Adatkezelési tájékoztató

Adatkezelési Szabályzat

[GDPR alapján]

 

Data Processing Regulation

[based on the GDPR]

 

Közzététel időpontja:

2018. május 25.

Date of publication:

May 25, 2018.

Aláírás/dátum Signature/date
Jóváhagyta:

Mészáros Balázs ügyvezető igazgató

Jakab Ferenc ügyvezető igazgató

Approved by:

Mészáros Balázs Managing Director

Jakab Ferenc Managing Director

 

A Vállalkozás mint adatkezelő azonosító adatai: Plastimat Magyarország Kft. (2500 Esztergom, Rubik Ernő utca 05. e-mail: info@plastimat.hu, telefon: 33/510030, fax: 33/510031) Identifying data of the Enterprise as data controller: Plastimat Magyarország Kft. (2500 Esztergom, Rubik Ernő utca 05. e-mail: info@plastimat.hu, phone: 33/510030, fax: 33/510031
A Vállalkozás képviselőinek adatai: Jakab Ferenc és Mészáros Balázs (2500 Esztergom, Rubik Ernő utca 05., e-mail: info@plastimat.hu, telefon: 33/510030, fax: 33/510031) Identifying data of the Enterprise as data controller: Jakab Ferenc és Mészáros Balázs (2500 Esztergom, Rubik Ernő utca 05. e-mail: info@plastimat.hu, telefon: 33/510030, fax: 33/510031):

 

Értelmező rendelkezések

Interpretative provisions

adatfeldolgozó      az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel data processor      the natural or legal person, public authority, agency or other body, which processes personal data on behalf of the data controller
adatkezelés            a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés data processing    any operation or set of operations, which is performed on personal data or sets of personal data whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction
adatkezelő              az a természetes, vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; a jelen Szabályzat tekintetében adatkezelőnek minősül különösen a Vállalkozás, illetve azok az egyéb jogalanyok, akik a Vállalkozás adatkezelésével közös adatkezelést végeznek, vagy a Vállalkozás adatkezelésére tekintettel, de önálló adatkezelést végeznek data controller      the natural or legal person, public authority, agency or other body, which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of data processing are determined by Union or Member State laws, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; according to this Regulation the Enterprise and those other entities that perform data processing jointly with the Enterprise or perform data processing with regard to, but independently of the Enterprise’s data processing, qualify as data controllers
adatvédelmi

incidens                  a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi

personal data

breach                      a breach of security leading to the accidental or unlawful destruction, loss, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed

az Érintett

hozzájárulása        az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez

consent of the

Data Subject          any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her

címzett                    az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak recipient                 the natural or legal person, public authority, agency or another body to which the personal data are disclosed, whether a third party or not. However, public authorities, which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State laws shall not be regarded as recipients; the processing of those data by such those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing
DPO                          data protection officer; magyarul: adatvédelmi tisztviselő DPO                          data protection officer; in Hungarian: adatvédelmi tisztviselő
EGT tagállam        az Európai Gazdasági Térség tagállamai, így valamennyi EU tagállam, valamint Norvégia, Liechtenstein és Izland EEA member state          the member states of the European Economic Area, that is the EU member states, plus Norway, Liechtenstein and Iceland
Érintett                   az a természetes személy, akinek a személyes adatait kezelik Data subject          the natural person whose personal data is processed
EU tagállam          az Európai Unió tagállamai, így Ausztria, Belgium, Bulgária, Ciprus, Csehország, Dánia, Egyesült Királyság, Észtország, Finnország, Franciaország, Görögország, Hollandia, Horvátország, Írország, Lengyelország, Lettország, Litvánia, Luxemburg, Magyarország, Málta, Németország, Olaszország, Portugália, Románia, Spanyolország, Svédország, Szlovákia és Szlovénia EU member states           member states of the European Union, that is, Austria, Belgium, Bulgaria, Cyprus, the Czech Republic, Denmark, the United Kingdom, Estonia, Finland, France, Greece, the Netherlands, Croatia, Ireland, Poland, Latvia, Lithuania, Luxemburg, Hungary, Malta, Germany, Italy, Portugal, Romania, Spain, Sweden, Slovakia and Slovenia
Felügyeleti

hatóság                    egy európai uniós tagállam által a GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv

Supervisory

authority                 an independent public authority, which is established by a member state of the European Union pursuant to Article 51 of the GDPR

GDPR                       Az európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) GDPR                       Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
harmadik fél          az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak third party              the natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons, who, under the direct authority of the controller or processor, are authorized to process personal data
különleges adatok            a személyes adatok különleges kategóriáiba tartozó személyes adatok special data           personal data belonging to special categories of personal data
Nemzetközi

szervezet                 a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre

