Frissítve: 2025. június 6.
1. Bevezetés
Jelen Adatvédelmi Tájékoztató (a továbbiakban: „Tájékoztató”) a GUTDENT Egészségügyi és Szolgáltató Kft. (a továbbiakban: „Adatkezelő”) által üzemeltetett www.gutdent.hu weboldalon (a továbbiakban: „Weboldal”) keresztül történő adatkezelési tevékenységekről nyújt részletes tájékoztatást.
Az Adatkezelő kiemelt figyelmet fordít a természetes személyek személyes adatainak védelmére, és valamennyi adatkezelési tevékenységét a vonatkozó jogszabályoknak, különösen az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”) előírásainak megfelelően végzi.
Jelen Tájékoztató célja, hogy részletes, átlátható és érthető információkat biztosítson a Weboldal látogatói, felhasználói és ügyfelei (a továbbiakban együtt: „Érintettek”) számára a személyes adataik kezeléséről, az adatkezelés céljairól, jogalapjáról, időtartamáról, az adatfeldolgozók megnevezéséről, az adatok címzettjeiről, valamint az Érintetteket megillető jogokról és a jogorvoslati lehetőségekről.
Jelen Tájékoztató a https://gutdent.hu/adatvedelmi-nyilatkozat címen érhető el, és annak módosításai a Weboldalon történő közzététellel lépnek hatályba. Az Adatkezelő fenntartja a jogot a Tájékoztató egyoldalú módosítására, amelyről az Érintetteket a Weboldalon történő közzététel útján értesíti.
1.1. Az Adatkezelő és Elérhetőségei
| Név: | GUTDENT Egészségügyi és Szolgáltató Kft. |
| Székhely: | 1121 Budapest, Árnyas út 32-36. E 2. |
| Adószám: | 25589474-1-43 |
| Cégjegyzékszám: | 01-09-283894 |
| Statisztikai számjel: | 25589474 8623 113 01 |
| E-mail: | info@gutdent.hu |
| Telefon: | +36 30 309 6099 |
2. Fogalommeghatározások
Jelen Tájékoztató alkalmazásában az alábbi fogalmak a GDPR-ban és az Infotv.-ben rögzített jelentésükkel bírnak, és az alábbiak szerint értelmezendők:
Személyes adat: Azonosított vagy azonosítható természetes személyre (a továbbiakban: „érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon – különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, illetve a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján – azonosítható.
Adatkezelés: A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelő: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Amennyiben az adatkezelés céljait és eszközeit uniós vagy tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat is az uniós vagy tagállami jog határozhatja meg. Jelen Tájékoztató vonatkozásában az Adatkezelő a GUTDENT Egészségügyi és Szolgáltató Kft.
Adatfeldolgozó: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Címzett: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egyedi vizsgálat keretében az uniós vagy tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek. Az említett adatok e közhatalmi szervek általi kezelése kizárólag az adatkezelés céljainak megfelelően, az alkalmazandó adatvédelmi szabályokkal összhangban történhet.
Az érintett hozzájárulása: Az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Adatvédelmi incidens: A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy azokhoz való jogosulatlan hozzáférést eredményezi.
3. Személyes adatok kezelésére vonatkozó elvek
Az Adatkezelő a személyes adatok kezelése során maradéktalanul betartja a GDPR 5. cikkében rögzített adatkezelési elveket. Ezen elvek képezik az Adatkezelő adatkezelési tevékenységének alapját, és az alábbiak szerint értelmezendők:
a) Jogszerűség, tisztességes eljárás és átláthatóság: A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
b) Célhoz kötöttség: A személyes adatok gyűjtése kizárólag meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem szabad ezen célokkal össze nem egyeztethető módon kezelni. A GDPR 89. cikk (1) bekezdésének megfelelően nem minősül össze nem egyeztethetőnek az eredeti céllal a közérdekű archiválás, tudományos vagy történelmi kutatás, illetve statisztikai célból történő további adatkezelés.
c) Adattakarékosság: Az adatkezelés céljai szempontjából megfelelőek és relevánsak kell legyenek a kezelt személyes adatok, és a szükséges mértékre kell korlátozódniuk.
d) Pontosság: A kezelt személyes adatoknak pontosnak és – szükség esetén – naprakésznek kell lenniük. Az Adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy a pontatlan személyes adatokat az adatkezelés céljaihoz mérten haladéktalanul törölje vagy helyesbítse.
e) Korlátozott tárolhatóság: A személyes adatok tárolásának olyan formában kell történnie, amely lehetővé teszi az érintettek azonosítását csak addig az ideig, ameddig az adatkezelés céljainak eléréséhez szükséges. Hosszabb ideig történő tárolásra kizárólag akkor kerülhet sor, ha a személyes adatok kezelése a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás, tudományos vagy történelmi kutatás, illetve statisztikai célból történik, figyelemmel az érintettek jogainak és szabadságainak védelmére szolgáló megfelelő technikai és szervezési intézkedésekre.
f) Integritás és bizalmas jelleg: A személyes adatok kezelését olyan módon kell végezni, amely megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a jogosulatlan vagy jogellenes kezelés, a véletlen elvesztés, megsemmisülés vagy károsodás elleni védelmet is.
Az Adatkezelő felelős a fentiekben rögzített elvek betartásáért, és köteles biztosítani azok igazolhatóságát (ezen alapelv az „elszámoltathatóság”).
Az Adatkezelő ezúton nyilatkozik, hogy adatkezelési tevékenységeit maradéktalanul a jelen pontban rögzített alapelveknek megfelelően végzi.
4. Egyes adatkezelések
Az Adatkezelő a Weboldalon keresztül többféle célból és jogalap alapján kezel személyes adatokat. Az alábbiakban részletesen bemutatjuk az egyes adatkezelési tevékenységeket.
4.1. Kapcsolatfelvétel (Forminator plugin útján és egyéb csatornákon)
1. Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja, jogalapja: A Weboldalon elhelyezett kapcsolatfelvételi űrlapon (mely a Forminator plugin segítségével valósul meg), valamint egyéb kommunikációs csatornákon (pl. e-mail, telefon) keresztül történő megkeresések során az Adatkezelő az alábbi adatokat kezeli:
| Személyes adat | Az adatkezelés célja | Jogalap |
| Név, e-mail cím, telefonszám | Kapcsolattartás, azonosítás | 6. cikk (1) bekezdés a) és b) pont |
| Vállalkozás formája, könyvelés módja, adózási mód, működő vagy induló vállalkozás, export/import tevékenységet folytat, ÁFA-bevallás gyakorisága, fő tevékenységi kör, munkavállalók száma, bankszámlák száma, kimenő számlák száma/hó, bejövő számlák száma/hó, megjegyzés, üzenet | A szolgáltatással kapcsolatos árajánlatkérés megkönnyítése és személyre szabott árajánlat küldése az érintettek számára | 6. cikk (1) bekezdés b) pont |
| Az üzenetküldés időpontja | Technikai művelet végrehajtása | 6. cikk (1) bekezdés f) pont |
| Az üzenetküldéskori IP cím | Technikai művelet végrehajtása | 6. cikk (1) bekezdés f) pont |
Megjegyzés: Az e-mail cím megadása önmagában nem feltétlenül jelent személyes adatot, azonban ha az érintett nevét vagy más azonosításra alkalmas információt tartalmaz (pl. vezetéknév.keresztnév@domain.hu), akkor személyes adatnak minősül, és arra az adatvédelmi szabályok teljes mértékben vonatkoznak.
2. Az érintettek köre: A Weboldalon keresztül (például a kapcsolatfelvételi űrlapon) üzenetet küldő, vagy egyéb módon kapcsolatot kezdeményező valamennyi természetes személy (érintett).
3. Az adatkezelés időtartama és az adatok törlésének határideje:
– Az üzenetben foglalt ügy lezárásáig, vagy az érintett törlési kérelméig tart az adatkezelés, amely azonban nem haladhatja meg a megkereséstől számított 2 évet, kivéve, ha jogszabály hosszabb tárolási időt ír elő, vagy az adott ügy jellege indokolja (pl. jogvita, szerződés előkészítése, melyből hosszabb tárolási kötelezettség fakad).
– Az IP-címek a rögzítéstől számított 30 nap elteltével automatikusan törlésre kerülnek.
– Az e-mailben kiküldött, az űrlaphoz kapcsolódó értesítések és a hozzájuk tartozó adatok a feladástól számított 2 év elteltével törlődnek.
