.svg)
.svg)
ADATKEZELÉSI TÁJÉKOZTATÓ
AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL
SZEMÉLYES ADATAI KEZELÉSE VONATKOZÁSÁBAN
BEVEZETÉS
A természetes személyeknek a személyesadatok kezelése tekintetében történő védelméről és az ilyen adatok szabadáramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (a továbbiakban:Rendelet) előírásai szerint az Adatkezelő megfelelő intézkedéseket hozannak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó,minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhetőformában, világosan és közérthetően megfogalmazva nyújtsa, továbbá hogy azAdatkezelő elősegíti az érintett jogainak a gyakorlását.
Az érintett előzetes tájékoztatási kötelezettségét az információsönrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény iselőírja.
Az alábbiakban olvasható tájékoztatással e jogszabályikötelezettségünknek teszünk eleget.
A tájékoztatást közzé kell tenni a társaság honlapján, vagy azérintett személy részére kérésére meg kell küldeni.
I. FEJEZET
AZ ADATKEZELŐ MEGNEVEZÉSE
E tájékoztatás kiadója, egyben az Adatkezelő:
Cégnév: Nest-IT Tanácsadó és Szolgáltató Korlátolt Felelősségű Társaság
Székhely: 2096 Üröm, Tüzér utca 3.
Cégjegyzékszám: 13-09-191347
Adószám: 23084791-2-13
Képviselő: Szép Attila
Telefonszám: (+36 1) 237 8050
Fax: (+36 1) 237 8059
E-mail cím: info@nestit.hu
Honlap: www.nestit.hu
(a továbbiakban: Társaság)
II. FEJEZET
AZ ADATFELDOLGOZÓK
Adatfeldolgozó:az a természetes vagy jogi személy,közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelőnevében személyes adatokat kezel (Rendelet 4. cikk 8.).
Az adatfeldolgozó igénybevételéhez nem kell az érintett előzetesbeleegyezése, de szükséges a tájékoztatása. Ennek megfelelően amennyibenTársaságunk adatfeldolgozót vesz igénybe az érintett adatainak kezelése körében(ideértve többek között a Társaság számára IT, könyvviteli, csomagküldő vagyvagyonvédelmi szolgáltatatást nyújtó társaságokat), úgy az adatfeldolgozóadatairól az érintettet tájékoztatja.
III. FEJEZET
MUNKAVISZONNYALKAPCSOLATOS ADATKEZELÉS
1. Munkaügyi, személyzeti nyilvántartás
(1) A munkavállalóktól kizárólag olyanadatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosialkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez,fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításáhozszükségesek és a munkavállaló személyhez fűződő jogait nem sértik.
(2) A Társaság munkáltatói jogos érdekeinekérvényesítése [Rendelet 6. cikk (1) bekezdése f) pont] jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljábólkezeli a munkavállaló alábbi adatait:
1. név
2. születési név
3. születési hely és idő
4. anyja neve
5. lakcím
6. állampolgárság
7. adóazonosító jel
8. társadalombiztosítási azonosító szám
9. nyugdíjas törzsszám (nyugdíjas munkavállalóesetén),
10. telefonszám
11. e-mail cím
12. személyi igazolvány szám
13. lakcímet igazoló hatósági igazolvány szám
14. bankszámlaszám
15. online azonosító (ha van)
16.munkába lépés kezdő és befejező időpontja
17.munkakör
18.iskolai végzettségét, szakképzettségétigazoló okmány kivonatolt másolata, vagy lényeges adatai
19. fénykép
20.önéletrajz
21.munkabér összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok
22.a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbelihozzájárulása alapján levonandó tartozás, illetőleg ennek jogosultsága
23.a munkavállaló munkájának értékelése
24.a munkaviszony megszűnésének módja, indokai
25.a munkaköri alkalmassági vizsgálatok összegzése
26.magán-nyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén apénztár megnevezése, azonosító száma és a munkavállaló tagsági száma
27.külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazolódokumentummegnevezése és száma,
28.a munkavállalót ért balesetek jegyzőkönyveiben rögzített adatok
29.a jóléti szolgáltatás, kereskedelmi szálláshely igénybe vételéhez szükségesadatok
30.a Társaságnál biztonsági és vagyonvédelmi célból alkalmazott kamera ésbeléptető rendszer, illetve a helymeghatározó rendszerek által rögzítettadatokat.
