosult az Érintett regisztrációjának megszűnésével egyidejűleg adatait haladéktalanul törölni, ugyanakkor bűncselekmény gyanúja vagy polgári jogi felelősség gyanúja esetén jogosult a Személyes adatokat a lefolytatandó eljárás időtartamára őrizni is.
7.2. A weboldal működése során automatikusan, technikailag rögzítésre kerülő adatok a generálódásuktól számítva a weboldal működésének biztosítása szempontjából indokolt időtartamig kerülnek tárolásra a rendszerben. Az Adatkezelő biztosítja, hogy ezen, automatikusan rögzített adatok egyéb felhasználói Személyes adatokkal – a törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Ha az Érintett Személyes adatainak kezeléséhez adott hozzájárulását megszüntette, vagy a szolgáltatásról leiratkozott, úgy ezt követően a technikai adatokról az ő személye nem lesz beazonosítható.
8. További adatkezelések
Amennyiben az Adatkezelő további adatkezelést kíván végezni, akkor előzetes tájékoztatatást nyújt az adatkezelés lényeges körülményeiről (adatkezelés jogszabályi háttere és jogalapja, az adatkezelés célja, a kezelt adatok köre, az adatkezelés időtartama).
A hatóságok törvényi felhatalmazáson alapuló, írásbeli adatkéréseit az Adatkezelő köteles teljesíteni. Az Adatkezelő a Személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az Érintett hozzáférési jogával kapcsolatos intézkedésekről az Infotv. 25/E. §-a alapján nyilvántartást vezet, amelynek tartalmáról az Érintett kérésére az Adatkezelő tájékoztatást nyújt, kivéve, ha a tájékoztatását törvény kizárja.
Amennyiben az Adatkezelő a gyűjtött adatokkal kapcsolatban a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az Érintetteket az adatkezelés céljáról és az alábbi információkról:
- a Személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, akkor az időtartam meghatározásának szempontjairól;
- az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől Személyes adataihoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és jogos érdeken alapuló adatkezelés esetén tiltakozhat a személyes adatok kezelése ellen, valamint a hozzájáruláson, vagy szerződéses kapcsolaton alapuló adatkezelés esetén kérheti az adathordozhatósághoz való jog biztosítását;
- hozzájáruláson alapuló adatkezelés esetén arról, hogy a hozzájárulást az Érintett bármikor visszavonhatja,
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- arról, hogy a Személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az Érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- az automatizált döntéshozatal tényéről (ha alkalmazott ilyen eljárás), ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel bír és várható következményekkel jár az Érintettre nézve.
9. Adatfeldolgozás
Az Adatkezelő külső adatfeldolgozót nem vesz igénybe. Az általa kezelt Személyes adatokat maga vagy az adatfeldolgozással megbízott munkavállalói dolgozzák fel. A kezelt adatok az egyes tevékenységekkel kapcsolatosan a vonatkozó tájékoztatóban meghatározott Adatfeldolgozók által kerülnek kezelésre.
10. Nyilvántartás, biztonság
10.1. Ha az adatkezelés nem alkalmi jellegű, az Adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:
- az Adatkezelő neve és elérhetősége, valamint az Adatkezelő képviselőjének a neve és elérhetősége;
- az adatkezelés céljai;
- az Érintettek kategóriáinak, valamint a Személyes adatok kategóriáinak ismertetése;
- olyan címzettek kategóriái, akikkel a Személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
- adott esetben a Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
- ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
- ha lehetséges, az adatbiztonság garantálása érdekében végrehajtott technikai és szervezési intézkedések általános leírása.
Az Adatkezelő a jogszabályok szerint a nyilvántartást kizárólag a felügyeleti hatóság részére, annak megkeresése alapján bocsátja rendelkezésére.