International

organization          an organization and its subordinate bodies governed by international law, or any other body which is set up by, or on the basis of, and agreement between two or more countries

profilalkotás          személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják profiling                  any form of automated processing of personal data consisting of the use of personal data to evaluate certain aspects relating to a natural person, in particular to analyse or predict aspects concerning the natural person’s performance at work, economic situation, health, preferences, interests, reliability, behavior, location or movements
személyes adat     azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható personal data        any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to and identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
személyes adatok

különleges

kategóriái               a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok

special categories

of personal data   personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation

Vállalkozás             Plastimat Magyarország Kft., mint adatkezelő Enterprise              Plastimat Magyarország Kft. as data controller
A GDPR által meghatározott egyéb fogalmakat annak 4. cikke tartalmazza. Other terms determined by GDPR are in Article 4 of the same.

 

 

 

1          A szabályzat célja

1          Purpose of the regulation

Az Adatkezelési Szabályzat célja olyan intézkedések bevezetése és következetes alkalmazása, amelyek az Érintettek személyes adatainak pontos és biztonságos, valamint a hatályos uniós és tagállami adatvédelmi szabályoknak megfelelő, a Vállalkozás szintjén egységesen megvalósított kezelését biztosítják. The purpose of the Data Processing Regulation is the introduction and consistent application of measures that ensure the processing of the personal data of the Data Subjects in a safe and secure manner, in compliance with the effective Union and Member State data protection regulations, realized uniformly on Enterprise level.
Az Adatkezelési Szabályzat ugyanakkor tömör, átlátható és könnyen hozzáférhető tájékoztatást nyújt az Érintettek számára a Vállalkozás által kezelt személyes adataikhoz való hozzáférésről, valamint rendelkezik és tájékoztatást nyújt a Vállalkozás által az Érintettek jogainak biztosítására vonatkozó szabályokról. At the same time, the Data Processing Regulation provides brief, clear and easily accessible information for the Data Subjects about access to their personal data processed by the Enterprise, and provides information about the rules related to ensuring the rights of the Data Subjects by the Enterprise.

2         Adatkezelési alapelvek

2         Data processing principles

Személyes adatok kezelésének megkezdése előtt minden esetben gondosan mérlegelni kell, hogy erre ténylegesen szükség van-e. Személyes adatok kezelését kizárólag akkor lehet megkezdeni, ha kétséget kizáróan indokolható, hogy az adatkezelés célját más módon nem lehet megvalósítani. Before starting the processing of personal data, it must be carefully assessed at all times whether it is actually necessary. The processing of personal data can only be started if it can be justified beyond any doubt that the purpose of data processing cannot be realized in any other way.
A Vállalkozás köteles az Érintettek személyes adatait jogszerűen, tisztességesen, átlátható módon kezelni. Senkit nem érhet hátrány abból eredően, hogy a Vállalkozásnál, illetve a jelen Szabályzatban meghatározott egyéb hatóságnál eljárást, jogorvoslatot kezdeményezett vagy bejelentést tett, illetve, hogy a hozzájáruláson alapuló adatkezelés esetén a hozzájárulását megtagadta vagy visszavonta. The Enterprise shall process the personal data of Data Subjects lawfully, fairly and in a transparent manner. No one should suffer any drawbacks due to having initiated proceedings, legal remedies or having submitted reports to the Enterprise or other authorities specified in this Regulation, or having denied or revoked their consent in the case of consent-based data processing.
Az Érintettek személyes adatainak gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A Vállalkozás köteles eleve elkerülni, illetve utóbb megszüntetni minden olyan adatkezelést, amely az adott személyes adatra vonatkozó céllal össze nem egyeztethető módon történik. A Vállalkozás csak a szükséges mértékben jogosult személyes adatot kezelni, és köteles minden olyan személyes adatot törölni, amelynek tekintetében az adatkezelés célja megszűnt, illetve az adatkezelés jogalapja nem igazolható. Collection of the personal data of the Data Subjects can only be performed for specific, clear and legal purposes. The Enterprise shall avoid all such data processing that is done in a manner that cannot be adjusted to the purpose related to the personal data in question in the first place or shall terminate such data processing afterwards. The Enterprise is only entitled to process personal data to the extent necessary and shall delete all personal data concerning which the purpose of data processing ceased to exist or concerning which the legal basis for data processing cannot be justified.
A Vállalkozás köteles olyan kontrollmechanizmusokat bevezetni, amelyek alkalmasak arra, hogy már előzetesen is, illetve utóbb szűrő jelleggel biztosítható legyen, hogy The Enterprise shall introduce control mechanisms that are suitable for ensuring the following even beforehand, or afterwards by screening:
(i)                 a személyes adatok már az adatfelvétel időpontjában, majd az adatkezelés teljes időtartama alatt az adatkezelés céljainak megfelelnek, továbbá (i)                 the personal data is in compliance with the purposes of data processing already at the time of recording such data then during the full period of the data processing, and
(ii)               az adatkezelés mértéke mind az adatok körét, mind az adatkezelés időtartamát illetően a szükségesre korlátozódik. (ii)               the extent of data processing is restricted to the necessary extent considering both the scope of the data and the period of data processing.
A Vállalkozás által kezelt személyes adatoknak pontosnak és naprakésznek kell lenniük. A Vállalkozás köteles minden ésszerű intézkedést megtenni annak érdekében, hogy pontos személyes adatok kerüljenek kezelésre, Personal data processed by the Enterprise shall be accurate and up to date. The Enterprise shall take every reasonable measure so that accurate personal data is processed,
(i)                 az adatkezelés céljai szempontjából felesleges, időközben feleslegessé váló személyes adatokat haladéktalanul töröljék; (i)                 personal data that is useless from the perspective of the purposes of data processing or that becomes useless in the meantime shall be erased immediately;
(ii)               a pontatlan személyes adatokat helyesbítsék vagy töröljék. (ii)               inaccurate personal data shall be rectified or erased.
A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Storage of personal data shall be done in a manner that makes identification of the Data Subjects possible only for a period necessary for the achievement of the purposes of personal data processing.
A személyes adatok kezelését olyan módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve mindazon lépéseket, melyek a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmét szolgálja. Processing of personal data shall be performed so that by applying appropriate technical or organizational measures, the adequate security of personal data can be ensured, including all measures that serve to protect personal data against unauthorized or illegal processing, incidental loss, destruction or damage.