(3) Betegségre és szakszervezeti tagságára vonatkozóadatokat a munkáltató Társaság csak a Munka Törvénykönyvben meghatározott jog,vagy kötelezettség teljesítése céljából kezel.
(4) A személyes adatok címzettjei: a munkáltató Társaság vezetője, munkáltatói jogkörgyakorlója, a Társaság munkaügyi feladatokat ellátó munkavállalói és adatfeldolgozói.
(5) A Társaság tulajdonosai részére csak a vezető állású munkavállalók személyesadatai továbbíthatóak.
(6) A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 5év, míg a foglalkozás egészségügyi adatok tárolásának időtartama az egészségügyi dokumentáció részeként az adatfelvételtől számított legalább 30év, a zárójelentés részeként legalább 50 év. A Társaság ugyanakkor köteles jogikötelezettség teljesítése jogalapján a munkavállaló biztosítási jogviszonyával kapcsolatos munkaügyi és társadalombiztosítási iratokat a munkavállalójára, vagy volt munkavállalójára irányadó öregségi nyugdíjkorhatár betöltését követő5 évig megőrizni.
(7) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul.
2. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés, különleges adatok kezelése
(1) A munkavállalóval szemben csak olyan alkalmasságivizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagya mely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a munkavállalókat többek között arról, hogy az alkalmasságivizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálatelvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is..
(2) A munkaalkalmasságra,felkészültségre irányuló tesztlapok a munkáltató mind a munkaviszony létesítéseelőtt, mind pedig a munkaviszony fennállása alatt kitöltetheti amunkavállalókkal.
(3) Az egyértelműenmunkaviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása,megszervezése érdekében csak akkor tölthető ki a munkavállalók nagyobbcsoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmastesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyeskonkrét munkavállalókhoz, vagyis anonim módon történik az adatok feldolgozása.
3. Felvételre jelentkező munkavállalók adatainak kezelése, pályázatok, önéletrajzok
(4) A kezelhető személyes adatok köre: a munkakörialkalmasság ténye, és az ehhez szükséges feltételek.
(5) Az adatkezelés jogalapja: a munkaszerződés teljesítése,illetőleg a munkáltató jogos érdeke.
(6) Aszemélyes adatok kezelésének célja: munkaviszony létesítése,fenntartása, munkakör betöltése.
(7) Aszemélyes adatok címzettjei, illetve a címzettek kategóriái: Avizsgálat eredményét a vizsgált munkavállalók, illetve a vizsgálatot végzőszakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg,hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyenfeltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljesdokumentációját azonban a munkáltató nem ismerheti meg.
(8)A személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 5év.
(9)Különleges adat csak a Rendelet 9. cikk (2) bekezdésében fennálló kivételekesetén kezelhető. A Társaság ilyen különleges adatot elsősorban az érintettkifejezett hozzájárulása, valamint abban az esetben kezel, ha az adatkezelésmegelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállalómunkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyivagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagyszociális rendszerek és szolgáltatások irányítása érdekében szükséges.
(1) A kezelhető személyes adatok köre: atermészetes személy neve, születési ideje, helye, anyja neve, lakcím,képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készítettmunkáltatói feljegyzés (ha van).
(2) Aszemélyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, akiválasztottal munkaszerződés kötése. Az érintettet tájékoztatnikell arról, ha a munkáltató nem őt választotta az adott állásra.
(3) Azadatkezelés jogalapja: az érintett hozzájárulása a Rendelet 6. cikk (1)bekezdésének a) pontja szerint.
(4) A személyes adatok címzettjei,illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok gyakorlásárajogosult vezető, munkaügyi feladatokat ellátó munkavállalók.
