Elfogadta a HÖOK Hallgatói Szolgáltató Közhasznú Nonprofit Korlátolt Felelősségű Társaság (székhely: 1095 Budapest, Soroksári út 48. 10-es épület, 1. emelet., cégjegyzékszám: 01-09-921744, adószám: 18087073-2-41, e-mail cím: info@universum.hu) (továbbiakban: Adatkezelő) 2023. január 11-én.
1./ Általános rendelkezések
A jelen adatvédelmi szabályzat tárgya az Adatkezelő által üzemeltett www.universum.hu elnevezésű internetes oldal (továbbiakban: honlap) használatával összefüggésben az Adatkezelő birtokába került személyes adatok kezelése az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) az Európai Parlament és Tanács (EU) 2016/679 számú rendelete (GDPR) és a vonatkozó egyéb hatályos jogszabályok alapján.
Jelen Szabályzat rögzíti az Adatkezelő által alkalmazott adatvédelmi és adatkezelési elveket, amelyek révén az Adatkezelő biztosítja, hogy a honlappal összefüggésben nyújtott szolgáltatások során vele kapcsolatba kerülő természetes személyek személyiségi jogai ne sérüljenek.
Az Adatkezelő fenntartja a jogát arra, hogy adatvédelmi politikáját és egyben jelen Szabályzat tartalmát az általa nyújtott szolgáltatások változása esetén, valamint a mindenkor hatályos jogszabályi rendelkezéseknek megfelelően, egyoldalúan módosítsa. Jelen szabályzat bármilyen változásáról az Adatkezelő az érintetteket a változással egyidejűleg értesíti a www.universum.hu honlapon.
2./ Jogszabályi háttér
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – General Data Protection Regulation GDPR)
- 2013. évi V. törvény a Polgári Törvénykönyvről
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
- 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
- 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
- 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről
- 1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről
3./ Fogalmak
Személyes adat: azonosított vagy azonosítható természetes személyre (“érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy.
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Adatfeldolgozás: az Adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az Adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel.
Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából.
Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.
Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Álnevesítés: személyes adat olyan módon történő kezelése, amely – a személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni.
EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.
Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az Adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek.
Harmadik ország: minden olyan állam, amely nem EGT-állam.
Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.
Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.
Profilalkotás: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul.
4./ Adatkezeléssel érintettek köre:
Azon természetes személyek, akik a honlapra regisztrálnak többlet szolgáltatások érdekében, illetve a honlapon található pályaorientációban segítséget nyújtó felületet (továbbiakban: Tájoló) igénybe veszik, továbbá akik kifejezetten a hírlevél szolgáltatásra regisztrálnak (azaz a 3. pont szerinti érintett – továbbiakban: érintett vagy érintettek).
5./ Adatkezelés célja:
A célok elkülönítése, de egyben összefüggésének megjelölése érdekében itt rögzítésre kerül, hogy a Tájoló használatának előfeltétele a többlet szolgáltatások érdekében tett, a honlapon való regisztráció, ezen regisztráció azonban nem teszi kötelezővé a Tájoló használatát, annak használata esetén további személyes adatok megadása szükséges.
Az Adatkezelő az érintettek önkéntesen megadott személyes adatait az általa nyújtott szolgáltatásokkal összefüggő alábbi célokból tartja nyilván és kezeli:
A honlapon való regisztráció esetén: a honlapon elektronikus fiók (továbbiakban: fiók) létrehozása, *** többlet szolgáltatások, valamint a Tájoló használata.
A Tájoló igénybevétele esetén: pályaorientációs iránymutatás nyújtása az érintett részére.
Hírlevélküldésre való regisztráció esetén: hírlevélküldés-reklámcélú tájékoztatás. Az Adatkezelő által közvetlen reklám, marketing tartalmú megkeresések továbbítása ad a.) a honlappal, annak szolgáltatásaival kapcsolatosan, illetve ad b.) az EFOTT Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (székhely: 1053 Budapest, Ferenciek tere 7-8. 1. em. 8., cg.: 01-09-901812)(továbbiakban: EFOTT Kft.) által szervezett EFOTT Fesztivál, Pont Ott Parti, SzezON, Educatio Kiállítás és Winterbreak Sítáborra vonatkozó információkkal kapcsolatosan.
