Adatkezelési tájékoztató
Röviden:
Személyes adatok kezelésére vonatkozó gyakorlatunk és technikai folyamataink kialakítása során kifejezetten az Európai Parlament és a Tanács (eu) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: „GDPR”), illetve a 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: „Infotv.”) figyelembevételével jártunk el.
Az adatkezelés kizárólag megfelelő jogalap megléte esetén történhet. Az adatkezelésünk alapulhat az érintett kifejezett hozzájárulásán vagy a jogos érdekünkön. Harmadik félnek személyes adatokat csak hozzájárulással adunk át. Az érintett hozzájárulása bármikor visszavonható
Az érintettek részére felvilágosítást adunk a róluk tárolt adatokról legkésőbb 15 napon belül. Érintetti jogok gyakorlása, illetve a hozzájárulása visszavonása: media@netadclick.com
Bevezetés:
Adatkezelő megnevezése
AD SOLUTIONS KFT.
Cégjegyzékszám
01-09-930495
Adószám
11695057-2-41
Székhely
1031 Budapest, Lilla utca 8.
Elérhetőség
Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről a GDPR 13. cikkében foglaltak alapján, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról.
Tájékoztatni kell az érintettet az Info tv. 6. § (1) bekezdése alapján arról is, hogy személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
- az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:
- az adatgyűjtés ténye,
- az érintettek köre,
- az adatgyűjtés célja,
- az adatkezelés időtartama,
- az adatok megismerésére jogosult lehetséges adatkezelők személye,
- az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint
- ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma.
Jelen adatkezelési tájékoztató az alábbi weboldalak adatkezelését szabályozza:
Fő domain: https://indidata.com/
Átirányított domain: https://indidata.hu/
A tájékoztató módosításai a fenti címen történő közzététellel lépnek hatályba. A tájékoztató egyes fejezetcímei mögött megjelenítjük a jogszabályi hivatkozást is
Fogalommeghatározások:
- „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
- „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
- „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
- „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- „tevékenységi központ”: a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
- „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
- „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
- „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
- „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
- „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
- „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz;
- „személyes adatok határokon átnyúló adatkezelése”: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
- „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
Az adatkezelés jogalapja:
- Személyes adat akkor kezelhető, ha
- ahhoz az érintett hozzájárul, vagy
- azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete közérdeken alapuló célból
- Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
- az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
- az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
- Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek.
- A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
- Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
- Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában
- a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
- az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll
A személyes adatok kezelésére vonatkozó elvek:
A személyes adatok:
- kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
- gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
- az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- pontosnak és szükség esetén naprakésznek kell lenniük;
minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
- tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
- kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
Kezelt adatok:
A kezelt adatok köre, az adatkezelés célja és jogalapja
Személyes adat |
Adatkezelési cél |
Adatkezelési jogalap |