(5) A személyes adatok tárolásának időtartama: Ajelentkezés, illetve pályázat elbírálását követő 90 napig tárolja a Társaság. Aki nem választott jelentkezők személyes adatait ajelentkezés/pályázat elbírálását követő 90 napon belül törölni kell. Azonérintett adatait, aki jelentkezését, pályázatát visszavonta, a visszavonásróltörténő tájékoztatásról történő értesülést követő 3 munkanapon belül törölnikell.
(6) A munkáltató csak az érintettkifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg apályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban állóadatkezelési célja elérése érdekében szükség van. Ezt a hozzájárulást a felvételieljárás lezárását követően kell kérni a jelentkezőktől.
IV. FEJEZET
SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
1. Szerződő partnerek adatainak kezelése –vevők, szállítók nyilvántartása
(1) A Társaság szerződés teljesítése jogcímén aszerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtásacéljából kezeli a vele vevőként, szállítóként szerződött természetes személynevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosítójelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyiigazolvány számát, lakcímét, székhely,telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát,vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők,szállítók listája, törzsvásárlási listák), Ezen adatkezelés jogszerűnek minősülakkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintettkérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei:a Társaság ügyfélkiszolgálással kapcsolatosfeladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátómunkavállalói, és adatfeldolgozói. Aszemélyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
(2) Az érintett természetes személlyel azadatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződésteljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Azérintettet személyes adatai adatfeldolgozó részére történő átadásáróltájékoztatni kell
2. Jogi személy ügyfelek, vevők, szállítóktermészetes személy képviselőinek elérhetőségi adatai
(1) A kezelhető személyes adatok köre: a természetesszemély neve, címe, telefonszáma, e-mail címe, online azonosítója.
(2) A személyes adatok kezelésének célja: a Társaságjogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás,jogalapja: a szerződés teljesítése, jogos érdek, illetőleg az érintetthozzájárulása.
(3) A személyes adatok címzettjei,illetve a címzettek kategóriái: a Társaság ügyfélszolgálattalkapcsolatos feladatokat ellátó munkavállalói.
(4) A személyes adatok tárolásának időtartama: azüzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő5 évig.
V.FEJEZET
JOGIKÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
(1) A Társaság jogi kötelezettségteljesítése jogcímén, a hatályos jogszabályokban előírt adó és számvitelikötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként,szállítóként vele üzleti kapcsolatba lépő természetes személyek törvénybenmeghatározott adatait.
(2) A megadott adatok számviteli,adózási célú kezelésének jogalapja jogi kötelezettség teljesítése, ebben akörben az adattárolás időtartama a jogalapot adó jogviszony megszűnését követő8 év.
(3) A személyes adatokcímzettjei: a Társaság adózási, könyvviteli, bérszámfejtési,társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
2. Kifizetői adatkezelés
(1) A Társaság jogi kötelezettségteljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségekteljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként veleüzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.A kezelt adatok az általános forgalmi adóról szóló 2007. évi CXXVII. tv. 169.§,és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, aszámvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdaságiműveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és arendelkezés végrehajtását igazoló személy, valamint a szervezettől függően azellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelésibizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyijövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolványszáma, őstermelői igazolvány száma, adóazonosító jel.
(2) A személyes adatok tárolásának időtartama a jogalapot adójogviszony megszűnését követő 8 év.
(3) A személyes adatokcímzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási(kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
3. A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés
(1) A Társaság jogi kötelezettségeteljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és amagánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltáritörvény) szerint maradandó értékűnek minősülő iratait abból a célból, hogy a Társaságirattári anyagának maradandó értékű része épségben és használható állapotban ajövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltárrészére történő átadásig.
(2) A személyes adatokcímzettjeire és az adatkezelés egyéb kérdéseire a Levéltári törvény irányadó.
VI. FEJEZET
JOGOS ÉRDEKEN ALAPULÓ ADATKEZELÉS
(1) A Társaság a Rendelet 6. cikkf) pontja alapján jogosult személyes adatokat kezelni, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinekérvényesítéséhez szükséges.