3         Az adatkezelés jogszerűsége

3         Legality of data processing

Az adatkezelés alapjának helytálló meghatározása és a kiválasztott jogalaphoz tartozó további feltételek teljesítése a jogszerű adatkezelés előfeltétele. A jogszerűség követelménye tehát szűkebben véve a megfelelő adatkezelési jogalap meglétét feltételezi, tágabban értelmezve pedig azt jelenti, hogy a személyes adatok kezelésére csak az adott adatkezelési jogalapra vonatkozó jogszabályokkal összhangban kerülhet sor. The accurate definition of the basis of data processing and meeting additional conditions regarding the selected legal basis are requirements of lawful data processing. Therefore, the requirement of legality in a narrow sense assumes the existence of an appropriate legal basis for data processing and in a broader sense means that processing of personal data can only be done in accordance with legal regulations related to the relevant legal basis for data processing.
A Vállalkozás az általa végzett tevékenységre tekintettel az Érintettek személyes adatai tekintetében az alábbi főbb jogalapok közül választhat az adatkezelés jellegének és körülményeinek megfelelően. Az első alpontban említett főbb jogalapok a személyes adatok különleges kategóriái kivételével minden személyes adatra vonatkoznak, míg a második alpont a személyes adatok különleges kategóriáira vonatkozó jogalapokkal kapcsolatos speciális rendelkezéseket rögzíti. Considering the activity it performs, the Enterprise may select from the following main legal bases with regards to the personal data of the Data Subjects, in accordance with the nature and circumstances of data processing. The main legal bases mentioned in the first sub-section are applicable to all personal data with the exception of the special categories of personal data, while the second sub-section establishes the special provisions concerning the legal bases related to the special categories of personal data.