10.2. Az Adatkezelő és az Adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
- a Személyes adatok álnevesítését és titkosítását;
- a Személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
- fizikai vagy műszaki incidens esetén az arra való képességet, hogy a Személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt Személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
Az Adatkezelő és az Adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az Adatkezelő vagy az Adatfeldolgozó irányítása alatt eljáró, a Személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre jogszabály kötelezi őket.
10.3. Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A bejelentésben ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedések
11. Adattovábbítás lehetősége
Az Adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt Személyes adatot az illetékes hatóságoknak továbbítani, amely adattovábbításra őt jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítás, valamint az ebből származó következmények miatt Adatkezelő nem tehető felelőssé.
12. Az Érintettek jogai az Adatkezelő által kezelt Személyes adataikkal kapcsolatosan
12.1. Az Érintettek bármikor írásban, az Adatkezelő címére küldött ajánlott vagy tértivevényes-ajánlott levélben, illetve a vonatkozó tájékoztatóban kijelölt Adatfeldolgozó e-mail címére küldött e-mailben
· Személyes adataik kezeléséhez szükséges hozzájárulásukat visszavonhatják;
- Személyes adataik kezeléséről tájékoztatást kérhetnek;
- Személyes adataikban bekövetkezett változás vagy helytelenül nyilvántartott adatok esetén adataik helyesbítését kérhetik;
- Személyes adataik törlését vagy zárolását kérhetik;
- Személyes adataik kezelésének korlátozását kérhetik;
- tiltakozhatnak Személyes adataik kezelése ellen; illetőleg
- Személyes adataik tagolt, széles körben használt, géppel olvasható formátumban megküldését kérhetik, továbbá, hogy ezeket az adatokat az Adatkezelő – annak akadályozása nélkül – egy másik adatkezelőnek továbbítsa (adathordozhatósághoz való jog).
Az Érintett bármikor jogosult az adatkezeléshez adott hozzájárulást visszavonni, ilyen esetben a megadott adatokat az Adatkezelő – az alábbiakban említett, illetőleg az adatok törlésénél felsorolt kivételekkel – rendszereiből köteles törölni. A webáruház használata során a nem teljesített megrendelés esetén azzal járhat, hogy a megrendelt Terméket nem lehetséges kiszállítani a vásárló részére, továbbá megvalósult vásárlások esetén a számviteli előírások alapján a számlázással kapcsolatos adatok törlését jogszabály kizárja, valamint amennyiben az Érintettnek tartozása áll fenn, úgy a követelés behajtásával kapcsolatos jogos érdek alapján adatait a hozzájárulás visszavonása esetén is kezelni szükséges.
E-mailben küldött tájékoztatáskérést az Adatkezelő csak akkor tekint hitelesnek, ha – amennyiben az az Adatkezelő rendelkezésére áll – azt az Érintett regisztrált e-mail címéről küldik. A tájékoztatáskérés kiterjedhet az Érintett Adatkezelő által kezelt adataira, azok forrására, az Adatkezelés céljára, jogalapjára, időtartamára, az esetleges Adatfeldolgozók nevére és címére, az adatkezeléssel összefüggő tevékenységekre, valamint a Személyes adatoknak továbbítása esetén arra, hogy kik és milyen célból kapták vagy kapják meg az Érintett adatait.
Személyes adat törlésére vagy módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.
12.2. Az Adatkezeléssel kapcsolatos kérdésre Adatkezelő a kézhezvételtől számított legrövidebb időn, legfeljebb azonban 25 napon belül, közérthető formában, az Érintett erre irányuló kérelmére írásban megadni a tájékoztatást. E-mail esetében a kézhezvétel időpontjának az elküldést követő első munkanapot kell tekinteni.
12.3. A kezelt Személyes adat helyesbítéséről, a zárolásról ill. a törlésről az Érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti.