–
6./ Adatkezelés jogalapja és az adatok forrása:
Az adatkezelés jogalapja az érintettek által az adatkezelésre vonatkozó megfelelő tájékoztatás birtokában adott előzetes, önkéntes hozzájárulás.
Az adatok forrásai az érintettek által önkéntesen megadott adatok.
Az érintett személyes adatainak a honlapon regisztrálással, vagy a Tájoló igénybevételével vagy a hírlevélküldés-reklámcélú tájékoztatásra való feliratkozással, a jelen szabályzat ismeretében tett nyilatkozatával kifejezetten hozzájárul, hogy az általa önkéntesen átadott személyes adatait az Adatkezelő, a jelen szabályzatban foglaltaknak megfelelően kezelje.
Az érintett adatkezelési hozzájárulását bármikor, indoklás nélkül írásban, elektronikus küldeményben visszavonhatja.
7./ Az érintettekre vonatkozó adatok, az adatkezelés időtartama:
Az adatkezelés az érintettek alábbi adataira terjed ki:
Honlapon való regisztráció esetén:
- név
- e-mail cím
- érdeklődési körre vonatkozó személyes adatok (megadása nem kötelező)
- végzettségre és oktatási intézményre vonatkozó személyes adatok (megadása nem kötelező)
Tájoló igénybevétele esetén:
- érdeklődési körre vonatkozó személyes adatok
- munkához való hozzáállásra vonatkozó személyes adatok (*** részletes felsorolás)
- személyes tulajdonságok (*** részletes felsorolás)
Hírlevél-reklámcélú tájékoztatásra feliratkozás esetén:
- név,
- e-mail cím.
A fentiek szerinti személyes adatok átadása az Adatkezelő részére a honlapon való regisztráció és többlet szolgáltatás biztosítása a Tájoló használata és a hírlevélküldés-marketing tájékoztatás teljesítésének előfeltétele. Az adatszolgáltatás elmaradása esetén az érintett nem tudja ezeket igénybe venni.
Az adatkezelés a honlapon levő, adatok megadására szolgáló felületek (honlap regisztrációs felülete, a Tájoló személyes tesztjei, hírlevélre való feliratkozó felület) kitöltésével veszi kezdetét és a kitöltéstől számított két év elteltével szűnik meg.
Megszűnik az adatkezelés – azontúl, ha az időtartam lejárt, illetve az érintett adatkezelési hozzájárulását írásban, elektronikus küldeményben visszavonta – akkor is, ha:
- a honlapon való regisztráció esetén a regisztrációját törli (ez esetben a Tájolóra vonatkozólag is),
- Hírlevél-reklámcélú tájékoztatásra vonatkozólag, ha a hírlevélről leiratkozik,
- csak a Tájoló vonatkozásban, ha csak erre kéri a személyes adati törlését.
Az adatkezelési időszak megszűntével az Adatkezelő az érintettek személyes adatait vissza nem állítható módon véglegesen törli.
8./ Adatfeldolgozó
Az Adatkezelő a Life and Career Design Kft. (székhely: 1111 Budapest, Lágymányosi utca 12. fszt. 2.) (továbbiakban: Adatfeldolgozó) részére továbbítja, teszi hozzáférhetővé a kezelt személyes adatokat (kivéve a Hírlevél-reklámcélú tájékoztatásra megadott adatokat).
Az adattovábbítás, hozzáférhetővé tétel kizárólag annak érdekében történik, hogy az Adatfeldolgozó a Tájolót működtető informatikai rendszer esetleges, üzemelés közben fellépő az érintetteket érintő, rájuk vonatkozó hibáit kijavíthassa.
9./ Továbbított adatok
Az Adatkezelő a megjelölt céloktól eltérő célra a személyes adatokat nem használhatja.
Személyes adatokat harmadik személyeknek csak az érintettek előzetest hozzájárulásával adhat át, kivéve az Adatfeldolgozó részére való továbbítást és az esetleges, törvény alapján kötelező adattovábbítás esetét.
10./ Az Adatkezelő munkavállalóinak kötelezettségei az adatkezelés során:
Az Adatkezelő tudomására jutott személyes adatokat kizárólag az Adatkezelőnek a jelen szabályzatban meghatározott adatkezelési célok megvalósításában közreműködő munkavállalói ismerhetik meg, akiket munkaszerződésük, a foglalkoztatásukra vonatkozó jogszabályi rendelkezések, vagy az Adatkezelő utasítása alapján valamennyi, általuk megismert adat tekintetében titoktartási kötelezettség terhel.