3.1         Személyes adatok, a különleges adatok kivételével

3.1         Personal data with the exception of special data

A Vállalkozás az Érintett személyes adatait – ide nem értve a különleges adatokat – különösen az alábbi jogalapon kezelheti: The Enterprise may process the personal data of the Data Subject – not including special data – especially on the following legal bases:
(i)              Hozzájárulás: Az Érintett – amennyiben a hozzájárulás önkéntessége bizonyítható – hozzájárulást adhat személyes adatainak kezeléséhez (ennek mintáját az 1. sz. melléklet tartalmazza). Amennyiben a Vállalkozás a közvetlenül 16. életévét be nem töltött gyermekeknek kínált információs társadalommal összefüggő szolgáltatások kapcsán a 16. életévét be nem töltött gyermek személyes adatait kezeli, főszabály szerint csak akkor és olyan mértékben jogszerű az adatkezelés, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, ill. engedélyezte. Az Érintett a hozzájárulását önkéntes alapon nyújtja, és jogosult azt bármikor visszavonni. A visszavonás az azt megelőzően végrehajtott adatkezelés jogszerűségét nem érinti. (i)                 Consent: The Data Subject – if the voluntary nature of the consent can be proven – may give consent to the processing of their personal data (a sample is provided in Attachment 1). If the Enterprise processes the personal data of children under the age of 16 in connection with services related to information society and directly offered to children under the age of 16, as a rule of thumb, data processing is only legal when and to the extent the person exercising parental supervision over the child consented to it or authorized it. The Data Subject gives their consent voluntarily and is entitled to revoke it at any time. The revoking does not concern the legality of data processing performed beforehand.
(ii)            Szerződés előkészítése, ill. szerződés teljesítése: Ez a jogalap alkalmazható a szerződéshez (pl. szolgáltatás nyújtására irányuló szerződés, munkaszerződés, tanulmányi szerződés) teljesítéséhez szükséges adatkezelések esetén, amelyben az Érintett az egyik fél, vagy ha az adatkezelés a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges. (ii)               Preparation and performance of a contract: This legal basis is applicable in the case of data processing necessary for the performance of the contract (e.g. service contract, employment contract, study contract) if the Data Subject is one of the parties or if data processing is necessary to take steps at the request of the Data Subject before the conclusion of the contract.
(iii)          Jogi kötelezettség teljesítése: Uniós vagy nemzeti jog által megkívánt adatkezelés. (iii)             Performance of legal obligations: Data processing required by Union or national laws.
(iv)           Jogos érdek: Idetartoznak a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelések. A Vállalkozás vagy harmadik fél jogos érdekét az adott adatkezelési célra vonatkozó adatkezelési tájékoztató rögzíti. Jogos érdeken alapuló adatkezelés csak abban az esetben történhet, ha a Vállalkozás érdekmérlegelési tesztet készít, amelyben rögzíti és megvizsgálja, hogy a Vállalkozás jogos érdeke arányosan korlátozza-e az Érintett személyes adatok védelméhez való jogát, magánszféráját, illetve azt, hogy miként biztosítható az egyensúly a Vállalkozás és az Érintett érdekei között. Az érdekmérlegelési teszt nem része az adatkezelési tájékoztatónak. (iv)              Legitimate interest: Data processing is necessary for the enforcement of the legitimate interests of the Enterprise or a third party. The legitimate interest of the Enterprise or a third party is established in the data processing information booklet concerning the data processing purpose in question. Data processing based on legitimate interest may only be done if the Enterprise prepares an interest assessment test in which the Enterprise establishes and assesses whether the legitimate interest of the Enterprise limits the right to the protection of personal data of the Data Subject and their private sphere proportionately, and how the balance between the interests of the Enterprise and the Data Subject can be ensured. The interest assessment test is not a part of the data processing information.
(v)             [Egyéb, az adott adatkezelési cél szempontjából egyedi adatkezelési jogalapok lehetnek még: az Érintett vagy egy másik természetes személy létfontosságú érdeke vagy közérdekű adatkezelés, illetve a Vállalkozásra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat ellátásával összefüggő adatkezelés.][1] (v)                [Other legal bases, specific from the perspective of the relevant data processing purpose can be: the vital interest of the Data Subject or another natural person or data processing of public interest or data processing related to the performance of tasks performed under exercising official authority conferred on the Enterprise.][2]
Amennyiben a Vállalkozás az Érintettől gyűjti az adatokat és az Érintett a fenti jogalapokon kezelt adatokat nem adja meg, akkor az adatszolgáltatás lehetséges következménye lehet a valamilyen szerződés előkészítésének, illetve teljesítésének a megtagadása, illetve lehetetlenülése (pl. a munkaviszony létesítésének a meghiúsulása). Ha az Érintett a szolgáltatandó adatoknak csak egy részét nem adja meg, akkor a nem teljes körűen szolgáltatott adatok alapján kell megítélni, hogy az adatszolgáltatás elmaradása okozhatja-e pl. a szerződés létrejöttének vagy fenntartásának lehetetlenülését. Szerződésen alapuló adatkezelés esetén a lehetetlenülés jogkövetkezményeit a Vállalkozás csak akkor alkalmazhatja, ha igazolja, hogy a szolgáltatott adat nélkül az érintett szerződés teljesítésére nem képes. If the Enterprise collects data from the Data Subject and the Data Subject does not provide the data processed under the above legal bases, then the refusal of the preparation and performance of a contract or it becoming impossible can be a possible consequence of data provision (e.g. failure to establish employment). If the Data Subject refuses to provide only a part of the data to be provided, then it must be assessed based on the partially provided data whether failure to provide data results in for example the establishment or maintenance of the contract becoming impossible. In the case of contractual data processing, the Enterprise may only apply the legal consequences of failure if the Enterprise proves that it cannot perform the contract in question without the provided data.