12.4. Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó Személyes adatokat, az Adatkezelő pedig köteles az Érintettre vonatkozó Személyes adatokat – jogszabály eltérő rendelkezése hiányában – indokolatlan késedelem nélkül törölni, ha az alábbi indokok valamelyike fennáll:
- a Személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték, vagy a Személyes adatok tárolásának törvényben meghatározott határideje lejárt;
- a Személyes adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki;
- az Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az Érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
- a Személyes adatokat jogellenesen kezelték;
- a Személyes adatokat jogszabály teljesítéséhez törölni kell (a Személyes adat törlését bíróság vagy hatóság elrendelte).
Ha az Adatkezelő nyilvánosságra hozta a Személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó Személyes adatokra mutató linkek vagy e Személyes adatok másolatának, illetve másodpéldányának törlését.
A jelen pontban rögzítettek nem alkalmazhatóak, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a Személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából;
- a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adat törlése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
12.5. Törlés helyett az Adatkezelő zárolja a Személyes adatot, ha az Érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit. Az így zárolt Személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a Személyes adat törlését kizárta.
12.6. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az Érintettet, továbbá mindazokat értesíteni kell, akik részére korábban a Személyes adatot Adatkezelés céljára továbbításra került. Az értesítést az Adatkezelő mellőzheti, ha ez az Adatkezelés céljára való tekintettel az Érintett jogos érdekét nem sérti.
12.7. Ha az Adatkezelő az Érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 25 napon belül írásban tájékoztatja az Érintettet a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokairól, továbbá arról, hogy az Adatkezelő határozatával szemben a bírósághoz ill. a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat.
12.8. Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- ha az Érintett vitatja az Adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró Adatfeldolgozó által kezelt Személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára;
- az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az Adatkezelőnek már nincs szüksége a Személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben, továbbá
- ha az adatok törlésének lenne helye, de az Érintett írásbeli nyilatkozata vagy az Adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az Érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára;
- ha az adatok törlésének lenne helye, de az Adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások – így különösen büntetőeljárás – során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig;
- ha az adatok törlésének lenne helye, de dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, a kezelt adat törlését követő tíz évig.
Ha az adatkezelés korlátozás alá esik, az ilyen Személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az Adatkezelő az Érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
12.9. Az Érintett tiltakozhat Személyes adatának adatkezelése ellen,
- ha a Személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, a Személyes adatot átvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
- ha a Személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
- törvényben meghatározott egyéb esetben.
Az Adatkezelő a tiltakozást annak kézhezvételétől benyújtásától számított legrövidebb időn belül, de legfeljebb 25 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről az Érintett írásban tájékoztatja.
Ha az Adatkezelő az Érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, a Személyes adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett Személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az Érintett az Adatkezelő döntésével nem ért egyet, illetve ha az Adatkezelő a jelen pontban hivatkozott határidőt elmulasztja, a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat.
13. Jogérvényesítési lehetőségek
Az Érintett az Infotv., valamint a 2013. évi V. tv. (Ptk.) alapján jogérvényesítését bíróság előtt gyakorolhatja, továbbá bármilyen Személyes adattal kapcsolatos kérdésben kérheti az illetékes felügyeleti hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság segítségét is (1125 Budapest, Szilágyi Erzsébet fasor 22/C; postacím: 1530 Budapest, Pf. 5.).
Az Érintett a jogainak megsértése esetén, valamint az Infotv. 21. §-ban meghatározott esetekben az adatátvevő, az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A per elbírálása a törvényszék hatáskörébe tartozik.
Bármilyen adatkezeléssel kapcsolatos kérdéssel, észrevétellel ezen túlmenően kereshetők az illetékes Adatfeldolgozók is az egyes tájékoztatásokban foglalt e-mail címeken.
14. Az Adatkezelési Tájékoztató módosítása
14.1. A jelen Tájékoztatót az Adatkezelő jogosult egyoldalúan bármikor módosítani. A szolgáltatás további felhasználásával az Érintettek a megváltozott adatkezelési szabályokat tudomásul veszik, ezen túlmenő beleegyezésük kikérésére nincs szükség.