VII. FEJEZET
ÖSSZEFOGLALÓ TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
E fejezetben az áttekinthetőség ésátláthatóság kedvéért röviden összefoglaljuk az érintett jogait, amelyekgyakorlására vonatkozó részletes tájékoztatást a következő fejezetben adjukmeg.
Előzetes tájékozódáshoz valójog
Azérintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről ésinformációkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy azadatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainakkezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosultarra, hogy a személyes adatokhoz és a Rendeletben meghatározott kapcsolódóinformációkhoz hozzáférést kapjon.
A helyesbítéshez való jog
Az érintett jogosult arra, hogykérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozópontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, azérintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellettkiegészítő nyilatkozat útján történő – kiegészítését.
A törléshez való jog („az elfeledtetéshez való jog”)
Az érintettjogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkültörölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra,hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkültörölje, ha a Rendeltben meghatározott indokok valamelyike fennáll.
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogykérésére az adatkezelő korlátozza az adatkezelést ha a rendeltben meghatározottfeltételek teljesülnek.
A személyes adatok helyesbítéséhez vagy törléséhez, illetve azadatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyancímzettet tájékoztat valamennyi helyesbítésről, törlésről vagyadatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatotközölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagyerőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja ecímzettekről.
Az adathordozhatósághoz való jog
A Rendeletben írt feltételekkel azérintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelőrendelkezésére bocsátott személyes adatokat tagolt, széles körben használt,géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket azadatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az azadatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
Az adatok hordozhatóságához valójelen pont szerinti jog gyakorlása során az érintett jogosult arra, hogy – haez technikailag megvalósítható – kérje a személyes adatok adatkezelők közöttiközvetlen továbbítását.
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy asaját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainaka Rendelet 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen,ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben azesetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha azadatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okokindokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival ésszabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez,érvényesítéséhez vagy védelméhez kapcsolódnak.
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Az érintett jogosult arra, hogy neterjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve aprofilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járnavagy őt hasonlóképpen jelentős mértékben érintené.
Korlátozások
Az adatkezelőre vagyadatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotásiintézkedésekkel korlátozhatja a Rendelet 12–22. cikkében és a 34. cikkébenfoglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkelösszhangban lévő rendelkezései tekintetében a Rendelet 5. cikkében foglaltjogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja azalapvető jogok és szabadságok lényeges tartalmát és megfelel a Rendelet 23.cikkében foglalt rendelkezéseknek.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidensvalószínűsíthetően magas kockázattal jár a természetes személyek jogaira ésszabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatjaaz érintettet az adatvédelmi incidensről.
A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathozvaló jog)
Az érintett jogosult arra, hogypanaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodásihelye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban–, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelésemegsérti a Rendeletet.
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
Minden természetes és jogi személyjogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó,jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nemfoglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja azérintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagyannak eredményéről.
Azadatkezelővel vagy az adatfeldolgozóval szembeni hatékony bíróságijogorvoslathoz való jog
Minden érintett hatékony bíróságijogorvoslatra jogosult, ha megítélése szerint a személyes adatainak aRendeletnek nem megfelelő kezelése következtében megsértették a Rendeletszerinti jogait.
A részletszabályokról a következő fejezetben adunk tájékoztatást.
VIII. FEJEZET
RÉSZLETES TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
Előzetes tájékozódáshoz valójog
Azérintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről ésinformációkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon
A) Rendelkezésre bocsátandó információk, ha a személyes adatokataz érintettől szerzik be
1. Ha az érintettre vonatkozószemélyes adatokat az érintettől szerzik be, az adatkezelő a személyes adatokmegszerzésének időpontjában az érintett rendelkezésére bocsátja a következőinformációk mindegyikét:
a) az adatkezelőnek és – ha vanilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselőelérhetőségei, ha van ilyen;
c) a személyes adatok tervezettkezelésének célja, valamint az adatkezelés jogalapja;
d) a Rendelet 6. cikk (1)bekezdésének f) pontján (jogos érdek érvényesítés) alapuló adatkezelés esetén,az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyesadatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogyaz adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánjatovábbítani a személyes adatokat, továbbá a Bizottság megfelelőségihatározatának léte vagy annak hiánya, vagy a Rendelet 46. cikkben, a 47. cikkbenvagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbításesetén a megfelelő és alkalmas garanciák megjelölése, valamint az azokmásolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére valóhivatkozás.