Adatkezelés időtartama |
Név, email, telefonszám |
Hírlevélre feliratkozó személyek nyilvántartása, marketing célú megkeresés az Adatkezelő tevékenységével összefüggésben |
Az érintett hozzájárulása - GDPR 6. cikk (1) bekezdés a |
A hozzájárulás visszavonásáig, illetve a hírlevélről történő leiratkozásig. |
Név, e-mail cím, telefonszám |
Nyereményjáték kapcsán a promóció lebonyolítása, kapcsolattartás |
GDPR 6. cikk (1) f) pontja alapján az Adatkezelő jogos érdeke |
A nyertesek értesítésére nyitva álló határidő, melyet a vonatkozó játékszabály alapján határozunk meg. |
Név, e-mail cím, kézbesítési adatok |
Nyereményjáték kapcsán a nyeremény átadása és ennek dokumentálása |
GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség (a számvitelről szóló 2000. évi C. törvény 168-169. §) |
A nyeremények átadását követő 8 évig. |
Az érintett által használt eszköz típusa (számítógép vagy mobiltelefon) és eszközazonosítója (MAC vagy eszköz ID), a nyilatkozattétel időpontja, valamint az IP cím. |
Marketing és célzott megkeresések kapcsán a kifejezett hozzájárulás igazolására vonatkozó adatok |
A kifejezett hozzájáruló nyilatkozat megtételének igazolása, mint jogos érdek (GDPR 6. cikk (1) bekezdés f) pont). |
A hozzájárulás visszavonásától számított 5 éves időtartam (általános elévülés). |
Az érintett számára egyedi ajánlatok adása, kedvezmények elérhetőségéről, igénybevételének lehetőségéről való tájékoztatása; |
Az érintett által a hozzájáruló nyilatkozaton vagy azzal összefüggésben megadott adatok. |
Az érintett hozzájárulása - GDPR 6. cikk (1) bekezdés a |
A hozzájárulás visszavonásáig, mely hozzájárulás bármikor visszavonható. |
Honlap látogatottsági statisztikák elkészítése |
Az érintett által a hozzájáruló nyilatkozaton vagy azzal összefüggésben megadott adatok. |
Az érintett hozzájárulása - GDPR 6. cikk (1) bekezdés a |
A hozzájárulás visszavonásáig, mely hozzájárulás bármikor visszavonható. |
Internetes használati szokások kapcsán komplex kutatási program elkészítése |
Az érintettre vonatkozó demográfiai adatok, vásárlási preferenciák, az érintett által a kutatásban használt eszköz online azonosítói, illetve technikai adatai kizárólag az eszköz vonatkozásában, továbbá a kutatás során megfigyelt tartalmakra való kattintások száma és interakciókra vonatkozó adatok. A kutatási eredményeket harmadik fél részére kizárólag anonimizált formában, összesítve adjuk át oly módon, hogy abból az érintett személye sem közvetve, sem közvetlenül nem azonosítható, ide nem értve, ha kifejezett hozzájárulást ad a kutatási eredmények azonosítható módon való továbbításához. |
Az érintett hozzájárulása - GDPR 6. cikk (1) bekezdés a |
A hozzájárulás visszavonásáig, mely hozzájárulás bármikor visszavonható. |
Az Adatkezelő– az érintett kifejezett hozzájárulás esetén – az egyedi ajánlatok és célzott, személyre szabott, az érintett számára valóban releváns reklámtartalmak előállítása érdekében, illetve az érintettek igényeinek felmérése és az ügyfélelégedettség, a piackutatás és célcsoport képzés kapcsán profilalkotást végez, melynek keretében az iránti érdeklődésével, szolgáltatás- és termékhasználati szokásaival, az egyes fogyasztói termékek és szolgáltatások igénybevételével összefüggő, az érintett által megadott, valamint a már az Adatkezelő esetlegesen rendelkezésére álló (kizárólag a korábban már e célból hozzájárulást adott érintettek esetén) adatokat elemzi. A profilalkotás ellen az érintett tiltakozhat, illetve megadott hozzájárulását bármikor visszavonhatja a jelen tájékoztatóban ismertetettek szerint.
Az Adatkezelő az érintett viselkedésén alapuló algoritmusok segítségével, az anonimizált adatok felhasználása mellett, a weboldal látogatók végfelhasználói készülékén elhelyezett cookie-k és egyéb technikai megoldások segítségével érdeklődési kör alapú anonim csoportokat létrehozhat, és e csoportok segítségével célzott hirdetési és tartalmi (ún. remarketing), továbbá kényelmi szolgáltatások nyújthat.
Adattovábbításra csak akkor kerülhet sor, ha az adattovábbításhoz az érintett kifejezetten hozzájárult.