4. Az adatok megismerésére jogosultak és adatfeldolgozók: A személyes adatokat kizárólag az Adatkezelő (GUTDENT Egészségügyi és Szolgáltató Kft.) arra feljogosított munkavállalói ismerhetik meg és kezelhetik a feladataik ellátásához szükséges mértékben. Adatfeldolgozó igénybevétele esetén az Adatkezelő gondoskodik a megfelelő adatfeldolgozói szerződés megkötéséről és a GDPR-nak való megfelelés biztosításáról.
5. Az érintettek jogai az adatkezeléssel kapcsolatban: Az érintettet a GDPR-ban meghatározott jogok illetik meg, különösen:
– Hozzáféréshez való jog: Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, hozzáférést kapjon a kezelt személyes adatokhoz és az adatkezeléssel kapcsolatos információkhoz.
– Helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
– Törléshez való jog („elfeledtetéshez való jog”): Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, amennyiben a GDPR 17. cikk (1) bekezdésében meghatározott feltételek valamelyike fennáll (pl. az adatokra már nincs szükség abból a célból, amiért gyűjtötték, vagy az érintett visszavonja hozzájárulását, és nincs más jogalap az adatkezelésre).
– Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, amennyiben a GDPR 18. cikk (1) bekezdésében meghatározott feltételek valamelyike fennáll (pl. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg az Adatkezelő ellenőrzi a személyes adatok pontosságát).
– Adathordozhatósághoz való jog: Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, amennyiben az adatkezelés hozzájáruláson vagy szerződésen alapul, és automatizált módon történik.
– Hozzájárulás visszavonásához való jog: Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
6. Az érintettek jogainak gyakorlása: Az érintett a fenti jogait az Adatkezelő alábbi elérhetőségein keresztül gyakorolhatja:
– Postai úton: GUTDENT Egészségügyi és Szolgáltató Kft., 1121 Budapest, Árnyas út 32-36. E 2.
– E-mailben: info@gutdent.hu
– Telefonon: +36 30 309 6099
7. Egyéb fontos tudnivalók:
– A kapcsolatfelvétel során a megadott személyes adatok kezelése az érintett önkéntes hozzájárulásán alapul, vagy – amennyiben az ügy jellege megkívánja – szerződés teljesítéséhez szükséges intézkedések megtételén (GDPR 6. cikk (1) bekezdés b) pont) vagy jogi kötelezettség teljesítésén (GDPR 6. cikk (1) bekezdés c) pont) alapulhat.
– A név, e-mail cím és az üzenet tartalmának megadása a kapcsolatfelvételhez szükséges adatszolgáltatás. Ezen adatok szolgáltatásának elmaradása esetén az Adatkezelő nem tud érdemi választ adni, illetve nem tudja felvenni a kapcsolatot az Érintettel.
– A hozzájárulás visszavonása nem érinti a visszavonás előtti, a hozzájáruláson alapuló adatkezelés jogszerűségét.
4.2. Ügyfélkapcsolat (meglévő ügyfelek, telefonos/e-mail kommunikáció)
1. Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja, jogalapja:
| Személyes adat | Név, e-mail cím, telefonszám |
| Az adatkezelés célja | Kapcsolattartás, azonosítás, szerződések teljesítése, üzleti cél |
| Jogalap | 6. cikk (1) bekezdés b) és c) pontja, a szerződésből eredő követelések érvényesítése esetén a Polgári Törvénykönyvről szóló 2013. évi V. törvény 6:21. §-a |
2. Az érintettek köre: Az Adatkezelővel telefonon, e-mailben vagy személyesen kapcsolatot tartó, illetve meglévő szerződéses jogviszonyban álló valamennyi természetes személy (érintett).
3. Az adatkezelés időtartama és az adatok törlésének határideje: Az ügyfélkapcsolat során keletkezett megkereséseket és a kapcsolódó adatokat a szerződés megszűnését, illetve az utolsó kommunikációt követő 2 évig őrizzük meg, kivéve, ha jogszabály hosszabb tárolási időt ír elő (pl. számviteli bizonylatok esetén 8 év). Jogi igények érvényesítése vagy védelme érdekében az adatok a Polgári Törvénykönyv szerinti elévülési idő (általában 5 év) végéig is kezelhetők.
4. Az adatok megismerésére jogosultak és adatfeldolgozók: A személyes adatokat kizárólag az Adatkezelő (GUTDENT Egészségügyi és Szolgáltató Kft.) arra feljogosított munkavállalói ismerhetik meg és kezelhetik a feladataik ellátásához szükséges mértékben. Adatfeldolgozó igénybevétele esetén az Adatkezelő gondoskodik a megfelelő adatfeldolgozói szerződés megkötéséről és a GDPR-nak való megfelelés biztosításáról.
5. Az érintettek jogai az adatkezeléssel kapcsolatban: Az érintettet a GDPR-ban meghatározott jogok illetik meg, különösen:
– Hozzáféréshez való jog
– Helyesbítéshez való jog
– Törléshez való jog („elfeledtetéshez való jog”) – Amennyiben az adatkezelés jogalapja hozzájárulás, vagy az adatokra már nincs szükség az eredeti célhoz, illetve az érintett tiltakozik az adatkezelés ellen. Fontos megjegyezni, hogy a szerződéses, illetve jogszabályi kötelezettségen alapuló adatkezelés esetén a törléshez való jog korlátozott lehet.
– Az adatkezelés korlátozásához való jog
– Adathordozhatósághoz való jog
– Tiltakozáshoz való jog: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon a rá vonatkozó személyes adatok kezelése ellen, amennyiben az adatkezelés jogalapja az adatkezelő jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont). Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez kapcsolódnak.
6. A jogok gyakorlásának módja: Az érintett a fenti jogait az Adatkezelő alábbi elérhetőségein keresztül gyakorolhatja:
– Postai úton: GUTDENT Egészségügyi és Szolgáltató Kft., 1121 Budapest, Árnyas út 32-36. E 2.
– E-mailben: info@gutdent.hu
– Telefonon: +36 30 309 6099
7. Fontos tudnivalók:
– Az adatkezelés jogalapja jellemzően a szerződés teljesítése (GDPR 6. cikk (1) bekezdés b) pont) vagy jogszabályi kötelezettség (GDPR 6. cikk (1) bekezdés c) pont). Ahol az adatkezelés az Adatkezelő jogos érdekére épül, ott az érintett tiltakozhat az adatkezelés ellen.
– A személyes adatok megadása a szerződés teljesítéséhez vagy az ügyfélkérés feldolgozásához szükséges.
– Az adatszolgáltatás elmaradása esetén az Adatkezelő nem tudja teljesíteni a szerződést, illetve nem tudja feldolgozni és megválaszolni a megkeresést.
4.3. Panaszkezelés
1. Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja, jogalapja: Az Adatkezelővel szemben felmerülő panaszok vagy minőségi kifogások kezelése során az alábbi adatokat kezeli:
| Személyes adat | Az adatkezelés célja | Jogalap |
| Vezeték- és keresztnév | Azonosítás, kapcsolattartás. | 6. cikk (1) bekezdés c) pontja, és a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése. |
| E-mail cím | Kapcsolattartás. | |
| Telefonszám | Kapcsolattartás. | |
| Számlázási név és cím | Azonosítás, az igénybe vett szolgáltatásokkal kapcsolatosan felmerülő minőségi kifogások, kérdések és problémák kezelése. |
2. Az érintettek köre: Minden olyan természetes személy, aki az Adatkezelő szolgáltatását igénybe vette, és ezzel kapcsolatban panaszt vagy minőségi kifogást nyújt be.
3. Az adatkezelés időtartama és az adatok törlésének határideje: A panaszról készült jegyzőkönyv, az ahhoz csatolt iratok, valamint az ezekre adott válasz másolati példányait a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése alapján 5 évig kell megőrizni. Ezen időtartam lejártát követően az adatok törlésre kerülnek.
4. Az adatok megismerésére jogosultak és adatfeldolgozók: A személyes adatokat kizárólag az Adatkezelő arra feljogosított munkavállalói, valamint jogi kötelezettség esetén az eljáró hatóságok (pl. fogyasztóvédelmi hatóság) ismerhetik meg és kezelhetik. Adatfeldolgozó igénybevétele esetén az Adatkezelő gondoskodik a megfelelő adatfeldolgozói szerződés megkötéséről és a GDPR-nak való megfelelés biztosításáról.
5. Az érintettek adatkezeléssel kapcsolatos jogai: Az érintettet a GDPR-ban meghatározott jogok illetik meg, különösen:
– Hozzáféréshez való jog
– Helyesbítéshez való jog
– Az adatkezelés korlátozásához való jog (Fontos megjegyezni, hogy a jogi kötelezettségen alapuló adatkezelés esetén a törléshez és az adathordozhatósághoz való jog korlátozott lehet.)