2. Az 1. pontban említett információk mellett az adatkezelő a személyesadatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes ésátlátható adatkezelést biztosítsa, az érintettet a következő kiegészítőinformációkról tájékoztatja:
a) a személyes adatok tárolásánakidőtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásánakszempontjairól;
b) az érintett azon jogáról, hogykérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz valóhozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, éstiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintettadathordozhatósághoz való jogáról;
c) a Rendelet 6. cikk (1)bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2)bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés eseténa hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érintia visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelésjogszerűségét;
d) a felügyeleti hatósághozcímzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adatszolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagyszerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e aszemélyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkeljárhat az adatszolgáltatás elmaradása;
f) a Rendelet 22. cikk (1) és (4)bekezdésében említett automatizált döntéshozatal ténye, ideértve aprofilalkotást is, valamint legalább ezekben az esetekben az alkalmazottlogikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelésmilyen jelentőséggel, és az érintettre nézve milyen várható következményekkelbír.
3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célbóltovábbi adatkezelést kíván végezni, a további adatkezelést megelőzőentájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésbenemlített minden releváns kiegészítő információról.
4. Az 1-3. pontok nem alkalmazandó, ha ésamilyen mértékben az érintett már rendelkezik az információkkal.
B) Rendelkezésre bocsátandó információk, ha a személyes adatokatnem az érintettől szerezték meg
1. Ha a személyes adatokat nem azérintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja akövetkező információkat:
a) az adatkezelőnek és – ha vanilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselőelérhetőségei, ha van ilyen;
c) a személyes adatok tervezettkezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatokkategóriái;
e) a személyes adatok címzettjei,illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogyaz adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetköziszervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottságmegfelelőségi határozatának léte vagy annak hiánya, vagy a Rendelet 46.cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésébenemlített adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése,valamint az ezek másolatának megszerzésére szolgáló módokra vagy azelérhetőségükre való hivatkozás.
2. Az 1. pontban említettinformációk mellett az adatkezelő az érintett rendelkezésére bocsátja azérintettre nézve tisztességes és átlátható adatkezelés biztosításához szükségeskövetkező kiegészítő információkat:
a) a személyes adatok tárolásánakidőtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásánakszempontjai;
b) ha az adatkezelés a Rendelet 6.cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az adatkezelő vagyharmadik fél jogos érdekeiről;
c) az érintett azon joga, hogykérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz valóhozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, éstiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághozvaló joga;
d) a Rendelet 6. cikk (1)bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján(az érintett hozzájárulása) alapulóadatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához valójog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtottadatkezelés jogszerűségét;
e) a valamely felügyeletihatósághoz címzett panasz benyújtásának joga;
f) a személyes adatok forrása ésadott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokbólszármaznak-e; és
g) a Rendelet 22. cikk (1) és (4)bekezdésében említett automatizált döntéshozatal ténye, ideértve aprofilalkotást is, valamint legalább ezekben az esetekben az alkalmazottlogikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelésmilyen jelentőséggel, és az érintettre nézve milyen várható következményekkelbír.
3. Az adatkezelő az 1. és 2. pontszerinti tájékoztatást az alábbiak szerint adja meg:
a) a személyes adatok kezelésénekkonkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétőlszámított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat azérintettel való kapcsolattartás céljára használják, legalább az érintettel valóelső kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel isközlik az adatokat, legkésőbb a személyes adatok első alkalommal valóközlésekor.
4. Ha az adatkezelő a személyesadatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a 2. pontban említett minden releváns kiegészítőinformációról.