Az adatkezelési szabályzat betartása az Adatkezelőre, annak valamennyi munkavállalójára – ideértve a volt munkavállalókat is – (a továbbiakban: munkavállaló) kötelező érvényű az érintettek személyes adatainak kezelése során.
A munkavállaló sem a munkaviszony fennállása alatt, sem annak megszűnése után nem hozhat nyilvánosságra és közölhet más személlyel, illetve tehet hozzáférhetővé más személy számára bármely, a munkaviszony során megismert, az érintettekkel kapcsolatos személyes adatot.
A munkavállaló a munkaviszony során megismert személyes adatot akkor közölheti valamely más munkavállalóval, ha erre a munkavégzés kapcsán szükség van. A munkavállaló a munkaviszony során megismert személyes adatot egyéb harmadik személlyel csak a munkáltatói jogok gyakorlójának az engedélyével közölhet. A munkavállaló a munkaviszony során megismert személyes adatot csak a munkáltatói jogok gyakorlójának engedélyével vihet el, vagy továbbíthat a munkáltató székhelyéről vagy telephelyéről; tekintet nélkül arra, hogy az elvitel mely eszköz igénybe vételével, vagy a továbbítás mely módon történik.
A munkavállaló köteles a munkáltatói jogok gyakorlójának azonnal jelenteni, ha a jelen szabályzat megsértése a tudomására jut.
Az Adatkezelő tevékenységéért, jelen adatkezelési szabályzat betartásáért az ügyvezető a felelős.
11./ Az adatkezelés technikai lebonyolítása:
Az Adatkezelő az érintettek személyes adatait kizárólag elektronikus úton, magyarországi szervereken tárolja.
A személyes adatok sem EGT-államban, sem harmadik országban lévő adatkezelő vagy adatfeldolgozó részére nem kerülnek átadásra.
Az Adatkezelő a személyes adatok biztonságáról megfelelő technikai és szervezési intézkedésekkel gondoskodik. Az Adatkezelő a személyes adatok kezelésére, tárolására szolgáló számítástechnikai berendezéseket megfelelő védelemmel (jelszó, tűzfal) látja el; valamint biztosítja, hogy ezen berendezésekhez csak az arra jogosultak férhessenek hozzá. Az Adatkezelő gondoskodik továbbá arról, hogy a személyes adatok vis maior esetén se sérüljenek, semmisüljenek meg, vagy váljanak megismerhetővé.
12./ Az Érintettek adatkezeléssel kapcsolatos jogai
Az adatkezelés során az Adatkezelő biztosítja az érintettek jogát adataik védelméhez. Az érintetteket megilleti a:
- tájékoztatáshoz való jog: Az érintett jogosult arra, hogy adatainak kezelésére irányuló tevékenység megkezdését megelőzően tájékoztatást kapjon az adatkezeléssel összefüggő információkról.
- hozzáféréshez való jog: Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a releváns információkhoz hozzáférést kapjon (adatkezelés célja, érintett személyes adatok, személyes adatok tárolásának időtartama, stb.)
- helyesbítéshez és törléshez való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az érintett kifejezett hozzájárulását visszavonta, illetve az adatkezelés célja egyéb okból megszűnt. Kivéve, ha a jogszabályokra figyelemmel az adatokat őrizni kell. A fentiek mellet azonban a jogszabály szerint nem, vagy az erre vonatkozó kérelem időpontjában még nem törölhető adatokat az Adatkezelő tovább kezeli.
- az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha vitatja a személyes adatok pontosságát (ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát); az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; az Adatkezelő már nincs szüksége a személyes adatokra adatkezelés céljából, de Az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
- személyes adatok helyesbítéséhez, vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség: Az Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
- adathordozhatósághoz való jog: Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa.
- tiltakozáshoz való jog: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében megvalósuló adatkezelése, illetve az Adatkezelő, vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés ellen (a rendelet 6. cikk (1) bekezdésének e) vagy f) pontján alapuló adatkezelés), ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek Az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
- automatizált döntéshozatal alóli mentesség joga: Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
- panasztételhez és jogorvoslathoz való jog: Az érintett a GDPR 77. cikke alapján jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-t.
Továbbá az Infotv. 22. §-a alapján felügyeleti hatóság vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az Adatkezelő a fentebbi jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja, valamint felügyeleti hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.