Adatfeldolgozás
Adatfeldolgozó megnevezése |
Adatfeldolgozás célja |
Adatfeldolgozás megjegyzés |
Rackforest Kft.Székhely: 1116 Budapest, Sáfrány utca 6.E-mail: info@rackforest.com |
szerverhosting tevékenység, informatikai háttértámogatás |
kezelt adatok köre: tárhelyszolgáltatás keretében valamennyi kezelt adat |
Star Soft Kft. Székhely: 2517 Kesztölc, Csévi u. 3. |
Direkt sales és kapcsolattartás, üzleti ügyfelek felkeresése |
kizárólag azon személyes adatok, mely személyes adatok kezeléséhez az érintett hozzájárult |
Bonczi Kata, egyéni vállalkozó Székhely: 1091 Budapest, Ifjúmunkás u. |
Marketing tervezési szolgáltatás |
kizárólag projekt alapon, az egyes kampányok elkészítése során közreműködve a kérdőíveken szereplő érintetti adat |
Dupplak Kft.Székhely: 3327 Novaj, Bajcsy-Zsilinszky E. u. 2/a. |
Symbion.eu számlázó szolgáltatás |
számlázási adatok, amennyiben azokon személyes adat azonosítható |
Persolyzer Kft.1031 Budapest, Lilla utca 8. |
Marketing tervezési szolgáltatás |
projekt alapon tanácsadás keretében az egyes címzetti listákhoz hozzáférés (megtekintés) |
Internet Marketing Kft.1031 Budapest, Lilla utca 8. |
Marketing tervezési szolgáltatás |
E-DM kampányok tervezésében részvétel |
Az adatkezelés biztonsága:
- Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
- a személyes adatok álnevesítését és titkosítását;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
- fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
- A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből
- Az adatkezelő, illetve az adatfeldolgozó GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy a meghatározott követelményeket teljesíti.
- Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
Az érintettek jogai:
- Az érintett kérelmezheti az Adatkezelőnél, hogy az adjon tájékoztatását személyes adatai kezeléséről, kérheti személyes adatainak helyesbítését, valamint kérheti személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását.
- Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.
- Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb
- Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás
- Érintett kérelmére Adatkezelő tájékoztatást ad az általa kezelt adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az esetleges adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában adja meg a tájékoztatást. A tájékoztatás
- Adatkezelő, amennyiben a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot helyesbíti.
- Törlés helyett Adatkezelő zárolja a személyes adatot, ha a Felhasználó ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené a Felhasználó jogos érdekeit. A zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
- Adatkezelő törli a személyes adatot, ha kezelése jogellenes, az érintett kéri, a kezelt adat hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható - feltéve, hogy a törlést törvény nem zárja ki, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság
- Az adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
- A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
- Ha az Adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
Jogorvoslat:
Az Érintett személyes adatainak kezelésével kapcsolatban panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (1055 Budapest, Falk Miksa utca 9-11.; postacím: 1363 Budapest, Pf.: 9.; e-mail: ugyfelszolgalat@naih.hu; telefon: +36 (30) 683-5969, +36 (30) 549-6838; +36 (1) 391 1400; Fax: +36 (1) 391-1410), illetve bírósághoz is fordulhat a tartózkodási helye szerint illetékes törvényszéken.
Általános Adatfeldolgozási Szerződési Feltételek (Adatfeldolgozási ÁSZF)
Jelen Általános Adatfeldolgozási Szerződési Feltételeket a
AD SOLUTIONS KFT.
Cégjegyzékszám
01-09-930495
Adószám
11695057-2-41
Székhely
1031 Budapest, Lilla utca 8.
Elérhetőség
mint adatkezelő alkalmazza mindazokban az esetekben, amikor az Adatkezelő az Általános Szerződési Feltételei alapján adatfeldolgozói jog természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében személyes adatokat kezel.
- Az ÁASZF meghatározza az adatkezelő és az adatfeldolgozó (a továbbiakban együttes említésük esetén „felek”, önálló említésük esetén „fél”) jogait és kötelezettségeit a személyes adatoknak az adatkezelő nevében történő kezelése során.
- Jelen ÁASZF-ben nem szabályozott kérdésekben az Adatkezelő Adatkezelési Tájékoztatója irányadó.
- Az ÁASZF célja annak biztosítása, hogy a felek megfeleljenek a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban „általános adatvédelmi rendelet” vagy „GDPR”) 28. cikke (3) bekezdésének.
- Az adatkezelő kizárja, hogy az adatfeldolgozó bármely harmadik személyt vegyen igénybe
- Az ÁASZF nem mentesíti az adatfeldolgozót azon kötelezettségek alól, amelyek az általános adatvédelmi rendelet vagy más jogszabályok értelmében az adatfeldolgozóra vonatkoznak.
- Az adatkezelő feladata gondoskodni arról, hogy a személyes adatok kezelése az általános adatvédelmi rendelettel (lásd az általános adatvédelmi rendelet 24. cikkét), a vonatkozó uniós vagy tagállami adatvédelmi rendelkezésekkel és az ÁASZF-fel összhangban történjen.