6. A jogok gyakorlásának módja: Az érintett az adatkezeléssel kapcsolatos kérelmeit az Adatkezelő alábbi elérhetőségein nyújthatja be:
– Postai úton: GUTDENT Egészségügyi és Szolgáltató Kft., 1121 Budapest, Árnyas út 32-36. E 2.
– E-mailben: info@gutdent.hu
– Telefonon: +36 30 309 6099
7. Fontos tájékoztatás:
– A személyes adatok megadása a panaszkezelés céljából jogi kötelezettségen alapul.
– Az adatszolgáltatás hiányában az Adatkezelő nem tudja a panaszt feldolgozni és kivizsgálni, így az érdemi ügyintézés meghiúsulhat.
– Az érintett köteles megadni a kért adatokat annak érdekében, hogy panaszát az Adatkezelő jogszerűen kezelni tudja.
4.4. Árajánlatkérés (Forminator plugin útján és egyéb csatornákon)
1. Az adatgyűjtés ténye, a kezelt adatok köre, az adatkezelés célja és jogalapja: A Weboldalon elhelyezett, a Forminator plugin segítségével működő árajánlatkérő űrlapon, valamint egyéb közvetlen kommunikációs csatornákon (például e-mailben vagy telefonon) keresztül történő árajánlatkérés kezdeményezése során az Adatkezelő az alábbi személyes adatokat kezeli:
| Személyes adat | Az adatkezelés célja | Jogalap |
| Név, e-mail cím, telefonszám | Kapcsolattartás, azonosítás | 6. cikk (1) bekezdés a) és b) pont |
| Vállalkozás formája, könyvelés módja, adózási mód, működő vagy induló vállalkozás, export/import tevékenységet folytat, ÁFA-bevallás gyakorisága, fő tevékenységi kör, munkavállalók száma, bankszámlák száma, kimenő számlák száma/hó, bejövő számlák száma/hó, megjegyzés, üzenet | A szolgáltatással kapcsolatos árajánlatkérés megkönnyítése és személyre szabott árajánlat küldése az érintettek számára |
|
| Az üzenetküldés időpontja | Technikai művelet végrehajtása | |
| Az üzenetküldéskori IP cím | Technikai művelet végrehajtása |
2. Az érintettek köre: Valamennyi természetes személy, aki a Weboldalon keresztül árajánlatot kér, függetlenül attól, hogy a kapcsolatfelvételi űrlapon, e-mailben vagy telefonon keresztül kezdeményezi azt.
3. Az adatkezelés időtartama és az adatok törlésének határideje:
– Az árajánlatkérésre vonatkozó adatok kezelése az árajánlat megküldésétől, vagy az utolsó kommunikációtól számított 2 évig tart, amennyiben nem jön létre szerződés az érintett és az Adatkezelő között. Amennyiben az árajánlatkérés szerződéskötéshez vezet, az adatok kezelésére a létrejött szerződésre vonatkozó adatkezelési szabályok és időtartamok (pl. számviteli jogszabályok szerinti 8 év) az irányadóak.
– Az IP-címek a rögzítéstől számított 30 nap elteltével automatikusan törlésre kerülnek.
– Az e-mailben az Adatkezelőnek kiküldött értesítések és a kapcsolódó levelezések a feladástól számított 2 év elteltével törlődnek, amennyiben nem kerül sor szerződéskötésre.
4. Az adatok megismerésére jogosultak és adatfeldolgozók: A személyes adatokat kizárólag az Adatkezelő (GUTDENT Egészségügyi és Szolgáltató Kft.) arra feljogosított munkavállalói ismerhetik meg és kezelhetik, a GDPR-ban foglalt adatkezelési alapelvek maradéktalan tiszteletben tartásával és feladataik ellátásához szükséges mértékben. Adatfeldolgozó igénybevétele esetén az Adatkezelő gondoskodik a megfelelő adatfeldolgozói szerződés megkötéséről és a GDPR-nak való megfelelés biztosításáról.
5. Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintettet a GDPR-ban meghatározott jogok illetik meg, különösen:
– Hozzáféréshez való jog: Az érintett jogosult arra, hogy visszajelzést kapjon az Adatkezelőtől arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, hozzáférést kapjon a kezelt személyes adatokhoz és az adatkezeléssel kapcsolatos információkhoz.
– Helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
– Törléshez való jog („elfeledtetéshez való jog”): Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, amennyiben a GDPR 17. cikk (1) bekezdésében meghatározott feltételek valamelyike fennáll (pl. az adatokra már nincs szükség abból a célból, amiért gyűjtötték, vagy az érintett visszavonja hozzájárulását, és nincs más jogalap az adatkezelésre). Fontos kiemelni, hogy az árajánlatkérés előkészítéséhez kapcsolódó adatkezelés esetén, ha az adatkezelés jogalapja a szerződéskötést megelőző lépések megtétele (GDPR 6. cikk (1) bekezdés b) pont), a törléshez való jog korlátozott lehet.
– Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, amennyiben a GDPR 18. cikk (1) bekezdésében meghatározott feltételek valamelyike fennáll (pl. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg az Adatkezelő ellenőrzi a személyes adatok pontosságát).
– Adathordozhatósághoz való jog: Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, amennyiben az adatkezelés hozzájáruláson vagy szerződésen alapul, és automatizált módon történik.
– Hozzájárulás visszavonásához való jog: Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja.
6. A jogok gyakorlásának módja: Az érintett a személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, vagy az adatok hordozhatóságát az alábbi módokon kezdeményezheti az Adatkezelő felé:
– Postai úton: GUTDENT Egészségügyi és Szolgáltató Kft., 1121 Budapest, Árnyas út 32–36. E 2.
– E-mailben: info@gutdent.hu
– Telefonon: +36 30 309 6099
7. Az adatkezelés jogalapja és egyéb fontos tudnivalók:
– Az adatkezelés jogalapja az érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont) és az árajánlatkérés teljesítéséhez szükséges, szerződéskötést megelőző intézkedések megtétele (GDPR 6. cikk (1) bekezdés b) pont).
– Az árajánlat összeállításához és megküldéséhez elengedhetetlen a szükséges személyes adatok (név, e-mail cím, telefonszám, valamint a specifikus üzleti adatok) megadása.
– Az adatszolgáltatás elmaradása esetén az Adatkezelő nem tudja a kért árajánlatot összeállítani és elküldeni.
– A hozzájárulás visszavonása nem érinti a visszavonás előtti, a hozzájáruláson alapuló adatkezelés jogszerűségét.
5. Címzettek, akikkel a személyes adatokat közlik
Jelen Tájékoztató vonatkozásában „Címzett” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatokat az Adatkezelő közli, függetlenül attól, hogy az érintett számára harmadik félnek minősül-e. Az Adatkezelő a személyes adatokat kizárólag meghatározott célból, jogszerű jogalap alapján, és az adatvédelem elveinek szigorú betartásával továbbítja.
5.1. Adatfeldolgozók (akik az Adatkezelő nevében végzik az adatkezelést)
Az Adatkezelő bizonyos adatkezelési tevékenységek hatékony és jogszerű végrehajtása, valamint a szolgáltatások nyújtása érdekében adatfeldolgozókat vehet igénybe. Az adatfeldolgozók olyan természetes vagy jogi személyek, közhatalmi szervek, ügynökségek vagy bármely egyéb szervek, amelyek az Adatkezelő nevében személyes adatokat kezelnek.
Az Adatkezelő az adatfeldolgozókat a GDPR 28. cikkének megfelelően választja ki, kiemelt figyelmet fordítva arra, hogy kizárólag olyan szolgáltatókkal működjön együtt, akik:
– megfelelő technikai és szervezési intézkedéseket alkalmaznak az adatvédelem GDPR szerinti követelményeinek maradéktalan teljesítésére;
– biztosítják az érintettek jogainak megfelelő védelmét és érvényesülését;
– megfelelnek a hatályos adatvédelmi jogszabályoknak, különösen a GDPR előírásainak.
Az adatfeldolgozó és az adatfeldolgozó irányítása alatt eljáró személyek kizárólag az Adatkezelő írásos utasításai szerint kezelhetik a személyes adatokat. Az adatfeldolgozó nem jogosult önálló döntéseket hozni az adatkezelés céljait és eszközeit illetően.
Az Adatkezelő felelősséggel tartozik az adatfeldolgozók tevékenységéért és az általuk okozott esetleges károkért, kivéve, ha az adatfeldolgozó a GDPR-ban rá háruló kötelezettségeket megsérti, vagy az Adatkezelő jogszerű utasításait figyelmen kívül hagyva jár el, és ezzel kárt okoz.
