Adatkezelési tájékoztató

Készült az Európa Parlament és Tanács 2016/679. számú Általános Adatvédelmi Rendelete – „GDPR”

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról” című uniós jogszabály alapján.

Verzió: 1.0.

Hatályos: 2022. január 01. napjától

Készítette: Ellenőrizte és jóváhagyta:

Dr. Rosta Zoltán                                         Pósfai Andrea

adatvédelmi felelős                                    egyéni vállalkozó/szolgáltató

 

1. AZ ADATKEZELÉS

Jelen adatkezelési tájékoztatónak az a célja, hogy a talalt-penz.hu weboldalt üzemeltető, szolgáltató/adatkezelő az érintett magánszemélyeket közérthetően és tömören tájékoztassa a személyes adataik kezeléséről, az Európai Unió Általános Adatvédelmi Rendeletének (2016/679. számú Rendelet - „GDPR”) és a magyar Infotörvénynek (2011. évi CXII. törvény) megfelelően.

Pósfai Andrea egyéni vállalkozó (a továbbiakban: adatkezelő) magára nézve kötelezőnek ismeri el jelen tájékoztatóban foglalt szabályokat, amelyeket a hatályos jogi szabályozás alapján alakított ki.

1.1 Az adatkezelő adatai:

Név: Pósfai Andrea egyéni vállalkozó

Cím: Magyarország, 2600 Vác, Borász u. 22.

Telefon: +36-30-9823-455

E-mail: info@talalt-penz.hu

Adószám: 50529887-1-33

Adatvédelmi felelős: Dr. Rosta Zoltán

Tárhely szolgáltató:        UNAS Online Kft.

Cím: 9400 Sopron, Kőszegi út 14.

Adószám: 14114113208

Cégjegyzékszám   08 09 015594

Tel: (06 99) 200 200

Email: unas@unas.hu

 

Adatkezelőként jár el az a személy, szervezet, aki az adatkezelés céljait és eszközeit –önállóan vagy másokkal együtt - meghatározza, aki alapvetően és döntően szabályozza az adatkezelést.

Adatfeldolgozóként jár el az a személy, szervezet, aki az adatkezelő utasításának megfelelően és az általa meghatározott célból dolgozza fel a részére átadott személyes adatokat.

Az adatkezelő a tevékenységét, belső szervezeti eljárását adatkezelési szabályzattal is korlátozza és védi egyben az érintettek személyes adatait, garanciális jogait.

Az adatkezelő vállalja, hogy a weboldalának üzemeltetésével és a szolgáltatásaival kapcsolatos adatkezelése megfelel a mindenkori hatályos uniós és magyar szabályozásnak.

Az adatkezelő fenntartja magának a mindenkori jogot a tájékoztató megváltoztatására, de kötelezettséget vállal annak nyilvánosságra hozatalára és közzétételre.

1.2. Adatkezelési jogalapok, melyek közül minimum egy szükséges az adatkezeléshez:

- az érintett személy hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A Szolgáltató az Európai Uniós Általános Adatvédelmi Rendeletének („GDPR”) elérhetőségével és megismerhetőségével is biztosítja és támogatja a személyes adatok védelméhez fűződő jogokat és garanciákat.

A rendelet elérhető az alábbi címen:

https://www.naih.hu/files/CELEX_32016R0679_HU_TXT.pdf

 

 

2. SZOLGÁLTATÁSI ADATKÖR

Általános tudnivalók

2.1. Szolgáltatás igénybe vétele – személyi adóbevallás revíziója

A szolgáltatást bármely természetes személy igénybe veheti, amelyhez az adott adóbevalláshoz kapcsolódó következő adatok megadására van szükség.

  • Név, lakcím, születési adatok, anyja neve, adójel, telefonszám, e-mail cím és az adóbevallás releváns számadatai, valamint az adókedvezmény fennállásának jogcímét alátámasztó igazolás (ez esetlegesen tartalmazhat egészségügyi adatot, amely azonban nélkülözhetetlen a szolgáltatást igénybe vevő adókedvezményének érvényesítéséhez) és nyilatkozat.