Panasztételhez való jogát az Érintett az alábbi elérhetőségeken gyakorolhatja:
Nemzeti Adatvédelmi és Információszabadság Hatóság; cím: 1055 Budapest, Falk Miksa utca 9-11.; Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410; www: http://www.naih.hu; email: ugyfelszolgalat@naih.hu
Az érintett az előbbieken túl tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint törvényben meghatározott egyéb esetben. Az Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.
A fenti jogosultságok részletezését az Infotv. 14-19. §, illetve 21-22. § szakaszai tartalmazzák. Az Érintett a jogainak megsértése esetén, illetve az Infotv.-ben meghatározott egyéb esetekben bírósághoz fordulhat (Infotv. 23. §). A per elbírálása a Törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
13./ Adatvédelmi incidens
Az „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Adatvédelmi incidens bekövetkezése esetén az incidenst vagy annak nyomait megfelelően rögzíteni kell, és haladéktalanul tájékoztatni szükséges a bekövetkezett incidensről az ügyvezetőt, egyidejűleg az Adatkezelő valamennyi tagja, munkavállalója köteles megtenni a kárenyhítéshez, illetve a nyomok rögzítéséhez szükséges valamennyi intézkedést, így különösen adatok mentését, helyreállítását kérni az érintett szolgáltatóktól, álnevesítést vagy titkosítást kezdeményezni, az Adatkezelő által esetlegesen üzemeltetett kamerák felvételeit megvizsgálni. A jelen pont szerinti kötelezettségek az esetleges adatfeldolgozót is terhelik az általa kezelt személyes adatokkal kapcsolatos incidens esetén.
Az előbbi bekezdés szerinti tájékoztatásnak különösen ki kell terjednie az adatvédelmi incidens jellegére, az érintett személyes adatok körére, az érintettek számára, a károsodás, az esetleges illetéktelen hozzáférés súlyosságára, a további lehetséges következményekre és a szükséges további intézkedésekre. A tájékoztatással nem lehet arra figyelemmel késleltetni, hogy további információk szerzése szükséges.
Az ügyvezető haladéktalanul köteles részletesen megvizsgálni az adatvédelmi incidenst. Ennek során mindazon személyek, akikre a jelen szabályzat személyi hatálya kiterjed, kötelesek az ügyvezető rendelkezésére állni a vizsgálat során és részletes információkat szolgáltatni.
Az ügyvezető az incidens bekövetkezésétől számított 36 órán belül – illetve amennyiben az incidensről való tudomásszerzésre csak később kerül sor, a tudomásszerzéstől számított 36 órán belül – köteles az ún. incidens nyilvántartás kitöltött és aláírt példányát szkennelve, elektronikus úton megküldeni az Adatkezelő tulajdonosa részére vagy ennek lehetetlenülése esetén az incidensről más módon tájékoztatást adni.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, vagy az adatvédelmi hatóság így rendelkezik, az ügyvezető köteles haladéktalanul tájékoztatni az érintetteket az adatvédelmi incidens bekövetkezéséről.
A tájékoztatásnak legalább a következőkre ki kell terjednie:
- az adatvédelmi incidens bekövetkezésének időpontja, körülményei;
- az incidens jellege (pl. fertőzés, hackertámadás, adathordozó elvesztése, stb. következtében adatok megsemmisülése, elvesztése, illetéktelen személyek számára hozzáférhetővé válása);
- annak becslése, hogy incidens milyen következményekkel jár az érintettek jogaira, szabadságaira, milyen súlyos a bekövetkezett sérelem;
- a kár vagy sérelem orvoslására vagy elhárítására tett vagy tenni tervezett intézkedések leírása;
Az előbbi bekezdés szerinti tájékoztatást tömör, átlátható, érthető formában, világosan és közérthetően megfogalmazva kell megtenni. A tájékoztatás díjmentes.
Nem kell az Érintetteket tájékoztatni az adatvédelmi incidensről a következő esetekben:
- az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy Az Érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket az Adatkezelő Applikációjában kiadott közlemény útján kell tájékoztatni.
Az incidensről a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) is értesíteni szükséges. A tájékoztatást, elektronikus úton szükséges megküldeni a NAIH email címére az incidens bekövetkezésétől számított 72 órán belül. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. A tájékoztatást az ügyvezető teszi meg.
Nem szükséges az incidens bejelentése a NAIH-hoz, amennyiben az incidens valószínűsíthetően nem jár kockázattal Az Érintettek jogaira és szabadságaira nézve.