3.2       Különleges adatok

3.2       Special data

A természetes személyeket megillető alapvető jogok és szabadságok miatt a különleges adatok természetüknél fogva érzékeny és kockázatot jelentő adatok, melyek megkülönböztetett védelmet igényelnek. A Vállalkozás az Érintett különleges adatait – ideértve elsősorban az egészségügyi adatokat – különösen az alábbi jogalapon kezelheti: Due to fundamental rights and freedoms natural persons are entitled to, special data is sensitive and risk-posing in nature, requiring distinguished protection. The Enterprise may process the special personal data of the Data Subject – including primarily healthcare data – especially on the following legal bases:
(i)              Hozzájárulás: Az Érintett– amennyiben más jogalap az adatkezelésre nem alkalmazható – hozzájárulást adhat személyes adatainak kezeléséhez (ennek mintáját az 1. sz. melléklet tartalmazza). Amennyiben a Vállalkozás a közvetlenül 16. életévét be nem töltött gyermekeknek kínált információs társadalommal összefüggő szolgáltatások kapcsán a 16. életévét be nem töltött gyermek személyes adatait kezeli, főszabály szerint csak akkor és olyan mértékben jogszerű az adatkezelés, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, ill. engedélyezte. Az Érintett a hozzájárulását önkéntes alapon nyújtja, és jogosult azt bármikor visszavonni. A visszavonás az azt megelőzően végrehajtott adatkezelés jogszerűségét nem érinti. (i)                 Consent: The Data Subject – if other legal bases cannot be applied to the data processing – may give consent to the processing of their personal data (a sample is provided in Attachment 1). If the Enterprise processes the personal data of children under the age of 16 in connection with services related to information society and directly offered to children under the age of 16, as a rule of thumb, data processing is only legal when and to the extent the person exercising parental supervision over the child consented to it or authorized it. The Data Subject gives their consent voluntarily and is entitled to revoke it at any time. The revoking does not concern the legality of data processing performed beforehand.
(ii)            GDPR 9. cikk (2) bek. b) vagy h) pontja: Ez a jogalap alkalmazható pl. a foglalkoztatást szabályozó előírásokból fakadó munkáltatói kötelezettség teljesítése és joggyakorlás érdekében történő adatkezelésre, továbbá megelőző egészségügyi vagy munkahelyi egészségügyi célból a munkavállaló munkavégzési képességének felmérése céljából európai uniós vagy nemzeti jogszabály alapján vagy egészségügyi szakemberrel kötött szerződés értelmében. A megelőző egészségügyi vagy munkahelyi egészségügyi célból történő adatkezelés további feltétele, hogy ezen adatok kezelése olyan szakember vagy személy által, vagy olyan szakember felelőssége mellett történik, akit uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott (szakmai) titoktartási kötelezettség hatálya alatt áll. (ii)               GDPR Article 9, Section (2), Sub-Section b) or h): This legal basis is applicable to, for example, data processing for the performance of obligations and exercising rights as an employer originating from provisions regulating employment, or for preventive healthcare or occupational safety and health purposes in order to assess the ability of the employee to perform work, based on Union or national legal regulations or under a contract concluded with a healthcare professional. An additional condition for data processing for preventive healthcare or occupational safety and health purposes is that the processing of such data shall be performed by a professional or by a person or at the responsibility of a professional under the effect of (professional) confidentiality obligation specified by Union or Member State law or in regulations established by Member State authorities with jurisdiction to do so.
(iii)          GDPR 9. cikk (2) bek. f) pontja: Ez a jogalap alkalmazható, ha a különleges adat kezelésére jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges célból kerül sor. (iii)             GDPR Article 9, Section (2), Sub-Section f): This legal basis is applicable if the processing of special data is done for a purpose necessary for the submission, enforcement and protection of legal claims.
(iv)           [Egyéb, az adott adatkezelési cél szempontjából egyedi adatkezelési jogalapok lehetnek még a különleges adatok tekintetében: (i) az Érintett vagy egy másik természetes személy létfontosságú érdeke, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes hozzájárulást adni; (ii) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az Érintett kifejezetten nyilvánosságra hozott; (iii) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; (iv) az adatkezelés jelentős közérdek miatt szükséges uniós jog vagy tagállami jog alapján; az adatkezelés a népegészségügy területét érintő közérdekből szükséges; valamint (v) illetve a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő adatkezelés.][3] (iv)              [Concerning special data, other legal bases, specific from the perspective of the relevant data processing purpose can be: (i) it is the vital interest of the Data Subject or another natural person, if the data subject cannot give consent due to the physical or legal inability to act; (ii) the data processing concerns personal data expressly disclosed by the Data Subject; (iii) the data processing is necessary for the submission, enforcement and protection of legal claims; (iv) the data processing is necessary due to significant public interest based on Union or Member State law; the data processing is necessary due to public interest concerning the field of public health; and (v) or data p done for archival purposes of public interest, for scientific or historical research purposes or for statistical purposes.][4]