- A személyes adatok kezelésének céljaival és eszközeivel kapcsolatos döntéseket az adatkezelő jogosult és köteles meghozni.
- Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha az adatkezelő által adott utasítások az adatfeldolgozó véleménye szerint ellentétesek az általános adatvédelmi rendelettel vagy az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezésekkel. Az Adatfeldolgozó kifejezetten tudomásul veszi, hogy a saját felületén történő adatkezelések vonatkozásában az Adatfeldolgozó kizárólagos felelőssége az adatkezelések jogalapjára vonatkozó jogszerűség biztosítása, ideértve, de nem kizárólag az érintettek számára megfelelő és részletes tájékoztatás biztosítását, mely megfelel a GDPR-ban foglalt érintetti tájékoztatásra vonatkozó kötelezettségeknek, továbbá olyan tájékoztatást biztosítson, mely alapján az érintett döntést hozhat a kifejezett hozzájárulás megadásáról vagy elutasításáról. Az Adatfeldolgozó kifejezetten felel és szavatol azért, hogy az érintetti hozzájárulás kapcsán az érintett által a hozzájárulás megadását vagy elutasítását biztosító digitális felület kialakításakor úgy jár el, hogy az érintetti tájékoztatás feltételei fennálljanak, továbbá a hozzájárulás megfelel a GDPR 7. cikkében foglalt feltételeknek.
- Adatfeldolgozó kifejezetten vállalja és szavatol, hogy az Adatkezelő részére átadott adatok jogszerűsége biztosított, azok az érintett megfelelő tájékoztatását követően valódi és jogszerű hozzájáruláson alapulnak.
- Az Adatfeldolgozó kifejezett felelőssége, hogy az adatkezeléssel kapcsolatos egyedi utasítás elmaradása esetén az Adatkezelőt felhívja az adatfeldolgozással kapcsolatos utasítás közlésére, vagy a közölt utasítás egyes elemeinek elmaradása esetén az elmaradt közlés pótlására.
- A GDPR 32. cikke előírja, hogy figyelembe véve a technika állását, a végrehajtás költségeit, az adatfeldolgozás jellegét, hatókörét, körülményeit és céljait, valamint a természetes személyek jogaira és szabadságaira jelentett változó valószínűségű és súlyosságú kockázatot, az adatkezelőnek és az adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell végrehajtania a kockázat mértékének megfelelő biztonsági szint biztosítása érdekében.
- Az adatfeldolgozó értékeli a természetes személyek jogait és szabadságait érintő, az adatkezeléssel járó kockázatokat, és intézkedéseket hajt végre e kockázatok csökkentésére.
Relevanciájuktól függően az intézkedések a következőket foglalhatják magukban:
- a személyes adatok álnevesítése és titkosítása;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és el-lenálló képességének biztosítása
- fizikai vagy műszaki incidens esetén a személyes adatokhoz való hozzáférésnek és az adatok rendelkezésre állásának a kellő időben való helyreállítási képessége;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás.
- Az általános adatvédelmi rendelet 32. cikke szerint az adatfeldolgozó – az adatkezelőtől függetlenül is – értékeli a természetes személyek jogait és szabadságait érintő, az adatkezelés természetéből fakadó kockázatokat is, és az e kockázatok csökkentését szolgáló intézkedéseket alkalmaz.
- Az adatfeldolgozó segíti az adatkezelőt az általános adatvédelmi rendelet 32. cikke szerinti kötelezettségeinek teljesítésében, többek között azáltal, hogy tájékoztatja az adatkezelőt az adatfeldolgozó által az általános adatvédelmi rendelet 32. cikke szerint már végrehajtott technikai és szervezési intézkedésekről, valamint minden egyéb olyan információról, amely az adatkezelőnek az általános adatvédelmi rendelet 32. cikke szerinti kötelezettségének teljesítéséhez szükséges.
- Az adatfeldolgozó a teljesítése érdekében nem vehet igénybe másik adatfeldolgozót (a továbbiakban „további adatfeldolgozó”).
- Az adatfeldolgozó nem továbbíthat adatot harmadik országba, ilyet az adatkezelő nem kér és nem ad erre utasítást.