5.2. Adatfeldolgozók listája
Az Adatkezelő a Weboldal üzemeltetése és a szolgáltatások nyújtása során az alábbi adatfeldolgozókat veszi igénybe:
| Tevékenység | Név | Székhely | Elérhetőség |
| Tárhely-szolgáltatás | Webkomfort Kft. | 1181 Budapest, Havanna u. 8. | Telefon: +36 1 445 4321 E-mail: info@speedpc.hu |
Megjegyzés: Az adatfeldolgozók listáját az Adatkezelő folyamatosan frissíti és szükség szerint bővíti. Az aktuális listát a jelen Tájékoztatóban teszi közzé.
5.3. Adattovábbítás harmadik fél részére
„Harmadik fél” alatt azt a természetes vagy jogi személyt, közhatalmi szervet vagy egyéb szervet értjük, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval, vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt személyes adatokat kezelnek.
Az Adatkezelő a személyes adatokat harmadik fél részére kizárólag a GDPR-ban meghatározott esetekben, az alábbi jogalapok valamelyikének fennállása esetén továbbítja:
– Jogi kötelezettség teljesítése: Amennyiben jogszabály írja elő (pl. bírósági megkeresés, hatósági felhívás, adóhatósági ellenőrzés esetén).
– Az érintett kifejezett és önkéntes hozzájárulása: Amennyiben az érintett előzetesen tájékoztatáson alapuló hozzájárulását adta az adattovábbításhoz.
– Szerződés teljesítéséhez szükséges: Amennyiben az adattovábbítás elengedhetetlen a szerződés teljesítéséhez (pl. futárszolgálat részére, amennyiben webshop is működik).
– Az Adatkezelő vagy harmadik fél jogos érdeke: Amennyiben az adattovábbítás az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, és az érintett érdekei vagy alapvető jogai és szabadságai nem élveznek elsőbbséget.
Az Adatkezelő minden esetben gondoskodik arról, hogy a harmadik felek részére történő adattovábbítás a jogszabályoknak megfelelően, az adatbiztonság és az érintettek jogainak védelmének garantálásával történjen. Fontos megjegyezni, hogy a harmadik fél adatkezelők az általuk kezelt személyes adatokat saját adatvédelmi szabályzataik szerint kezelik, ezért az érintettek jogainak teljes körű védelme érdekében javasolt megismerni ezen adatkezelők saját adatvédelmi nyilatkozatait is.
6. Cookie-k (sütik) kezelése
Az Adatkezelő a Weboldal látogatása során, a felhasználói élmény optimalizálása, a weboldal működésének biztosítása, a látogatottsági statisztikák gyűjtése, valamint marketingcélokból úgynevezett cookie-kat (sütiket) használ. A cookie-k olyan kisméretű szöveges fájlok, amelyeket a Weboldal az érintett böngészőjén keresztül helyez el a számítógépén vagy mobil eszközén.
6.1. Az adatkezelés ténye, a kezelt adatok köre és a cookie-k működése: A cookie-k olyan információkat tárolhatnak, mint például egyedi azonosítószámok (pl. munkamenet-azonosító), dátumok és időpontok, valamint egyéb, a felhasználói élményhez és a Weboldal funkcionalitásához szükséges adatok. Bár a cookie-k önmagukban általában nem alkalmasak az érintett közvetlen azonosítására, egyes esetekben – különösen más adatokkal együtt (pl. IP-cím) – személyes adatnak minősülhetnek.
6.2. Az érintettek köre: A Weboldalt látogató valamennyi természetes személy (felhasználó), aki a Weboldalt böngészi vagy használja.
6.3. Az adatkezelés célja:
– A Weboldal megfelelő és hatékony működésének biztosítása (feltétlenül szükséges cookie-k): Ezen cookie-k elengedhetetlenek a Weboldal alapvető funkcióihoz (pl. navigáció, munkamenet-kezelés, bejelentkezés fenntartása, biztonság).
– Felhasználói élmény személyre szabása és kényelmének növelése (funkcionális cookie-k): Ezen cookie-k segítségével emlékezhet a Weboldal a felhasználó választásaira (pl. nyelvi beállítások, korábbi beállítások), és személyre szabott tartalmat nyújthat.
– Látogatottsági statisztikák és viselkedés elemzése (statisztikai/analitikai cookie-k): Az Adatkezelő ezen cookie-k segítségével gyűjt anonim vagy pszeudonimizált adatokat a Weboldal használatáról (pl. látogatott oldalak, látogatás időtartama, böngésző típusa, földrajzi elhelyezkedés). Ezek az információk segítenek a Weboldal fejlesztésében, a felhasználói igények jobb megértésében és a szolgáltatások optimalizálásában.
– Marketing és célzott hirdetések (marketing/célzó cookie-k): Egyes cookie-k lehetővé teszik a felhasználók érdeklődési körének és böngészési szokásainak megfelelő, személyre szabott hirdetések megjelenítését, amennyiben az érintett ehhez kifejezetten hozzájárult.
6.4. Az adatkezelés jogalapja: A cookie-k használatának jogalapja azok típusától és céljától függően eltérő:
– Feltétlenül szükséges cookie-k (alapműködéshez): Az adatkezelés jogalapja az Adatkezelő jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont) a Weboldal biztonságos, stabil és hatékony működésének biztosítása. Ezen cookie-k nélkül a Weboldal alapvető funkciói nem lennének elérhetőek, vagy működésképtelenné válna.
– Nem feltétlenül szükséges cookie-k (pl. funkcionális, statisztikai, marketing cookie-k): Az adatkezelés jogalapja az érintett önkéntes, konkrét és megfelelő tájékoztatáson alapuló hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont), amelyet a Weboldalon megjelenő cookie-banner segítségével kérünk be. Az ePrivacy irányelv (2002/58/EK) is előírja a hozzájárulás szükségességét ezen cookie-k elhelyezéséhez és használatához. A hozzájárulás bármikor visszavonható, azonban a visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
6.5. Az adatkezelés időtartama, a cookie-k törlésének határideje: Az egyes cookie-k tárolási időtartama azok típusától és funkciójától függően változó. Az alábbi táblázat az Adatkezelő által jellemzően használt cookie-kat és azok tárolási idejét mutatja be. Felhívjuk a figyelmet, hogy a harmadik fél szolgáltatók által elhelyezett cookie-k tárolási időtartamát az adott szolgáltató adatvédelmi irányelvei határozzák meg.
| Cookie típusa | Cookie neve | Funkció | Törlési idő |
| Munkamenet (session) cookie | _gat (Google Analytics) | Munkamenet korlátozása, lekérések számának szabályozása | A munkamenet végén (általában 30 perc inaktivitás után) |
| Munkamenet cookie | WP session cookie | Weboldal működéséhez szükséges | A munkamenet végén |
| Tárolt (persistent) cookie | _gid (Google Analytics) | Felhasználók megkülönböztetése | 24 óra |
| Tárolt (persistent) cookie | _ga (Google Analytics) | Felhasználók megkülönböztetése | 730 nap (2 év) |
| Tárolt (persistent) cookie | cookielawinfo-checkbox-* | A CookieYes plugin által elhelyezett cookie, mely a hozzájárulást tárolja | Általában 1 év (a felhasználó preferenciáitól és a plugin beállításaitól függően) |
6.6. Az adatok megismerésére jogosultak és adatfeldolgozók: A cookie-k által gyűjtött adatokhoz az Adatkezelő fér hozzá, az adott cookie céljától függően.
– Google Analytics cookie-k esetében: A Google Analytics által gyűjtött adatokat a Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Írország) kezeli adatfeldolgozóként, a saját adatvédelmi szabályzata (elérhető: https://policies.google.com/privacy) szerint. Az Adatkezelő ezekhez az adatokhoz közvetlenül, egyedileg azonosítható formában nem fér hozzá, kizárólag aggregált, anonimizált statisztikai jelentéseket kap.
– CookieYes | GDPR Cookie Consent plugin által elhelyezett cookie-k esetében: Az adatokat az Adatkezelő és a plugin szolgáltatója (CookieYes, UK) kezeli. A CookieYes technikai szolgáltatóként adatfeldolgozói szerepet tölthet be a hozzájárulások rögzítése és kezelése kapcsán.
– Egyéb cookie-k esetében: Az adatokat az Adatkezelő arra feljogosított munkavállalói kezelik.
6.7. Az érintettek jogai és lehetőségei a cookie-k kezelésével kapcsolatban: Az érintett jogosult a cookie-beállítások kezelésére és módosítására.
– Hozzájárulás megadása és visszavonása: A Weboldalon megjelenő cookie-banner segítségével az érintett megadhatja, illetve visszavonhatja hozzájárulását a nem feltétlenül szükséges cookie-k használatához. A hozzájárulási preferenciák bármikor módosíthatók a Weboldal láblécében vagy egy dedikált adatvédelmi/cookie-beállítások menüpontban elérhető gomb/link segítségével.