4         A Vállalkozás tájékoztatási kötelezettsége és intézkedései

4         Information obligation and measures of the Enterprise

A Vállalkozás köteles tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően az Érintett rendelkezésére bocsátani bizonyos információkat és tájékoztatni az Érintettet az őt megillető jogokról.[5] Továbbá az Érintett kérelmére bizonyos eljárási szabályok betartásával a Vállalkozás intézkedéseket tehet. The Enterprise shall provide certain information for the Data Subject in a brief, transparent and easily accessible form, clearly and understandably, and inform the Data Subject about the rights they are entitled to.[6] Additionally, at the request of the Data Subject, the Enterprise may take measures in compliance with certain procedural rules.

4.1        Adatkezelési tájékoztató

4.1        Data processing information

A Vállalkozás attól függően, hogy a személyes adatokat az Érintettől gyűjti-e vagy sem, köteles az Érintett rendelkezésére bocsátani bizonyos az adatkezelésre vonatkozó információkat. Jelen adatkezelési tájékoztatások közös és egyedi szabályait az alábbi alfejezetek foglalják össze. The Enterprise, depending on whether the personal data is collected from the Data Subject or not, shall provide certain information for the Data Subject concerning the data processing. The common and specific rules of such data processing information are summarized in the following sub-sections.

4.1.1         Közös szabályok

4.1.1         Common rules

A tájékoztatási kötelezettségek alapján a Vállalkozás az alábbiakról köteles értesíteni az Érintettet: Based on the information obligation, the Enterprise shall notify the Data Subject about the following:
(i)              A Vállalkozásnak és – ha van ilyen – a Vállalkozás képviselőjének a kiléte és elérhetőségei, (i)     The person and contact options of the Enterprise and – if there is one – the representative of the Enterprise,
(ii)            -, (ii)   -,
(iii)          a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja, (iii) the purpose of the planned processing of personal data and the legal basis for data processing,
(iv)           a GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, a Vállalkozás vagy harmadik fél jogos érdekei, (iv)  the legitimate interests of the Enterprise or third parties in the case of data processing based on Article 6, Section (1), Sub-Section f) of the GDPR,
(v)             adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen, (v)    recipients of the personal data, if applicable, and the recipient categories, if applicable,
(vi)           adott esetben annak ténye, hogy a Vállalkozás harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá az Európai Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR 46. cikkben, a GDPR 47. cikkben vagy a GDPR 49. cikk (1) bekezdésének második al-bekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás, (vi)  if applicable, the fact that the Enterprise wishes to transfer the personal data to third countries or to an international organization, additionally, the existence of the adequacy decision of the European Commission or the lack thereof, or in the case of data transfers as specified in Article 46 of the GDPR, Article 47 of the GDPR or in the second sub-section of Article 49, Section (1) of the GDPR, the indication of the appropriate and adequate safeguards and reference to modes to obtain copies of the same or the availability of the same,
(vii)         a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól, (vii)                       the period of storing personal data or if it is not possible, then the criteria of determining such a period,
(viii)       az Érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról, (viii)                     the right of the Data Subject to request from the data controller access to the personal data concerning them, rectification, erasure, or restriction of the processing of such data, and the right to object to the processing of such personal data and the right to data portability,
(ix)           a GDPR 6. cikk (1) bekezdésének a) pontján vagy a GDPR 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét, (ix)  in the case of data processing based on Article 6, Section (1), Sub-Section a) of the GDPR or Article 9, Section (2), Sub-Section a) of the GDPR , the right to withdraw consent at any time which does not concern the legality of data processing performed before the withdrawal of the consent,
(x)             a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, (x)    the right to submit complaints addressed to the supervisory authority,
(xi)           a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír. (xi)  the automated decision making as specified in Article 22, Sections (1) and (4) of the GDPR, including profiling, and at least in such cases, clear information concerning the logic applied, and about the significance of such data processing and its consequences concerning the Data Subject.

4.2       Érintetti jogok

4.2       Rights of the Data Subject

Az Érintett kérelmezheti a Vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen. Az Érintettet megilleti továbbá az adathordozhatósághoz és a jogorvoslathoz való jog, valamint az egyedi ügyekben alkalmazott automatizált döntéshozatalról való döntés joga, beleértve a profilalkotást is. From the Enterprise, the Data Subject may request access to personal data concerning the Data Subject, rectification, erasure of the same or the restriction of its processing and may object to the processing of such personal data. Additionally, the Data Subject is entitled to the right to data portability and to legal remedy and the right to decide about automated decision making applied in specific cases, including profiling.
Bizonyos érintetti jogokról a Vállalkozás a 4.1 pontban említett tájékoztató részeként köteles tájékoztatást nyújtani. The Enterprise shall provide information about certain rights of the Data Subject as part of the information mentioned in Section 4.1.