5. Az 1-5. pontot nem kell alkalmazni, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet 89. cikk (1)bekezdésében foglalt feltételek és garanciák figyelembevételével végzettadatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említettkötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosanelérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogosérdekeinek védelme érdekében;
c) az adat megszerzését vagyközlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállamijog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelőintézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamelyuniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján,ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnakkell maradnia.
Az érintett hozzáférési joga
1. Az érintett jogosult arra, hogyaz adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyesadatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van,jogosult arra, hogy a személyes adatokhoz és a következő információkhozhozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatokkategóriái;
c) azon címzettek vagy címzettekkategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagyközölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve anemzetközi szervezeteket;
d) adott esetben a személyesadatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezenidőtartam meghatározásának szempontjai;
e) az érintett azon joga, hogykérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését,törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyesadatok kezelése ellen;
f) a valamely felügyeletihatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem azérintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a Rendelet 22. cikk (1) és (4)bekezdésében említett automatizált döntéshozatal ténye, ideértve aprofilalkotást is, valamint legalább ezekben az esetekben az alkalmazottlogikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelésmilyen jelentőséggel bír, és az érintettre nézve milyen várhatókövetkezményekkel jár.
2. Ha személyes adatoknak harmadikországba vagy nemzetközi szervezet részére történő továbbítására kerül sor, azérintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan aRendelet 46. cikk szerinti megfelelő garanciákról.
3. Az adatkezelő az adatkezeléstárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja.Az érintett által kért további másolatokért az adatkezelő az adminisztratívköltségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintettelektronikus úton nyújtotta be a kérelmet, az információkat széles körbenhasznált elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha azérintett másként kéri. A másolat igénylésére vonatkozó jog nem érinthetihátrányosan mások jogait és szabadságait.
A törléshez való jog („az elfeledtetéshez való jog”)
1. Az érintett jogosult arra, hogykérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozószemélyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettrevonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha azalábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincsszükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja aRendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a)pontja értelmében az adatkezelés alapját képező hozzájárulását, és azadatkezelésnek nincs más jogalapja;
c) az érintett a Rendelet 21. cikk(1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbségetélvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdésealapján tiltakozik az adatkezelés ellen;
d) a személyes adatokatjogellenesen kezelték;
e) a személyes adatokat azadatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettségteljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére aRendelet 8. cikk (1) bekezdésében említett, információs társadalommalösszefüggő szolgáltatások kínálásával kapcsolatosan került sor.
2. Ha az adatkezelő nyilvánosságrahozta a személyes adatot, és az előbbi 1. pont értelmében azt törölni köteles,az elérhető technológia és a megvalósítás költségeinek figyelembevételévelmegteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket– annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy azérintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagye személyes adatok másolatának, illetve másodpéldányának törlését.
3. Az 1. és 2. pont nemalkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánításszabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelésételőíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerintikötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházottközhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a Rendelet 9. cikk (2)bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően anépegészségügy területét érintő közérdek alapján;
d) a Rendelet 89. cikk (1)bekezdésével összhangban a közérdekű archiválás céljából, tudományos éstörténelmi kutatási célból vagy statisztikai célból, amennyiben az 1. pontbanemlített jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetnéezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez,érvényesítéséhez, illetve védelméhez.
Az adatkezelés korlátozásához való jog
1. Az érintett jogosult arra, hogykérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyiketeljesül:
a) az érintett vitatja a személyesadatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik,amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatokpontosságát;
b) az adatkezelés jogellenes, ésaz érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásánakkorlátozását;
c) az adatkezelőnek már nincsszüksége a személyes adatokra adatkezelés céljából, de az érintett igényliazokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a Rendelet 21. cikk(1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozásarra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy azAdatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaivalszemben.
2. Ha az adatkezelés az 1. pont alapján korlátozás alá esik, az ilyenszemélyes adatokat a tárolás kivételével csak az érintett hozzájárulásával,vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy mástermészetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetvevalamely tagállam fontos közérdekéből lehet kezelni.