14./ A hírlevélküldés-reklámcélú tájékoztatásra vonatkozó különös szabályok
Az Adatkezelő az érintettek részére elsősorban az adatkezelés céljával, a honlappal kapcsolatos szolgáltatásokkal összefüggő, a szolgáltatások igénybevétele érdekében felmerülő információkat tartalmazó üzenetet küld. Továbbá az EFOTT Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (székhely: 1053 Budapest, Ferenciek tere 7-8. 1. em. 8., cg.: 01-09-901812)(továbbiakban: EFOTT Kft.) által szervezett EFOTT Fesztiválra vonatkozó információkkal kapcsolatosan.
Az érintett ugyanakkor tudomásul veszi, hogy a hírlevél-szolgáltatásra való feliratkozás egyben a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (1) bekezdés szerinti hozzájárulásnak minősül, ami alapján az Adatkezelő jogosult az érintett megadott elektronikus levélcímére közvetlenül reklám, marketing tartalmú megkereséseket továbbítani. Az érintett a hírlevél-szolgáltatásra való feliratkozással kifejezetten hozzájárul ahhoz, hogy részére az Adatkezelő az általa nyújtott szolgáltatásokkal kapcsolatos híreket, hírleveleket, reklámokat, promóciós ajánlatokat küldjön.
Amennyiben az érintett nem kíván a jövőben reklámnak minősülő üzeneteket kapni, ezt az Adatkezelő által küldött hírlevélben felkínált lehetőség igénybevételével lemondhatja, valamint személyesen vagy az Adatkezelőnek címzett postai, illetve elektronikus levélben kifejezetten megtilthatja a reklám tartalmú megkeresések küldését.
15./ Záró rendelkezések
A honlap felkeresése esetén a Fogyasztó IP-címe regisztrálásra kerülhet, a honlap üzemeltetése során használt informatikai megoldások azonban nem teszik lehetővé, hogy az Adatkezelő a Fogyasztó személyes adataihoz hozzáférjen, ezen adatok kizárólag a honlap fejlesztése, az azon keresztül elérhető szolgáltatások javítása érdekében kerülnek felhasználásra (statisztikák és elemzések készítésére).
A weboldal az első látogatás során ún. “cookie”-t telepíthet a Fogyasztó számítógépének, telefonjának merevlemezén, memóriájában annak érdekében, hogy az oldal további felkeresése esetén a lap tartalma és a barangolás, navigálás gyorsabbá és egyszerűbbé váljon. A “cookie” letöltésének megtagadása esetén a lap egyes elemei esetlegesen nem válnak megjeleníthetővé.
Harmadik fél által üzemeltetett honlapokkal sütiket nem cserél az Adatkezelő, és nem engedi azokat saját honlapjára.
A Google analitika (Google analytics) működése az Adatkezelő honlapjával kapcsolatosan engedélyezett. Ezáltal információkat kap arról, hogy a honlap látogatói miként használják az oldalt. A honlap látogatási szokásait a Google analitika anonimizált felhasználók alapján állítja össze. Az Adatkezelő nem engedélyezi, hogy a Google az érintett átadott adatait felhasználja (akár saját céljaira felhasználja vagy bárkivel megossza).
Az Adatkezelő fenntartja a jogot arra, hogy értesítés nélkül bármikor változtatásokat és javításokat hajtson végre a honlapon, illetve a honlapot vagy az azon közölt információkat részben vagy egészben megszüntesse. Az Adatkezelő nem garantálja a honlaphoz való hozzáférés folyamatosságát és hibamentességét, az üzemzavar miatt esetlegesen bekövetkező károkért az Adatkezelő nem vállal felelősséget.
Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni, kivéve, ha a kár a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
A jelen szabályzatban nem rendezett kérdésekben a Polgári törvénykönyvről szóló 2013. évi V. törvény, 2011. évi CXII. törvény, az információs önrendelkezési jogról és az információszabadságról, az Európai Parlament és Tanács (EU) 2016/679 sz. rendelete (GDPR) és a vonatkozó egyéb jogszabályok rendelkezései az irányadók.
Jelen adatkezelési szabályzat napjától visszavonásig érvényes.
Budapest, 2023. január 11.
HÖOK Közhasznú Nonprofit Kft. képviseli: Dr. Lasztovicza Gábor ügyvezető |