- Az ÁASZF rendelkezései nem keverhetők össze az általános adatvédelmi rendelet 46. cikke (2) bekezdésének c) és d) pontja szerinti általános adatvédelmi kikötésekkel, és a felek nem hivatkozhatnak rájuk az általános adatvédelmi rendelet V. fejezete szerinti adattovábbítási eszközként.
- Az adatkezelés jellegének figyelembevételével az adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében. Ez azt jelenti, hogy az adatfeldolgozónak a lehetséges mértékben segítenie kell az adatkezelőt abban, hogy az adatkezelő tiszteletben tudja tartani a következőket:
- tájékoztatáshoz való jog, amikor személyes adatokat gyűjtenek az érintettől;
- tájékoztatáshoz való jog abban az esetben, ha a személyes adatokat nem az érintettől szerezték be;
- az érintett hozzáférési joga;
- a helyesbítéshez való jog;
- a törléshez való jog („az elfeledtetéshez való jog”);
- az adatkezelés korlátozásához való jog;
- a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség;
- az adathordozhatósághoz való jog;
- kifogásolási jog;
- a kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés joga;
- Az adatfeldolgozónak azon kötelezettsége mellett, hogy segítséget nyújtson az adatkezelőnek, az adatfeldolgozó – figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat – segítséget nyújt az adatkezelőnek az alábbiaknak való megfelelésben:
- az adatkezelő kötelezettsége, hogy az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelentse az illetékes felügyeleti hatóságnak [Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei: Postacím: 1363 Budapest, Pf. 9.; cím: 1055 Budapest, Falk Miksa u. 9-11.; telefon: +36-1-391-1400; fax: +36 -1-391-1410; e-mail: ugyfelszolgalat@naih.hu; internetcím: naih.hu], kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve;
- az adatkezelő azon kötelezettsége, hogy indokolatlan késedelem nélkül tájékoztassa az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve;
- az adatkezelő azon kötelezettsége, hogy hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik (a továbbiakban „adatvédelmi hatásvizsgálat”);
- az adatkezelőnek az illetékes felügyeleti hatósággal való konzultációra vonatkozó kötelezettsége a személyes adatok kezelését megelőzően, ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár.
- Az adatfeldolgozó bármely adatvédelmi incidens esetén az incidensről való tudomásszerzést követően haladéktalanul értesíti az adatkezelőt az adatvédelmi incidensről.
- Az adatfeldolgozónak – lehetőség szerint – az adatvédelmi incidensről való tudomásszerzéstől számított 72 órán belül kell értesítenie az adatkezelőt annak érdekében, hogy az adatkezelő eleget tehessen az adatvédelmi incidensek illetékes felügyeleti hatóság részére történő bejelentésére vonatkozó kötelezettségének (vö. általános adatvédelmi rendelet 33. cikke).
- Az adatfeldolgozó segíti az adatkezelőt az adatvédelmi incidensnek az illetékes felügyelő hatóság felé történő bejelentésében, ami azt jelenti, hogy az adatfeldolgozónak segítenie kell az alábbiakban felsorolt azon információk beszerzésében, amelyeket az általános adatvédelmi rendelet 33. cikkének (3) bekezdése értelmében az adat-kezelőnek az illetékes felügyelő hatóság felé tett bejelentésében fel kell tüntetnie:
- a személyes adat jellege, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az érintett személyes adatok kategóriáit és hozzávetőleges számát;
- az adatvédelmi incidensből eredő, valószínűsíthető következmények;
- az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
- A személyes adat feldolgozására irányuló, 5. pontban meghatározott tevékenység lezárásakor, de legkésőbb a Adatkezelő által meghatározott időszak utolsó napját követő 3 munkanapon belül az adatfeldolgozó köteles az összes személyes adatot megküldeni és átadni az adatkezelőnek, és törölni a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő.
- Az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikkben és a szerződési feltételekben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
- Az adatfeldolgozó köteles az adatkezelő és az adatfeldolgozó létesítményeihez az alkalmazandó jogszabályok alapján hozzáféréssel rendelkező felügyelő hatóságok vagy az ilyen felügyelő hatóságok nevében eljáró képviselők számára a megfelelő módon történő azonosítás mellett hozzáférést biztosítani az adatfeldolgozó fizikai létesítményeihez.
2023-04-01