3. Az adatkezelő az érintettet, akinek a kérésére az 1. pont alapjánkorlátozták az adatkezelést, az adatkezelés korlátozásának feloldásárólelőzetesen tájékoztatja.
Az adathordozhatósághoz való jog
1. Az érintett jogosult arra, hogya rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyesadatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja,továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnektovábbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyesadatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés a Rendelet 6.cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontjaszerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerintiszerződésen alapul; és
b) az adatkezelés automatizáltmódon történik.
2. Az adatok hordozhatóságához való jog 1. pont szerinti gyakorlása soránaz érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje aszemélyes adatok adatkezelők közötti közvetlen továbbítását.
3. E jog gyakorlása nem sértheti aRendelet 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha azadatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványaigyakorlásának keretében végzett feladat végrehajtásához szükséges.
4. Az 1. pontban említett jog nemérintheti hátrányosan mások jogait és szabadságait.
A tiltakozáshoz való jog
1. Az érintett jogosult arra, hogya saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyesadatainak a Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelésközérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásánakkeretében végzett feladat végrehajtásához szükséges) vagy f) pontján (azadatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinekérvényesítéséhez szükséges) alapuló kezelése ellen, ideértve az említettrendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő aszemélyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja,hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyekelsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaivalszemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagyvédelméhez kapcsolódnak.
2. Ha a személyes adatok kezeléseközvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogybármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezeléseellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshezkapcsolódik.
3. Ha az érintett tiltakozik aszemélyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkora személyes adatok a továbbiakban e célból nem kezelhetők.
4. Az 1. és 2. pontokban említettjogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezettenfel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműenés minden más információtól elkülönítve kell megjeleníteni.
5. Az információs társadalommal összefüggő szolgáltatások igénybevételéhezkapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshozvaló jogot műszaki előírásokon alapuló automatizált eszközökkel isgyakorolhatja.
6. Ha a személyes adatokkezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmikutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra,hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozószemélyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okbólvégzett feladat végrehajtása érdekében van szükség.
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
1. Az érintett jogosult arra, hogyne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve aprofilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járnavagy őt hasonlóképpen jelentős mértékben érintené.
2. Az 1. pont nem alkalmazandóabban az esetben, ha a döntés:
a) az érintett és az adatkezelőközötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőrealkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintettjogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgálómegfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezetthozzájárulásán alapul.
3. A 2. pont a) és c) pontjábanemlített esetekben az adatkezelő köteles megfelelő intézkedéseket tenni azérintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében,ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberibeavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogástnyújtson be.
4. A 2. pontban említett döntéseknem alapulhatnak a személyes adatoknak a Rendelet 9. cikk (1) bekezdésébenemlített különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagyg) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogosérdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
(Rendelet 22. cikk)
Korlátozások
1. Az adatkezelőre vagyadatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotásiintézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkbenfoglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkelösszhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok éskötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogokés szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges ésarányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése,nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogiszankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkelszembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállamegyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamelytagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, aköltségvetési és az adózási kérdéseket, a népegészségügyet és a szociálisbiztonságot;
f) a bírói függetlenség és abírósági eljárások védelme;
g) a szabályozott foglalkozásokesetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkelkapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontbanemlített esetekben – akár alkalmanként – a közhatalmi feladatok ellátásáhozkapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme vagy másokjogainak és szabadságainak védelme;
j) polgári jogi követelésekérvényesítése.
2. Az 1. pontban említettjogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznaklegalább:
a) az adatkezelés céljaira vagy azadatkezelés kategóriáira,
b) a személyes adatokkategóriáira,
c) a bevezetett korlátozásokhatályára,
d) a visszaélésre, illetve ajogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
e) az adatkezelő meghatározásáravagy az adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára,valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy azadatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait ésszabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozójogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosanbefolyásolhatja a korlátozás célját.
(Rendelet 23. cikk)
Az érintett tájékoztatása az adatvédelmi incidensről
1. Ha az adatvédelmi incidensvalószínűsíthetően magas kockázattal jár a természetes személyek jogaira ésszabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatjaaz érintettet az adatvédelmi incidensről.