4.2.1        A hozzáféréshez való jog

4.2.1        Right to access

Az Érintett jogosult arra, hogy a Vállalkozástól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy a személyes adatokhoz és az alábbi információkhoz hozzáférést kapjon: The Data Subject has the right to receive feedback from the Enterprise on whether the processing of its personal data is in progress and if such data processing is in progress then the Data Subject is entitled to receive access to the personal data and the following information:
(i)              az adatkezelés céljai az adott személyes adat vonatkozásában, (i)     purposes of data processing concerning the personal data in question,
(ii)            az érintett személyes adat kategóriái, (ii)   categories of the personal data in question,
(iii)          azon címzettek kategóriái, akinek az érintett személyes adatait közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, ill. nemzetközi szervezeteket (a harmadik országbeli címzettek, továbbá a nemzetközi szervezetek részére történő adattovábbítás esetén az Érintett jogosult tájékoztatást kérni arra vonatkozóan, hogy az adattovábbítás megfelelő garanciák mellett történik-e), (iii) categories of recipients to whom the personal data of the Data Subject has been disclosed or will be disclosed, including especially recipients in third countries and international organizations (in the case of recipients in third countries and data transfers to international organizations, the Data Subject is entitled to request information about whether the data transfer is done under the appropriate safeguards),
(iv)           az érintett személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai, (iv)  the planned duration of the storage of the personal data in question or if it is not possible, then the criteria of determining such a period,
(v)             az Érintettet megillető érintetti jogok (helyesbítés, törlés vagy korlátozás joga, az adathordozhatósághoz való jog, valamint a tiltakozás joga az ilyen személyes adatok kezelése ellen), (v)    data subject rights the Data Subject is entitled to (right to rectification, erasure or restriction, right to data portability and the right of objection to the processing of such personal data),
(vi)           a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga, (vi)  the right to submit complaints addressed to a supervisory authority,
(vii)         ha az adatot a Vállalkozás nem az Érintettől szerezte, akkor a forrásra vonatkozó minden elérhető információ, (vii)                       if the Enterprise did not receive the data from the Data Subject, then all available information concerning the source,
(viii)       az érintett személyes adatra vonatkozó automatizált döntéshozatal ténye, ideértve a profilalkotást is; ha történik ilyen természetű adatkezelés, akkor a tájékoztatásnak ki kell terjednie az alkalmazott logikára és arra, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár. (viii)                     the automated decision making concerning the personal data in question, including profiling as well; if data processing of such nature is performed, then the information shall extend to the logic applied and to the significance of such data processing and the expected consequences for the Data Subject.
Ha az Érintett elektronikus úton nyújtotta be a kérelmét, a kért információkat széles körben használt elektronikus formában kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri. If the Data Subject submitted their request electronically, then the requested information shall be made available in a widely used electronic format, except if the Data Subject requests otherwise.
A Vállalkozás az Érintettől a kérelem teljesítését megelőzően, annak tartalmának pontosítását, a kérelmezett információk, illetve adatkezelési tevékenységek pontos megjelölését kérheti. The Enterprise may request from the Data Subject the clarification of the content of the request, the accurate indication of the requested information and data processing activities before complying with the request.
Amennyiben az Érintett jelen pont szerinti hozzáférési joga hátrányosan érinti mások jogait és szabadságait, így különösen mások üzleti titkait vagy szellemi tulajdonát, a Vállalkozás jogosult az Érintett kérelmének teljesítését szükséges és arányos mértékben megtagadni. If the right of access of the Data Subject according to this section adversely affects the rights and freedoms of others, especially the business secrets or intellectual property of others, then the Enterprise is entitled to deny the request of the Data Subject to the necessary and proportionate extent.
Abban az esetben, amennyiben az Érintett a fenti tájékoztatást több példányban kéri, a Vállalkozás jogosult a többlet példányok elkészítésének adminisztratív költségeivel arányos és ésszerű mértékű díjat felszámítani. If the Data Subject requests the above information in multiple copies, the Enterprise is entitled to charge a fee in a reasonable amount, proportionate to the administrative costs of preparing surplus copies.
Amennyiben az Érintett által megjelölt személyes adatot a Vállalkozás nem kezeli, úgy erről is köteles az Érintettet írásban tájékoztatni. If the Enterprise does not process the personal data indicated by the Data Subject, then the Enterprise shall inform the Data Subject about it in writing.

