1. Az adatkezelési tájékoztató célja

Jelen dokumentum célja, hogy az AW Cosmetics Kozmetikai Alakformáló és Anti-Aging Esztétikai Központot üzemeltető AW GROUP Zrt. (továbbiakban Vállalkozás), mint adatkezelő (a továbbiakban egységesen Adatkezelő) meghatározza az Adatkezelő szervezetében alkalmazott és működő, személyes adatnak minősülő adatokra vonatkozó adatvédelmi szabályokat, eljárásokat és védelmi intézkedéseket.

Az Adatkezelő egyúttal e dokumentumban tájékoztatja ügyfeleit, partnereit, illetőleg minden olyan természetes- és jogi személyt, akik az Adatkezelővel bármilyen – jogi szempontból értelmezhető – kapcsolatban állnak és a személyes kezelése során érintettségük keletkezik, az általa kezelt személyes adatok kezelésének szabályairól, az alkalmazott védelmi intézkedésekről, eljárásokról és az adatkezelés módjáról.

Jelen tájékoztató célja, hogy az Európai Parlament és a Tanács 2016/679. számú Rendelete (továbbiakban: GDPR) és az Információs és Önrendelkezési Jogról szóló 2011.évi CXII. törvény (továbbiakban: Info tv.) vonatkozó rendelkezései alapján rögzítse a Vállalkozás által alkalmazott adatvédelmi elveket és adatvédelmi politikáját és ezzel garantálja, hogy a Vállalkozás által nyújtott szolgáltatások minden területén az ügyfelek számára biztosítva legyen jogaik védelme, valamint az adatainak kezelésével kapcsolatos megfelelő tájékoztatás.

Az Adatkezelő kijelenti továbbá, hogy fontosnak tekinti az információs önrendelkezés jogát, különös tekintettel a személyes adatokra és saját hatókörében minden elérhető szervezeti működési, szabályozási és technológia intézkedést megtesz e jogok betartása és betartatása érdekében.

Az Adatkezelési tájékoztató mindenkor hatályos verziója a www.awcosmetics.hu weboldalon érhető el. Az Adatkezelési tájékoztatót az Adatkezelő bármikor megváltoztathatja a honlapon történő közzététel – mint tájékoztatási kötelezettsége − mellett.

2. Hatály

 A Tájékoztatóban foglaltakat alkalmazni kell a Vállalat székhelyén, telephelyén tartózkodó, a Vállalattal kapcsolatot létesítő minden ügyfél személyes és különleges adatainak védelmére.

3. Az adatvédelmi szervezetek

Az adatvédelmi szervezet:

• az adatkezelő,
• az adatfeldolgozó.

Az adatkezelő az a természetes vagy jogi személy, amely a személyes adatok kezelésének célját, jogalapját és eszközeit önállóan vagy másokkal együtt meghatározza.

A Vállalkozás, mint adatkezelő megnevezése:

Cégnév: AW GROUP Zrt.
Székhely: 1031 Budapest, Apátkút u. 13.
Levelezési cím, panaszkezelés: 1031 Budapest, Apátkút u. 13.
E-mail: info@awcosmetics.hu
Telefonszám: +36 30 5205701
Weboldal: http://www.awcosmetics.hu

Az adatfeldolgozó az a természetes vagy jogi személy vagy bármely más szerv, amely az adatkezelő utasítására, annak nevében személyes adatokat kezel, az adatkezeléshez kapcsolódó technikai feladatokat elvégzi.

Adatfeldolgozó megnevezése:
Adatfeldolgozónak minősül a Vállalkozás alkalmazottja, megbízottja, aki a Vállalkozás vezetőjének utasítása és felhatalmazása alapján az ügyfelek személyes és különleges adatait kezeli és az adatkezeléshez kapcsolódó technikai feladatokat elvégzi.

4. Fogalom meghatározások

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;

„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.

4. Az adatkezelő adatkezelései és a kezelt személyes adatok

1. A Vállalkozás szolgáltatásaihoz kapcsolódó adatok

Személyes adatok: GDPR 4. cikk.
Az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely olyan adat, információ, tényező, amely alapján az adott természetes személy beazonosítható. Ezek különösen: név, szám, helymeghatározó adat, online azonosító, természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális, szociális azonosságára utaló adat. Személyes adatkezelésnek minősül továbbá a fénykép, hang-, képfelvétel készítése, valamint személyazonosításra alkalmas fizikai jellemzők gyűjtése.

Különleges adat: GDPR 9. cikk.
Személyes adatok körén belül különleges adat a faji etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló adat, valamint a természetes személyek egyedi azonosítására alkalmas genetikai, biometrikus adatok, egészségügyi adatok, természetes személyek szexuális életére, szexuális beállítottságára utaló adatok.
Ezeknek az adatoknak a kezelése csak az érintett természetes személy kizárólagos hozzájárulása esetén lehetséges. Amennyiben az érintett a hozzájárulást megtagadja, akkor a fent megjelölt különleges adatok kezelése tilos.