– Böngésző beállítások: Az érintett bármikor tiltani, törölni vagy korlátozni tudja a cookie-k használatát a böngészője beállításaiban. A legtöbb böngésző lehetőséget biztosít arra, hogy a felhasználó:
– törölje a már meglévő cookie-kat;
– blokkolja a cookie-k elhelyezését (akár harmadik féltől származó cookie-kat is);
– értesítést kapjon, mielőtt egy cookie elhelyezésre kerül.
– Korlátozások hatása: Fontos tudni, hogy amennyiben az érintett korlátozza vagy tiltja a cookie-k használatát, előfordulhat, hogy a Weboldal bizonyos funkciói nem működnek megfelelően, vagy a Weboldal használhatósága korlátozottá válik, különösen a feltétlenül szükséges munkamenet-cookie-k letiltása esetén.
6.8. Cookie-beállítások testreszabása a legnépszerűbb böngészőkben: Az alábbi hivatkozásokon az érintett részletes útmutatást talál a cookie-k kezeléséről az egyes böngészőkben:
– Google Chrome: https://support.google.com/chrome/answer/95647?hl=hu
– Microsoft Edge / Internet Explorer: https://support.microsoft.com/hu-hu/help/17442/windows-internet-explorer-delete-manage-cookies
– Mozilla Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldalak-hasznalnak
– Safari (Apple): https://support.apple.com/kb/PH21411?locale=hu_HU
7. Google- és Facebook-szolgáltatások használata
Az Adatkezelő a Weboldal látogatottságának elemzésére, marketingtevékenységének támogatására és a közösségi média jelenlétének biztosítására külső szolgáltatók, különösen a Google és a Facebook (Meta) által nyújtott szolgáltatásokat veszi igénybe. Ezen szolgáltatások igénybevétele során bizonyos adatok gyűjtésére és kezelésére kerül sor.
7.1. Google Ads konverziókövetés használata
1. A szolgáltatás működése és az adatgyűjtés ténye: Az Adatkezelő a „Google Ads” (korábbi nevén Google AdWords) online reklámprogramot használja, amelynek része a Google konverziókövető szolgáltatása (szolgáltató: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Írország). A konverziókövetés célja, hogy felmérje a hirdetések hatékonyságát. Amikor egy felhasználó egy Google-hirdetésre kattintva érkezik a Weboldalra, a konverziókövetéshez szükséges egyedi cookie (süti) kerül a készülékére. Ezek a cookie-k nem tartalmaznak közvetlenül azonosítható személyes adatokat, és csak korlátozott ideig érvényesek.
2. Kezelt adatok köre: A cookie azonosítója, a hirdetésre kattintás ténye, az érintett Weboldalon végrehajtott művelete (pl. kapcsolatfelvétel, árajánlatkérés, ha konverzióként beállításra került) és a művelet időpontja. Az IP-cím pszeudonimizált formában kerülhet továbbításra.
3. Az adatkezelés célja: A hirdetések hatékonyságának mérése, a konverziók nyomon követése (azaz annak megállapítása, hogy egy hirdetésre kattintás után milyen művelet történt a Weboldalon), valamint az Adatkezelő marketingtevékenységének optimalizálása.
4. Az adatok megismerésére jogosultak és adatfeldolgozás: A cookie aktív állapotában a Google, mint adatfeldolgozó, és az Adatkezelő láthatja, hogy a felhasználó mely hirdetésre kattintott. Minden Google Ads ügyfélhez külön cookie tartozik, így az adatokat nem lehet más Ads ügyfelek oldalain keresztül nyomon követni. A gyűjtött adatok segítségével az Adatkezelő aggregált konverziós statisztikákat kap, de nem fér hozzá a felhasználók azonosításához szükséges információkhoz. A Google Ireland Limited az adatokat a saját adatvédelmi irányelvei szerint kezeli (elérhető: https://policies.google.com/privacy).
5. Az adatkezelés jogalapja: Az adatkezelés jogalapja az érintett hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont), amelyet a cookie-banneren keresztül kérünk be a nem feltétlenül szükséges cookie-k esetében. A hozzájárulás bármikor visszavonható.
6. Az érintettek jogai és tiltakozási lehetőségek: Amennyiben a felhasználó nem kíván részt venni a konverziókövetésben, a hozzájárulását a cookie-banneren keresztül visszavonhatja, vagy a böngészőjének beállításaiban letilthatja a cookie-k használatát. Ezáltal adatai nem kerülnek be a konverziós statisztikákba. Fontos megjegyezni, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
7.2. Google Analytics alkalmazása
1. A szolgáltatás működése és az adatgyűjtés ténye: Ez a Weboldal a Google Analytics (szolgáltató: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Írország) webanalitikai szolgáltatást használja. A Google Analytics cookie-k segítségével elemzi a Weboldal látogatóinak viselkedését és a Weboldal használatát.
2. Kezelt adatok köre: Az IP-cím (anonimizált formában), böngésző típusa, operációs rendszer, a látogatott oldalak, a látogatás időtartama, hivatkozó URL, a felhasználó demográfiai és érdeklődési adatai (amennyiben elérhetők a Google Adatbázisában). Az adatok pszeudonimizált formában kerülnek gyűjtésre.
3. Az adatkezelés célja: A Weboldal használatának elemzése, a látogatottsági statisztikák készítése, a Weboldal és a szolgáltatások fejlesztése, a felhasználói élmény optimalizálása.
4. Adattovábbítás és anonimizálás: A cookie-k által gyűjtött adatokat jellemzően az USA-ban található Google-szervereken tárolják. Az Adatkezelő IP-anonimizálást (az IP-címek utolsó oktettjének törlését) alkalmaz, így az adatok feldolgozása az Európai Unión belüli szervereken történik, és a teljes IP-cím csak kivételes esetekben kerül továbbításra az USA-ba. Az ilyen esetekben is kizárólag az oldal használatának elemzésére szolgál. A Google nem kapcsolja össze az érintett IP-címét a Google birtokában lévő egyéb adatokkal.
5. Az adatkezelés jogalapja: Az adatkezelés jogalapja az érintett hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont), amelyet a cookie-banneren keresztül kérünk be.
6. Az érintettek jogai és tiltakozási lehetőségek:
– Az érintett a hozzájárulását a cookie-banneren keresztül bármikor visszavonhatja, vagy a böngészője beállításaiban letilthatja a Google Analytics cookie-k használatát. Ennek hatására a Weboldal egyes funkciói nem biztos, hogy teljes körűen vagy megfelelően működnek.
– Az érintett megakadályozhatja továbbá, hogy a Google a cookie-k által gyűjtött, a Weboldal használatával kapcsolatos adatokat (beleértve az IP-címet is) feldolgozza, ha telepíti a böngészőhöz elérhető Google Analytics letiltó böngészőbővítményt, amely az alábbi hivatkozásról tölthető le: https://tools.google.com/dlpage/gaoptout?hl=hu
– A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
7.3. Közösségi oldalak használata (Facebook, Instagram, YouTube, X (Twitter), Pinterest stb.)
1. Az adatgyűjtés ténye, a kezelt adatok köre: Az Adatkezelő a közösségi média platformokon (például Facebook – Meta Platforms Ireland Ltd., Instagram – Meta Platforms Ireland Ltd., YouTube – Google Ireland Limited, X (korábbi Twitter) – X Corp., Pinterest – Pinterest Europe Ltd.) is jelen van. Ezen platformokon keresztül az Adatkezelő certain adatokat gyűjthet, például a felhasználó regisztrált nyilvános nevét és nyilvános profilképét, amennyiben az érintett interakcióba lép az Adatkezelő profiljával (pl. „lájkolja” vagy követi az oldalt, kommentel, üzenetet küld).
2. Az érintettek köre: Azon természetes személyek (érintettek), akik az adott közösségi média platformon regisztráltak, és az Adatkezelő közösségi média oldalát „lájkolták”, követték, vagy bármilyen módon kapcsolatba léptek az Adatkezelővel a platformon keresztül.
3. Az adatkezelés célja: Az Adatkezelő célja ezen platformokon keresztül a Weboldal, a tartalom, a termékek és szolgáltatások népszerűsítése, a közösségi interakció fenntartása, információk megosztása és a felhasználókkal való kommunikáció.