Az adatkezelés célja: ügyfél kiszolgálás, ügyfélkapcsolat elősegítése, tájékoztatás, SZJA adókedvezmény érvényesítése.

Adatkezelési jogalap: szolgáltató jogos érdeke. Adatkezelés időtartama: 1 hó, amennyiben ügyfélkapcsolat nem jön létre.

Adattárolás módja: elektronikus.

 

3. ADATFELDOLGOZÓK

Adatkezelő a tárhely szolgáltatón kívül adatfeldolgozót nem vesz igénybe.

 

4. AZ ÉRINTETT SZEMÉLY ELŐZETES TÁJÉKOZTATÁSA

Az érintettet – tömören, közérthetően és részletesen - tájékoztatjuk az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat.

A tájékoztatásunk kiterjed az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

 

5. A SZEMÉLYES ADATOK, AZ ADATKEZELÉS CÉLJA, JOGALAPJA ÉS IDŐBELI TERJEDELME

Az érintettel kapcsolatos minden személyes adat kezelése önkéntes hozzájáruláson alapul.

Egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

5.1. Levelezési adatok megadása

A kezelt adatok köre: név, cím, telefonszám, e-mail cím.

Jogalap: önkéntes hozzájárulás, adatkezelési cél: tájékoztatás, megrendelést, ügyfélkiszolgálást elősegítő tevékenység.

Az üzeneteket a címzett személy csak rendeltetésszerűen használja fel, amennyiben üzleti kapcsolat nem jön létre, úgy az adatokat az utolsó felhasználói aktivitástól számított maximum 60 napig tárolja, üzleti kapcsolat létrejötte esetén az ágazati jogszabályoknak, illetve a számviteli- és adó szabályoknak megfelelően tárolja és kezeli az adatokat. A számlázási adatokkal kapcsolatos adatkezelési időtartam a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján: 8 év. Adattárolás módja: elektronikus.

 

5.2. Megrendelés során történő személyes adat megadás

Jogalap: önkéntes hozzájárulás és szerződés teljesítéséhez kapcsolódó adatkezelés.

Adatkezelési cél: a szerződésnek az ügyfél igényeinek megfelelő teljesítése, kapcsolattartás biztosítása, szolgáltatás-támogatás.

Személyes adatokat megismerni jogosultak köre: a munkaköri feladatukat ellátó személyek.

Adattárolás módja: elektronikus.

 

6. ADATTÁROLÁS MÓDJA, BIZTONSÁG

Az adatkezelő honlapját kiszolgáló szerver a https://unas.hu -nál található.

6.1. Adatbiztonság

Az adatkezelő külön részletes szabályzatot alkotott az adatbiztonság vonatkozásában.

Az adatkezelő az adatkezelés során megőrzi:

• az integritást és bizalmasságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult, megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;

• a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére módosítására vezetnek. Az ilyen fenyegetésektől megvédendő a szolgáltató megtesz minden tőle elvárható óvintézkedést.

6.2. Adattárolás

Az adatkezelő a szoftvereit és az informatikai eszközeit úgy választja meg és üzemelteti, hogy

a kezelt adat:

- az arra feljogosítottak számára hozzáférhető (rendelkezésre állás),

- hitelessége és hitelesítése biztosított (adatkezelés hitelessége);

- változatlansága igazolható (adatintegritás);

- a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.

Az adatkezelő olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

7. ADATTOVÁBBÍTÁS

Az adatkezelő a felvett személyes adatokat nem továbbítja egyéb címzetteknek vagy adatfeldolgozóknak sem, kivételt képeznek a jogszabályi felhatalmazáson alapuló bírósági, ügyészségi, hatósági megkeresések.

8. ÉRINTETTI JOGOK

Adatkezelő külön nyilvántartást alkotott az érintetti kérelmekkel kapcsolatos eljárások és nyilvántartások vonatkozásában.

8.1. Tájékoztatás

Az érintett bármikor tájékoztatást kérhet személyes adatai kezeléséről, az adatkezelés aktuális megtörténtéről, jogairól, garanciáiról is, így különösen az adatkezelő, adatfeldolgozó személyéről, az adatkezelés jogalapjáról, céljáról, időtartamáról, adattárolás helyéről, adatbiztonsági intézkedésekről.