A Vállalkozás által nyújtott szolgáltatások, kezelések igénybevétele során a Vállalkozás kér ügyfeleitől személyes adatokat az egyes szolgáltatásoknak megfelelő tartalommal. Ezek az adatok az adatfelvételi lapon, illetve a hozzájárulási nyilatkozaton és az egyéb kezelési tájékoztatóban kerülnek megadásra. Ezeket az ügyfél a szolgáltatás megkezdése előtt tölti ki és bocsátja a Vállalkozás rendelkezésére.

2. A hírlevelek küldésével kapcsolatos adatkezelés

A Vállalkozás havi rendszerességgel tájékoztatja az Ügyfeleket a szolgáltatásai bővüléséről, promócióiról, akcióiról. A hírlevelek kiküldése az Ügyfelek által előzetesen önkéntesen megadott e-mail címekre történik e-mail formájában, vagy hírlevél kiküldő szoftver alkalmazásával (Salonic-rendszer).

A hírlevélre történő feliratkozás önkéntes hozzájáruláson alapul, és személyesen történik egy forma nyomtatvány kitöltésével. Weboldalról közvetlenül történő feliratkozásra nincs lehetőség.

3. A születésnapi ajándék voucher küldésével kapcsolatos adatkezelés

A Vállalkozás a szolgáltatásait rendszeresen igénybe vevők részére születésnapjuk alkalmából ajándék vouchert vagy kedvezmény kupont biztosít közvetlen e-mail kiküldésével vagy az időpontfoglaló rendszer segítségével (Salonic-rendszer) azoknak az ügyfeleknek, akik önkéntes adatszolgáltatás keretében megadják a születési dátumukat és az e-mail címüket.

4. Az időpontfoglalás során kezelt adatok

A Vállalkozás szolgáltatásainak igénybevétele időpontfoglalás útján történik. Időpontot a Salonic időpontfoglaló rendszer Vállalkozás honlapján elérhető módozatán keresztül, személyesen, telefonon vagy e-mailen keresztül lehet foglalni.
Az időpontfoglalást kezdeményező személynek (a továbbiakban: Adatközlő) önkéntes, egyértelmű, konkrét tájékoztatáson alapuló hozzájárulását kell adnia a személyes adatok kezeléséhez az időpontfoglalás módjához igazodóan elektronikusan (e-mailben), az elektronikus felületen (Salonic-időpontfoglaló rendszerben), vagy papír alapon (személyes megjelenés, vagy telefonos időpontfoglalás esetén a szóbeli hozzájárulás megerősítése mellett utólag) a jelen tájékoztatóban foglaltak, valamint a Salonic-rendszerben feltüntetett előírásoknak megfelelően.
A tájékoztató a www.awcosmetics.hu oldalon megtekinthető, az Adatkezelő telefonon tájékoztatást ad erről, de személyesen is megtekinthető és átolvasható a Vállalkozás telephelyén.

5. A Vállalkozástól igénybe vett szolgáltatások megfizetése kapcsán kezelt adatok

A Vállalkozás elektronikus számlázórendszert használ, a www.szamlazz.hu alkalmazáson keresztül bocsátja ki a számlákat a számviteli törvénynek megfelelő adattartalommal. A számlák egy elektronikus példánya e-mailben megküldésre kerül az érintett számára.

Az adatkezelés jogalapját jogi kötelezettség teljesítése esetén törvény határozza meg, így az Érintett hozzájárulása az személyes adatainak kezeléséhez nem szükséges.

A Vállalkozás a számlákat és szükség esetén a szerződéseket tárolásra és nyilvántartásba vételre átadja esetén a Vállalkozás részére a könyvelési szolgáltatásokat ellátó K+J Számviteli Szolgáltató Kft. (a továbbiakban: Könyvelő), aki a számviteli jogszabályokban foglalt ideig gondoskodik azok megőrzéséről.

6. A szerződések teljesítésével kapcsolatos adatkezelési tevékenység

A Vállalkozás a vele szerződő személyek személyes és vállalkozási adatainak kezelését is ellátja a szerződéses jogviszonnyal összefüggésben, illetve a szerződéseket szükség esetén a Könyvelő rendelkezésére bocsátja.