4. Az adatkezelés módja és felelőssége: Az adatkezelés főszabály szerint az adott közösségi média platformon történik, és nem az Adatkezelő saját Weboldalán. Fontos tudni, hogy az Adatkezelő és a közösségi média platform szolgáltatója (pl. Meta, Google) bizonyos esetekben közös adatkezelőnek minősülhet a GDPR 26. cikke értelmében. Ez különösen igaz azokra az adatokra, amelyeket a platformok a saját céljaikra is felhasználnak (pl. profilalkotás, hirdetések célzása). Az egyes platformok felelősségi körei és az érintettek jogai az adott közösségi oldal saját adatkezelési szabályzataiban és felhasználási feltételeiben kerülnek részletesen rögzítésre. Az Adatkezelő javasolja, hogy az érintettek ismerkedjenek meg ezekkel a szabályzatokkal.
5. Az adatkezelés időtartama, az adatok törlésének lehetőségei és az érintettek jogai: Az adatkezelés időtartamára, módjára, az adatok törlésének lehetőségeire és az érintettek jogaira az adott közösségi oldal saját adatkezelési szabályzatai vonatkoznak. Az érintett a jogait (pl. hozzáférés, törlés, tiltakozás) az adott közösségi média platformon keresztül, a fiókja beállításaiban vagy a platform ügyfélszolgálatánál gyakorolhatja.
6. Az adatkezelés jogalapja: Az adatkezelés jogalapja az érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont), amelyet az adott közösségi oldal adatkezelési feltételeinek elfogadásával, valamint az Adatkezelő oldalának követésével vagy azzal való interakcióval ad meg. Amennyiben az Adatkezelő jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont) is felmerül (pl. hirdetési tevékenység során), erről az adott platform tájékoztatja az érintettet. A hozzájárulás bármikor visszavonható a közösségi média platformon belüli beállítások módosításával.
8. Ügyfélkapcsolatok és egyéb adatkezelések
Ez a fejezet az Adatkezelővel való, a Weboldal látogatásán és a specifikus űrlapkitöltéseken túlmutató közvetlen kommunikáció, valamint az ettől független, jogszabályon alapuló adatszolgáltatások során felmerülő adatkezeléseket tárgyalja.
8.1. Közvetlen megkeresések és kommunikáció (pl. e-mail, telefon, közösségi média üzenetek)
1. Az adatgyűjtés ténye, a kezelt adatok köre: Amennyiben az érintett a szolgáltatások igénybevétele során felmerülő kérdéssel, problémával, panasszal vagy bármilyen egyéb céllal kapcsolatba lép az Adatkezelővel a Weboldalon megadott kommunikációs csatornákon (telefon, e-mail, közösségi oldalak üzenetküldő funkciói stb.) keresztül, az Adatkezelő kezeli az érintett által önkéntesen megadott személyes adatokat.
– Kezelt adatok köre: Az érdeklődő neve, e-mail címe, telefonszáma (amennyiben megadásra került), a megkeresés (e-mail, üzenet, telefonbeszélgetés jegyzőkönyve) tartalma, valamint bármely más, az érintett által önkéntesen átadott személyes adat, amely a megkeresés megválaszolásához vagy az ügy elintézéséhez szükséges.
2. Az adatkezelés célja: A beérkezett kérdések, üzenetek, észrevételek, panaszok megválaszolása és kezelése, az ügyfélkapcsolat hatékony fenntartása, az esetleges problémák megoldása, valamint az érintett részére releváns tájékoztatás nyújtása.
3. Az adatkezelés jogalapja:
– Az adatkezelés jogalapja az érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont), amelyet a kapcsolatfelvétel és az adatok önkéntes megadása jelenti.
– Amennyiben a megkeresés egy lehetséges vagy fennálló szerződés előkészítéséhez vagy teljesítéséhez kapcsolódik, az adatkezelés jogalapja a szerződés teljesítéséhez szükséges lépések megtétele (GDPR 6. cikk (1) bekezdés b) pont).
– Amennyiben a megkeresés panasznak minősül, és a panaszkezelésre jogszabály kötelezi az Adatkezelőt, az adatkezelés jogalapja az Adatkezelőre vonatkozó jogi kötelezettség teljesítése (GDPR 6. cikk (1) bekezdés c) pont).
4. Az adatkezelés időtartama, az adatok törlésének határideje: Az Adatkezelő a beérkezett e-maileket, üzeneteket, telefonon vagy közösségi oldalakon keresztül megadott adatokat, az érdeklődő nevével és e-mail címével, valamint a megkeresés tartalmával együtt az adatközléstől számított legfeljebb 2 év elteltével törli. Ettől eltérő időtartamú adatkezelés kizárólag jogszabályi előírás (pl. számviteli vagy fogyasztóvédelmi jogszabályok szerinti megőrzési kötelezettség) vagy a szerződéses jogviszony fennállása esetén lehetséges.
5. Az adatok megismerésére jogosultak: A személyes adatokat kizárólag az Adatkezelő arra feljogosított munkavállalói, akiknek feladatuk a kapcsolattartás, az ügyintézés és a megkeresések kezelése.
8.2. Egyéb, e tájékoztatóban fel nem sorolt adatkezelések
1. Az Adatkezelő felhívja az érintettek figyelmét, hogy amennyiben e jelen Tájékoztatóban részletesen fel nem sorolt adatkezelésre kerülne sor, arról az adatfelvételkor, a GDPR és az Infotv. vonatkozó rendelkezéseinek megfelelően, megfelelő tájékoztatást nyújt.
8.3. Hatósági adatszolgáltatás és jogszabályon alapuló adattovábbítás
1. Az adatgyűjtés ténye és jogalapja: Kivételes esetben, hatósági megkeresésre, illetőleg jogszabály felhatalmazása alapján más szervek megkeresése esetén (pl. bírósági eljárás, rendőrségi nyomozás, adóhatósági ellenőrzés), az Adatkezelő köteles tájékoztatást adni, adatokat közölni, átadni, illetőleg iratokat rendelkezésre bocsátani. Az ilyen adattovábbítás jogalapja az Adatkezelőre vonatkozó jogi kötelezettség teljesítése (GDPR 6. cikk (1) bekezdés c) pont).
2. Kezelt adatok köre és adattovábbítás mértéke: Az Adatkezelő ezen esetekben a megkereső szerv részére – amennyiben az a megkeresés pontos célját és az adatok körét egyértelműen megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amennyi a megkeresés céljának megvalósításához elengedhetetlenül szükséges, az arányosság elvének betartásával. Az adatkezelés során a jogszabályi előírásoknak megfelelően jár el.
9. Az érintettek jogai
Az érintett, mint természetes személy, a személyes adatai kezelésével kapcsolatban számos joggal rendelkezik a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, a továbbiakban: GDPR) VII. fejezete alapján. Ezek a jogok biztosítják az érintettek számára a kontrollt saját adataik felett.
9.1. A hozzáférés joga (GDPR 15. cikk)
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adatokhoz és az adatkezeléssel kapcsolatos alábbi információkhoz hozzáférést kapjon:
– az adatkezelés céljai;
– a kezelt személyes adatok kategóriái;
– azon címzettek kategóriái, akikkel a személyes adatokat közölték vagy közölni fogják;
– a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
– az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
– a felügyeleti hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) címzett panasz benyújtásának joga;
– ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
– az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára, és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. Az Adatkezelő a kérelemre adatkezeléssel érintett személyes adatokról másolatot bocsát az érintett rendelkezésére.
9.2. A helyesbítéshez való jog (GDPR 16. cikk)
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok kiegészítését, ideértve kiegészítő nyilatkozat útján történő kiegészítést is.
9.3. A törléshez való jog („elfeledtetéshez való jog”) (GDPR 17. cikk)
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
– a személyes adatokra már nincs szükség abból a célból, amiért azokat gyűjtötték vagy más módon kezelték;
– az érintett visszavonja a hozzájárulását, amelyen az adatkezelés alapul, és az adatkezelésnek nincs más jogalapja;
– az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
– a személyes adatokat jogellenesen kezelték;
– a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
Fontos megjegyezni, hogy a törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges többek között:
– a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
– jogi kötelezettség teljesítése céljából;
– közérdekből archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést;
– jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
9.4. Az elfeledtetéshez való jog – az adatok „nyomainak” eltüntetése (GDPR 17. cikk (2) bekezdés)
Amennyiben az Adatkezelő nyilvánosságra hozta a személyes adatokat (pl. honlapon, fórumon vagy közösségi médiában), és az érintett a törléshez való jogát gyakorolja, az Adatkezelőnek – a rendelkezésre álló technológia és a megvalósítás költségeinek figyelembevételével – meg kell tennie az ésszerűen elvárható lépéseket, ideértve technikai intézkedéseket is, annak érdekében, hogy tájékoztassa az adatokat kezelő más adatkezelőket arról, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
9.5. Az adatkezelés korlátozásához való jog (GDPR 18. cikk)
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
– az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg az Adatkezelő ellenőrzi a személyes adatok pontosságát;
– az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
– az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
– az érintett tiltakozott az adatkezelés ellen (GDPR 21. cikk (1) bekezdés); ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelméhez, vagy fontos uniós, illetve tagállami közérdekből lehet kezelni.