Az érintett kérelmére az adatkezelő tájékoztatást ad az adatkezeléssel összefüggő tevékenységéről, illetve az adattovábbításról.

Az adatkezelő a kérelem benyújtásától számított észszerűen rövid időn belül, maximum azonban 30 napon belül írásban, közérthető formában adja meg a tájékoztatást.

A tájékoztatás ingyenes, ha a kérelmező ugyanabban az évben ugyanarra a tevékenységre, adatkörre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be.

Ettől eltérő esetekben az adatkezelő költségtérítést állapít meg, és a tájékoztatást a költségtérítés megfizetését követően biztosítja.

8.2. Helyesbítés, korlátozás, törlés

Az adatkezelő a személyes adatot törli,

  • ha kezelése jogellenes,
  • ha az érintett azt kéri,
  • ha az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt,
  • ha azt a bíróság vagy az adatvédelmi hatóság elrendelte.

Az érintett kérheti a személyes adatainak a korlátozását, az esetlegesen felmerült vita, jogkérdés közös tisztázása érdekében vagy más célból.

Az adatkezelő a helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíti, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

8.3. Tiltakozás

Az érintett tiltakozhat személyes adatának kezelése ellen, ha

• a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;

• a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvéleménykutatás vagy tudományos kutatás céljára történik;

• a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.

Az adatkezelő - az adatkezelés egyidejű felfüggesztésével - a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja.

Amennyiben a tiltakozás indokolt, az adatkezelő az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett az adatkezelőnek a meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - bírósághoz fordulhat.

Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította.

8.4. Hatósági, bírósági jogorvoslat

Az adatkezelő tevékenysége ellen panasz tehető, eljárás kezdeményezhető:

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c

Postacím: 1534 Budapest, Pf.: 834

Telefon: +36 (1) 391-1400

Telefax: +36 (1) 391-1410

E-mail: ugyfelszolgalat@naih.hu

Az érintett személy a jogainak megsértése esetén az adatkezelő ellen bírósághoz is fordulhat.

A bírósági illetékességi szabályok jelölik meg az eljáró bíróságot. Az érintett a lakóhelye,

tartózkodási helye szerinti Törvényszéknél is jogosult kezdeményezni az eljárást.

 

4. cikk

 

Fogalommeghatározások

 

?

 

E rendelet alkalmazásában:

 

1.   „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

 

2.   „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

 

3.   „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

 

4.   „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

 

5.   „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

 

6.   „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

 

7.   „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

 

8.   „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

 

9.   „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

 

10.   „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

 

11.   „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

 

12.   „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

 

13.   „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

 

14.   „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

 

15.   „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

 

16.   „tevékenységi központ”:

 

a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;

 

b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

 

17.   „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

 

18.   „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

 

19.   „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

 

20.   „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

 

21.   „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

 

22.   „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:

 

a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;

 

b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy

 

c) panaszt nyújtottak be az említett felügyeleti hatósághoz;

 

23.   „személyes adatok határokon átnyúló adatkezelése”:

 

a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

 

b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

 

24.   „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

 

25.   „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

 

26.   „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

 

?

 

II. FEJEZET

 

Elvek

5. cikk

A személyes adatok kezelésére vonatkozó elvek

(1)   A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

 

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

 

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

 

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

 

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

 

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

 

 

 

6. cikk

 

Az adatkezelés jogszerűsége

 

 

 

(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

 

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

 

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

 

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

 

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

 

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

 

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

 

(2)   Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

 

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

 

a) az uniós jog, vagy

 

b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

 

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

 

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

 

a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

 

b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

 

c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;

 

d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

 

e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

 

 

 

7. cikk

 

A hozzájárulás feltételei

 

(1)   Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

 

(2)   Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

 

(3)   Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

 

(4)   Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.

 

9. cikk

 

A személyes adatok különleges kategóriáinak kezelése

1)   A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

 

(2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

 

a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

 

b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

 

c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

 

d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

 

e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

 

f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

 

g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

 

h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

 

i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

 

j) az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

 

(3)   Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

 

(4)   A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.