7. A Weblap üzemeltetésével kapcsolatos adatkezelési tevékenység

Technikai adatok: a technikai adatok, azok az adatok, amelyek az Adatkezelő rendszereinek működése során többnyire automatikusan keletkeznek és kerülnek rögzítésre. Egyes technikai adatokat a rendszer, az Érintett külön nyilatkozata, vagy cselekménye nélkül is tárol és bizonyos esetekben automatikusan naplóz. A technikai adatok az Érintett személyének azonosítására közvetlenül nem alkalmasak, azonban összekapcsolhatók felhasználói adatokkal, így az azonosítás lehetővé válhat. Ilyen adatkapcsolatokat az Adatkezelő nem készít, kivéve olyan esetekben, amikor erre az Adatkezelőt törvény kötelezi. A technikai adatokhoz kizárólag az Adatkezelő és az Adatfeldolgozói férhetnek hozzá.

Cookie: a Weboldalon tett látogatások során egy vagy több cookie-t – azaz egy-egy karaktersorozatot tartalmazó kis fájlt – küld a Vállalkozás a látogató számítógépére, amelyek révén annak böngészője egyedileg azonosítható lesz. Ezek a Cookie-k a Google által biztosítottak, felhasználásuk a Google Analytics rendszerén keresztül történik. Ezeket a Cookie-kat csak egyes aloldalak látogatása esetén küldjük el a látogató számítógépére, tehát ezekben csak az adott aloldal meglátogatásának tényét és idejét tároljuk semmilyen más információt, adatot nem.

Az alkalmazott Cookie-k:

1. a) átmeneti cookie: az érintett látogatása után automatikusan törlődik. Ezek a cookie-k arra szolgálnak, hogy a Vállakozás honlapja hatékonyabban és biztonságosabban tudjon működni, tehát elengedhetetlenek ahhoz, hogy a honlap egyes funkciói vagy egyes alkalmazások megfelelően tudjanak működni.
2. b) állandó (persistent) cookie: állandó cookie-t is használ a Vállalkozás a jobb felhasználói élmény érdekében (pl. optimalizált navigáció nyújtása). Ezek a cookie-k hosszabb ideig kerülnek tárolásra a böngésző cookie file-jában. Ennek időtartama attól függ, hogy az Érintett az internetes böngészőjében milyen beállítást alkalmaz.
3. c) Biztonsági cookie: külső szerverek segítik a Weblap látogatottsági és egyéb webanalitikai adatainak független mérését és auditálását (Google Analytics). A mérési adatok kezeléséről az adatkezelők tudnak részletes felvilágosítást nyújtani az Érintett részére.

Elérhetőségük: www.google.com/analytics

Amennyiben az Érintett nem szeretné, hogy a Google Analytics a fenti adatokat az ismertetett módon és céllal mérje, telepítse böngészőjébe az ezt blokkoló kiegészítőt.

A legtöbb böngésző menüsorában található „Segítség” funkció tájékoztatást nyújt arra vonatkozóan, hogy a böngészőben hogyan lehet letiltani a cookie-kat, hogyan fogadjon el új cookie-kat, vagy hogyan adjon utasítást böngészőjének arra, hogy új cookie-t állítson be, vagy hogyan kapcsoljon ki egyéb cookie-kat.

Tárhelyszolgáltató:
Név: Websupport Magyarország Kft.
Székhely: 1132 Budapest, Victor Hugo utca 18-22.
Elérhetőség: +36 1 700 4140, info@tarhelypark.hu

8. A közösségi oldalakhoz kapcsolódó adatok

A Vállalkozás elérhető a Facebook közösségi portálon, az Instagramon, valamint a Google+ közösségi oldalon.

A közösségi oldal használata és azon keresztül az Adatkezelővel történő kapcsolatfelvétel, kapcsolattartás, és egyéb, a közösségi oldal által megengedett művelet önkéntes hozzájáruláson alapul. Az érintettek köre azon természetes személyek, akik az adatkezelő közösségi oldalait vagy azon megjelenő tartalmakat önként követik, megosztják, kedvelik, értékelik.

A közösségi oldalakon a következő adatok kerülnek feldolgozás alá:
Név (felhasználó név): az azonosítás érdekében,
e-mail cím: a kapcsolattartás miatt,
művelet (pl: értékelés, kérdés feltétel): válaszadás érdekében.

Az Adatkezelő az Érintettekkel a közösségi oldalon keresztül kizárólag akkor kommunikál, és így a kezelt adatok körének célja akkor válik lényegessé, ha az Érintett a közösségi oldalon keresztül keresi meg az Adatkezelőt.