9.6. Az adathordozhatósághoz való jog (GDPR 20. cikk)
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná, ha:
– az adatkezelés hozzájáruláson (GDPR 6. cikk (1) bekezdés a) pont vagy 9. cikk (2) bekezdés a) pont) vagy szerződésen (GDPR 6. cikk (1) bekezdés b) pont) alapul; és
– az adatkezelés automatizált módon történik. Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
9.7. A tiltakozáshoz való jog (GDPR 21. cikk)
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) pontján (közérdekű vagy közhatalmi jogosítvány gyakorlása) vagy f) pontján (az Adatkezelő vagy egy harmadik fél jogos érdeke) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
9.8. Tiltakozás közvetlen üzletszerzés (marketing) esetén (GDPR 21. cikk (2)-(3) bekezdés)
Ha a személyes adatok kezelése közvetlen üzletszerzés céljából történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés céljából történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
9.9. Automatizált döntéshozatal egyedi ügyekben, ideértve a profilalkotást is (GDPR 22. cikk)
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Ez alól kivétel, ha a döntés:
– az érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
– meghozatalát az Adatkezelőre alkalmazandó uniós vagy tagállami jog teszi lehetővé, amely megfelelő intézkedéseket tartalmaz az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmére; vagy
– az érintett kifejezett hozzájárulásán alapul.
Ezen esetekben az Adatkezelő megfelelő intézkedéseket köteles tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve legalább az Adatkezelő részéről történő emberi beavatkozáshoz való jogot, az érintett azon jogát, hogy álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
10. Intézkedési határidő
Az Adatkezelő az érintett jogainak gyakorlására irányuló kérelmével kapcsolatos intézkedéseiről a GDPR 12. cikk (3) bekezdésének megfelelően az alábbi határidőkkel nyújt tájékoztatást:
1) Általános válaszadási határidő: Az Adatkezelő köteles az érintettet a kérelmére hozott intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 hónapon belül tájékoztatni.
2) Határidő meghosszabbítása: Szükség esetén – figyelembe véve a kérelem összetettségét és a kérelmek számát – ez a határidő további 2 hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő az érintettet a késedelem okainak (pl. a kérelem összetettsége, nagyszámú kérelem) megjelölésével, legkésőbb az eredeti 1 hónapos határidő lejártát megelőzően tájékoztatja.
3) Intézkedés elmaradása esetén: Amennyiben az Adatkezelő nem tesz intézkedést az érintett kérelme alapján, úgy késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 hónapon belül köteles tájékoztatni az érintettet az intézkedés elmaradásának okairól. Ezzel egyidejűleg tájékoztatja az érintettet arról is, hogy panaszt nyújthat be a felügyeleti hatóságnál (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH), és bírósági jogorvoslati jogával élhet.
4) Tájékoztatás módja: Az Adatkezelő az intézkedésekről szóló tájékoztatást főszabály szerint elektronikus úton (pl. e-mailben) nyújtja be, kivéve, ha az érintett más módon kéri, vagy a jogszabály ettől eltérő formát ír elő.
11. Az adatkezelés biztonsága
Az Adatkezelő és az esetlegesen igénybe vett adatfeldolgozó a személyes adatok biztonságának garantálása érdekében a GDPR 32. cikkének megfelelően az alábbi technikai és szervezési intézkedéseket hajtja végre. Az intézkedések meghatározásakor figyelembe veszi a tudomány és technika mindenkori állását, a megvalósítás költségeit, az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a személyes adatokkal érintett természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatot.
Célja a kockázat mértékének megfelelő szintű adatbiztonság garantálása, amely magában foglalja többek között az alábbiakat:
1. Technikai és szervezési alapelvek:
a) A személyes adatok álnevesítése és titkosítása, amennyiben az az adott adatkezelési művelet jellege és a kockázatok figyelembevételével indokolt.
b) A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása.
c) Fizikai vagy műszaki incidens esetén annak a képességnek a biztosítása, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani.
d) Az adatkezelés biztonságát garantáló technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, felmérése és értékelése.
2. Adatok tárolása és hozzáférés-kezelés:
e) A kezelt személyes adatokat úgy kell tárolni, hogy illetéktelen személyek ne férhessenek hozzá.
a. Papír alapú adathordozók esetén: Fizikai tárolási és irattározási rend kerül kialakításra, amely biztosítja az adatok biztonságos elzárását és a hozzáférés korlátozását.
b. Elektronikus adatok esetén: Központi jogosultságkezelő rendszer alkalmazása kötelező, amely egyedi felhasználói azonosítókon és jelszavakon alapuló hozzáférési kontrollt biztosít.
3. Adatok törlése és megsemmisítése:
f) Az informatikai adatok tárolási módját úgy kell megválasztani, hogy az adatok törlése az előírt törlési határidő lejártával, vagy egyéb jogalap hiányában szükségessé válva, biztonságos és visszaállíthatatlan módon elvégezhető legyen.
a. Papír alapú adathordozók esetén: Az adatok megsemmisítése erre a célra szolgáló iratmegsemmisítővel, vagy erre szakosodott, megbízható külső szervezet igénybevételével történik, amely garantálja az adatok teljes és visszaállíthatatlan megsemmisülését.
b. Elektronikus adathordozók esetén: Amennyiben az adathordozó újra felhasználásra kerül, az adatok biztonságos és visszaállíthatatlan törlését kell alkalmazni. Amennyiben az adathordozó kikerül a használatból, fizikai megsemmisítést kell alkalmazni.
4. Konkrét adatbiztonsági intézkedések:
a. Papír alapú adatok védelme (fizikai védelem):
I. A személyes adatokat tartalmazó dokumentumokat biztonságos, jól zárható, tűz- és vízkártól védett, száraz helyiségben kell tárolni.
II. A Szolgáltató épülete és helyiségei megfelelő tűzvédelmi és vagyonvédelmi berendezésekkel (pl. riasztórendszer) vannak ellátva.
III. A személyes adatokat tartalmazó iratokhoz kizárólag az arra jogosult, kijelölt személyek férhetnek hozzá. Harmadik személyek hozzáférése szigorúan tilos.
IV. Az adatkezelést végző munkatárs a munkahelyét csak úgy hagyhatja el, hogy a kezelt adathordozókat elzárja (pl. zárható szekrénybe helyezi) vagy az adott helyiséget bezárja, biztosítva ezzel az adatok felügyeletét.
V. Amennyiben papír alapú adatokat digitalizálnak, a digitális tárolásra vonatkozó adatbiztonsági szabályokat is alkalmazni kell, biztosítva az adatok védelmét a teljes életciklus során.
b. Informatikai védelem:
I. A személyes adatok kezelésére használt számítógépek és mobil eszközök az Adatkezelő tulajdonát képezik, és az Adatkezelő ellenőrzése alatt állnak.
II. Az adatokhoz való hozzáférés kizárólag egyedi felhasználónévvel és erős jelszóval történik, melyek rendszeres időközönként változtatásra kerülnek.
III. A központi szerverhez, ahol a személyes adatok tárolásra kerülnek, csak megfelelő jogosultsággal rendelkező, kijelölt személyek férhetnek hozzá, szigorúan korlátozva az adminisztrációs jogokat.
IV. A digitális adatok integritásának és rendelkezésre állásának biztosítása érdekében rendszeres adatmentés és archiválás történik, biztosítva az adatok visszaállíthatóságát esetleges adatvesztés esetén.
V. A személyes adatokat tartalmazó informatikai rendszerek és végpontok (számítógépek) naprakész vírusvédelemmel és tűzfallal vannak ellátva a rosszindulatú szoftverek elleni védelem érdekében.
VI. A rendszerekhez való távoli hozzáférés titkosított kapcsolaton (VPN) keresztül történik, amennyiben szükséges.
VII. Az alkalmazott szoftverek és operációs rendszerek rendszeres frissítése (patch management) biztosítja a biztonsági rések mielőbbi bezárását.
12. Érintettek tájékoztatása az adatvédelmi incidensről
Az Adatkezelő az adatvédelmi incidensek kezelése és az érintettek tájékoztatása során a GDPR 34. cikkében foglalt előírásoknak megfelelően jár el.
1. A tájékoztatás kötelezettsége: Amennyiben egy adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő köteles az érintettet indokolatlan késedelem nélkül tájékoztatni az adatvédelmi incidensről.