2. Az 1. pontban említett, azérintett részére adott tájékoztatásban világosan és közérthetően ismertetnikell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33.cikk (3) bekezdésének b), c) és d) pontjában említett információkat ésintézkedéseket.
3. Az érintettet nem kell az 1.pontban említettek szerint tájékoztatni, ha a következő feltételek bármelyiketeljesül:
a) az adatkezelő megfelelőtechnikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket azintézkedéseket az adatvédelmi incidens által érintett adatok tekintetébenalkalmazták, különösen azokat az intézkedéseket – mint például a titkosításalkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nemjogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmiincidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogyaz érintett jogaira és szabadságaira jelentett, az 1. pontban említett magaskockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalanerőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosanközzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedéstkell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
4. Ha az adatkezelő még nemértesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság,miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magaskockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatjaa 3. pontban említett feltételek valamelyikének teljesülését.
A felügyeleti hatóságnál történő panasztételhez való jog
1. Az egyéb közigazgatási vagybírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogypanaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodásihelye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban–, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelésemegsérti a Rendeletet.
2. Az a felügyeleti hatóság,amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszalkapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is,hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattalélni.
3. Az érintett a jogainakmegsértése esetén bírósághoz, konkrétan az illetékes törvényszékhez, afővárosban a Fővárosi Törvényszékhez fordulhat az Infotv. 22. §-ábanmeghatározottak szerint.
Jogorvoslati lehetőséggel,panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál is lehetélni:
Név: Nemzeti Adatvédelmi ésInformációszabadság Hatóság
Székhely: 1055 Budapest, FalkMiksa u. 9-11., 1363 Budapest, Pf. 9.
Honlap: www.naih.hu
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu
Afelügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatoksérelme nélkül, minden természetes és jogi személy jogosult a hatékony bíróságijogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejűdöntésével szemben.
2. Az egyéb közigazgatási vagy nembírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult ahatékony bírósági jogorvoslatra, ha a Rendelet 55. vagy 56. cikk alapjánilletékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónaponbelül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszalkapcsolatos eljárási fejleményekről vagy annak eredményéről.
3. A felügyeleti hatósággalszembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bíróságaelőtt kell megindítani.
4. Ha a felügyeleti hatóság olyandöntése ellen indítanak eljárást, amellyel kapcsolatban az egységességimechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntésthozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnakmegküldeni.
Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékonybírósági jogorvoslathoz való jog
1. A rendelkezésre állóközigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük afelügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerintijog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult,ha megítélése szerint a személyes adatainak a Rendeletnek nem megfelelőkezelése következtében megsértették az a Rendelet szerinti jogait.
2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást azadatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bíróságaelőtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásostartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha azadatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörébeneljáró közhatalmi szerve.
IX. FEJEZET
AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE,
AZ ADATKEZELŐ INTÉZKEDÉSEI
1. Az Adatkezelő indokolatlankésedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egyhónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelmenyomán hozott intézkedésekről.
2. Szükség esetén, figyelembe vévea kérelem összetettségét és a kérelmek számát, ez a határidő további kéthónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő akésedelem okainak megjelölésével a kérelem kézhezvételétől számított egyhónapon belül tájékoztatja az érintettet.
3. Ha az érintett elektronikusúton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikusúton kell megadni, kivéve, ha az érintett azt másként kéri.
4. Ha az Adatkezelő nem teszintézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb akérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet azintézkedés elmaradásának okairól, valamint arról, hogy az érintett panasztnyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslatijogával.
5. Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és azérintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműenmegalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő,figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kértintézkedés meghozatalával járó adminisztratív költségekre:
a) 5.000,-Ft összegű díjatszámíthat fel, vagy
b) megtagadhatja a kérelem alapjántörténő intézkedést.
A kérelem egyértelműenmegalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
6. Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétévelkapcsolatban, további, az érintett személyazonosságának megerősítéséhezszükséges információk nyújtását kérheti.
Nest-IT Kft.
.svg)