A közösségi portálokon való jelenlét és az azzal kapcsolatos adatkezelés célja a weboldalon található tartalmak közösségi oldalon történő megosztása, publikálása, tehát az Adatkezelő marketingje.
Az Érintett a közösségi oldal feltételei alapján önként járul hozzá az adatkezeléshez, így például az Adatkezelő tartalmainak követésével, kedvelésével.
Az Érintett az Adatkezelőt szövegesen és számszerűen értékelheti, ha ezt a közösségi oldal lehetővé teszi.
Az Adatkezelő közösségi oldalán képeket/ videófelvételeket is közzétesz a különböző eseményekről, az Adatkezelő szolgáltatásairól, egyebekről. Amennyiben nem tömegfelvételről vagy közéleti szereplésről készült felvételekről van szó (Ptk. 2:48 §), az Adatkezelő mindig kikéri az Érintett hozzájárulását a képek közzététele előtt.
Az Érintett az adott közösségi oldal adatkezeléséről tájékoztatást az adott közösségi oldalon kaphat.
Adatkezelés időtartama: az Érintett kérésére törlésig.
Az adatkezelés módja: elektronikusan, automatizáltan.
Az adatok forrása közvetlenül az Érintettől.
Automatizált döntéshozatal profilalkotás: az adatkezelés kapcsán ilyen nem történik.
Az Adatkezelő felhívja a figyelmet arra, hogy az adott közösségi oldalt üzemeltető szervezet, mint Adatkezelő végezhet profilalkotást vagy más automatizált adatkezelést, de ebben az esetben az adatkezelő a közösségi oldalt üzemeltető szervezet lesz.

5. Az Érintettek adatainak kezelésével kapcsolatos jogai

1. Tájékoztatáshoz való jog

Az érintett jogosult arra, hogy adatainak kezelésére irányuló tevékenység megkezdését megelőzően tájékoztatást kapjon az adatkezeléssel összefüggő információkról.

Rendelkezésre bocsátandó információk: az adatkezelő elérhetőségei, a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapja, a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai.

Az adat alanya kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról.

2. Hozzáférési jog

Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e; és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• az adatkezelés céljai;
• az érintett személyes adatok kategóriái;
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
• adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
• az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
• a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
• ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.

Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátja.

3. Helyesbítéshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

4. Törléshez való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
• a személyes adatokat jogellenesen kezelték.

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az érintett kérelmére azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

5. Az adatkezelés korlátozásához való jog

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
• ha más az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

6. Adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, – ha ez technikailag megvalósítható –, hogy kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az említett jog nem érintheti hátrányosan mások jogait és szabadságait.

7. A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében megvalósuló adatkezelése, illetve az adatkezelő, vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

8. Az automatizált döntéshozatal alóli mentesség joga

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Az előző bekezdés nem alkalmazandó abban az esetben, ha a döntés:

• az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
• vagy meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy az érintett kifejezett hozzájárulásán alapul.

9. Az érintett panasztételhez és jogorvoslathoz való joga

Az érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelését megsértették.

Panasztételhez való jogát az érintett az alábbi elérhetőségeken gyakorolhatja:
Nemzeti Adatvédelmi és Információszabadság Hatóság,
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c,
Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410
e-mail: ugyfelszolgalat@naih.hu http://www.naih.hu,

A felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.

10. Az adatvédelmi incidensről történő tájékoztatás

Adatvédelmi incidens a vonatkozó jogi szabályozó értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidensnek minősül a személyes adatokat tartalmazó eszköz (laptop, mobiltelefon) elvesztése, vagy ellopása, ransomware (zsarolóvírus) általi fertőzés, amely a váltságdíj megfizetéséig hozzáférhetetlenné teszi az adatkezelő által kezelt adatokat, az informatikai rendszer megtámadása, tévesen elküldött személyes adatokat tartalmazó e-mail, címlista nyilvánosságra hozatala stb.

Az adatvédelmi incidens észlelése esetén a Vállalkozás képviselője haladéktalanul vizsgálatot folytat le az adatvédelmi incidens azonosítása és lehetséges következményeinek megállapítása céljából. A károk elhárítása érdekében a szükséges intézkedéseket meg kell tenni.

Adatkezelési incidens nyilvántartása a következő elemeket tartalmazza:

• Dátum, időpont,
• Incidens leírása,
• Érintettek csoportja és száma,
• Valószínűsíthető következmények az érintettekre nézve,
• Hatósági tájékoztatás történt-e és ha igen mikor.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket, az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

• az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
• az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását.

11. Intézkedési határidő

Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja az Érintettet a kérelmek nyomán hozott intézkedésekről.

Szükség esetén ez két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet.

Ha az Adatkezelő nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

12. Az adatkezelés biztonsága

A Vállalkozás személyes adatot csak a jelen szabályzatban rögzített tevékenységekkel összhangban, az adatkezelés célja szerint kezelhet.

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A személyes adatok titkosítását, a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, rendelkezésre állását és ellenálló képességét, fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani, az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A Vállalkozás az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A Vállalkozás az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére, több lehetséges adatkezelési megoldás esetén a személyes adatok magasabb szintű védelmét biztosító megoldást választja, kivéve, ha az aránytalan nehézséget jelentene.