2. A tájékoztatás tartalma: A tájékoztatásnak világosan és közérthetően megfogalmazva, az érintettek számára könnyen érthető módon kell tartalmaznia legalább az alábbiakat:
a) az adatvédelmi incidens jellegét és kategóriáit;
b) az adatvédelmi tisztviselő vagy egyéb kapcsolattartó nevét és elérhetőségét, akitől további információ kérhető az incidenssel kapcsolatban;
c) az adatvédelmi incidensből eredő valószínűsíthető következményeket (pl. pénzügyi veszteség, reputációs kár, diszkrimináció kockázata);
d) az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve az esetleges hátrányos következmények enyhítését célzó lépéseket.
3. Mikor mellőzhető az érintett tájékoztatása? Az érintettet nem kell tájékoztatni az adatvédelmi incidensről, ha az alábbi feltételek bármelyike teljesül:
a) az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajtott végre, és ezeket az intézkedéseket alkalmazta az adatvédelmi incidens által érintett személyes adatok tekintetében is (különösen azokat, amelyek a személyes adatokat a hozzáférésre jogosult személyek számára értelmezhetetlenné teszik, mint például a titkosítás);
b) az Adatkezelő az adatvédelmi incidens bekövetkezését követően további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat már valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést igényelne. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján vagy hasonlóan hatékony módon (pl. széleskörű médiaértesítés, weboldalon történő közzététel) kell tájékoztatni.
4. Felügyeleti hatóság szerepe: Amennyiben az Adatkezelő még nem értesítette az érintettet, a felügyeleti hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) mérlegelést követően elrendelheti az érintett tájékoztatását.
13. Adatvédelmi incidens bejelentése a hatóságnak
Az Adatkezelő az adatvédelmi incidensek bejelentése során a GDPR 33. cikkében foglalt előírásoknak megfelelően jár el.
1. Bejelentési kötelezettség: Az Adatkezelő köteles az adatvédelmi incidenst indokolatlan késedelem nélkül, és amennyiben lehetséges, legkésőbb 72 órán belül attól az időponttól számítva, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni az illetékes felügyeleti hatóságnak (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH, amelynek jogköre a GDPR 55. cikke alapján kerül meghatározásra).
2. Mikor mellőzhető a bejelentés? A bejelentési kötelezettség alól kivételt képez az az eset, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az Adatkezelő minden esetben alapos kockázatelemzést végez az incidens bekövetkezését követően annak megállapítása érdekében, hogy fennáll-e a bejelentési kötelezettség.
3. Késedelmes bejelentés: Amennyiben a bejelentés nem történik meg a fenti 72 órás határidőn belül, az Adatkezelőnek a bejelentéshez mellékelnie kell a késedelem indoklását is.
4. A bejelentés tartalma: A bejelentésnek a GDPR 33. cikk (3) bekezdése szerint, amennyiben lehetséges, legalább az alábbi információkat kell tartalmaznia:
a) az adatvédelmi incidens jellegét, beleértve – amennyiben lehetséges – az érintett adatkategóriák és az érintettek hozzávetőleges számát, valamint az érintett személyes adatok kategóriáit és hozzávetőleges mennyiségét;
b) az adatvédelmi tisztviselő vagy egyéb kapcsolattartó nevét és elérhetőségét, akitől további információ kérhető;
c) az adatvédelmi incidensből eredő valószínűsíthető következményeket;
d) az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket is.
5. Dokumentációs kötelezettség: Az Adatkezelő nyilvántartást vezet az adatvédelmi incidensekről, amelyben rögzíti az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás célja, hogy a felügyeleti hatóság ellenőrizni tudja a GDPR 33. cikkének való megfelelést.
14. Felülvizsgálat kötelező adatkezelés esetén
Az Adatkezelő a GDPR 5. cikk (1) bekezdésének c) pontjában (adattakarékosság elve) és e) pontjában (tárolási korlátozás elve), valamint az elszámoltathatóság elvének (GDPR 5. cikk (2) bekezdés) való megfelelés érdekében az alábbi felülvizsgálati kötelezettséget teljesíti:
1. Felülvizsgálat szükségessége és gyakorisága: Amennyiben valamely adatkezelési tevékenység időtartamát sem jogszabály, sem közvetlenül alkalmazandó uniós rendelet (pl. GDPR) nem határozza meg, az Adatkezelő köteles legalább 3 évente elvégezni az adott adatkezelés felülvizsgálatát.
2. A felülvizsgálat célja: A felülvizsgálat célja annak ellenőrzése, hogy az adott személyes adat kezelése még mindig szükséges-e a kitűzött adatkezelési cél (célok) eléréséhez. Ezáltal az Adatkezelő biztosítja, hogy csak a feltétlenül szükséges adatokat és csak a feltétlenül szükséges ideig kezelje.
3. Dokumentációs kötelezettség: A felülvizsgálatot dokumentálni kell. A felülvizsgálat során készült dokumentumokat (pl. jegyzőkönyvek, elemzések, döntések) az Adatkezelőnek legalább 10 évig meg kell őriznie.
4. Adatszolgáltatás a felügyeleti hatóság részére: Kérésre a felülvizsgálati dokumentumokat az Adatkezelő köteles a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) átadni ellenőrzés céljából. Ez a kötelezettség az Adatkezelő elszámoltathatósági kötelezettségének részét képezi.
15. Panasztételi lehetőség
Az érintett, amennyiben úgy ítéli meg, hogy az Adatkezelő a személyes adatai kezelése során megsértette a jogait, jogosult panaszt benyújtani a felügyeleti hatósághoz, valamint bírósági jogorvoslattal élni.
1. Panasztételi lehetőség a felügyeleti hatóságnál: Az érintett panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), amennyiben úgy gondolja, hogy a rá vonatkozó személyes adatok kezelése sérti a GDPR vagy más vonatkozó adatvédelmi jogszabályok rendelkezéseit.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elérhetőségei:
– Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C
– Levelezési cím: 1530 Budapest, Postafiók 5
– Telefon: +36-1-391-1400
– Fax: +36-1-391-1410
– E-mail: ugyfelszolgalat@naih.hu
– Weboldal: https://www.naih.hu
2. Bírósági jogorvoslat: Amennyiben az érintett úgy ítéli meg, hogy a GDPR-ban foglalt jogai megsértésre kerültek a személyes adatai nem megfelelő kezelése következtében, jogosult bírósághoz fordulni. A pert az érintett választása szerint a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindíthatja. A perre a Fővárosi Törvényszék az illetékes.
16. Zárszó és alkalmazott jogszabályok
Jelen Adatkezelési Tájékoztató (a továbbiakban: Tájékoztató) összeállítása során az Adatkezelő különös figyelemmel járt el a személyes adatok védelmére vonatkozó hatályos jogszabályok és a releváns hatósági ajánlások rendelkezéseinek való megfelelés biztosítására.
A Tájékoztató alapjául szolgáló és az Adatkezelő adatkezelési tevékenységére vonatkozó legfontosabb jogszabályok és irányelvek az alábbiak:
1. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR).
2. A 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.).
3. A 2001. évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (különös tekintettel a 13/A. §-ra, amely az e-mail címek és más személyes adatok kezelésére vonatkozik a szolgáltatás nyújtása érdekében).
4. A 2008. évi XLVII. törvény – a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról.
5. A 2008. évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (kiemelten a 6. §-ra, amely a közvetlen üzletszerzés, azaz a direkt marketing szabályait rögzíti).
6. A 2005. évi XC. törvény – az elektronikus információszabadságról.
7. A 2003. évi C. törvény – az elektronikus hírközlésről (különösen a 155. §-ra, amely a végberendezéseken tárolt vagy azokon hozzáférhető adatok, mint például a cookie-k elhelyezésének és használatának feltételeit szabályozza).
8. A 16/2011. számú vélemény az Európai Adatvédelmi Testület (EDPB elődje, Article 29 Working Party) által kiadott, a viselkedésalapú online reklám bevált gyakorlataira vonatkozó EASA/IAB-ajánlásról.
9. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlásai, különösen az előzetes tájékoztatás adatvédelmi követelményeiről szóló ajánlások, valamint az adatkezelési gyakorlatra vonatkozó iránymutatások.
Az Adatkezelő fenntartja a jogot a jelen Tájékoztató egyoldalú módosítására, amennyiben azt jogszabályi változások, adatkezelési gyakorlatának átalakulása, vagy egyéb ok indokolttá teszi. A módosítások a közzétételtől hatályosak. Az érintettek számára a Weboldalon mindig a Tájékoztató aktuális és hatályos változata érhető el.