4.2.2       A helyesbítéshez való jog

4.2.2       Right to rectification

Az Érintett jogosult ahhoz, hogy a reá vonatkozó személyes adatok helyesbítését kérje. Amennyiben az Érintettre vonatkozó személyes adatok hiányosak, úgy az Érintett jogosult a személyes adatok kiegészítését kérni. The Data Subject is entitled to request the rectification of personal data concerning them. If the personal data concerning the Data Subject is deficient, then the Data Subject is entitled to request the supplementation of the personal data.
A helyesbítéshez/kiegészítéshez kapcsolódó jog gyakorlása során az Érintett köteles megjelölni, hogy mely adatok pontatlanok, illetve hiányosak, továbbá köteles a Vállalkozást a pontos, teljeskörű adatról is tájékoztatni. A Vállalkozás jogosult indokolt esetben az Érintettet felhívni arra, hogy a pontosított adatot megfelelő módon – elsősorban okirattal – bizonyítsa a Vállalkozás számára. In the course of exercising the right to rectification/supplementation, the Data Subject shall indicate the incorrect or deficient data and shall inform the Enterprise about the accurate, full data. In justified cases the Enterprise is entitled to call upon the Data Subject to prove the corrected data for the Enterprise in an appropriate manner, primarily with documents.
A Vállalkozás az adatok helyesbítését, kiegészítését indokolatlan késedelem nélkül teljesíti. The Enterprise shall perform the rectification and supplementation of data without undue delay.
A Vállalkozás az Érintett helyesbítéshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről. After performing the request aimed at enforcing the right of the Data Subject to rectification, the Enterprise shall immediately inform those persons to whom the personal data of the Data Subject has been disclosed, provided it is not impossible or does not require disproportionate effort from the Enterprise. At the request of the Data Subject, the Enterprise shall inform the Data Subject about such recipients.

4.2.3       A törléshez való jog („az elfeledtetéshez való jog”)

4.2.3       Right to erasure (“right to be forgotten”)

Az Érintett jogosult indítványozni, hogy a Vállalkozás a reá vonatkozó személyes adato(ka)t indokolatlan késedelem nélkül törölje, amennyiben az alábbi indokok valamelyike fennáll: The Data Subject is entitled to request the erasure of personal data concerning them by the Enterprise, without undue delay, if any of the following reasons exists:
(i)              az Érintett által megjelölt személyes adatra nincsen szükség abból a célból, amelyből azokat a Vállalkozás gyűjtötte vagy más módon kezelte, (i)     the personal data indicated by the Data Subject is not necessary for the purpose for which the Enterprise collected or otherwise processed it,
(ii)            a Vállalkozás a személyes adatot (ideértve a különleges adatot is) az Érintett hozzájárulása alapján kezelte, az Érintett a hozzájárulását írásban visszavonta és az adatkezelésnek nincs más jogalapja, (ii)   the Enterprise processed the personal data (including special data as well) based on the consent of the Data Subject, the Data Subject withdrew their consent in writing and there is no other legal basis for the data processing,
(iii)          az Érintett a Vállalkozás jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs a Vállalkozás számára olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, (iii) the Data Subject objects to the data processing concerning data processing based on the legitimate interest of the Enterprise, and there is no rightful compelling reason for the Enterprise that might enjoy precedence over the interests, rights and freedoms of the Data Subject, or that are connected to the submission, enforcement or defense of legal claims,
(iv)           a Vállalkozás a személyes adatot jogellenesen kezelte, (iv)  the Enterprise processed the personal data illegally,
(v)             a Vállalkozás által kezelt adatot a Vállalkozásra alkalmazandó uniós vagy nemzeti jogban előírt jogszabályi kötelezettség teljesítéséhez törölni kell, (v)    the data processed by the Enterprise shall be erased for the performance of a legal obligation provided for by Union or national law applicable to the Enterprise,
(vi)           az Érintett az adatkezelés ellen tiltakozik és nincs elsőbbséget élvező ok az adatkezelésre. (vi)  the Data Subject objects to the data processing and there is no reason enjoying precedence for data processing.
Az Érintett a törléshez kapcsolódó kérelmét írásban köteles előterjeszteni és köteles megjelölni, hogy mely személyes adatot milyen okból kíván töröltetni. The Data Subject shall present their claim concerning the erasure in writing and shall indicate what personal data they intend to erase and for what reason.
A törléshez kapcsolódó jog gyakorlása esetén a Vállalkozás a 4.3 pontban meghatározott eljárási szabályok figyelembe vételével köteles eljárni. In the case of exercising the right to erasure the Enterprise shall act considering the procedural rules specified in Section 4.3.
Amennyiben a Vállalkozás az Érintett törléshez kapcsolódó indítványának helyt ad, úgy a kezelt személyes adatot valamennyi nyilvántartásából törli, és erről az Érintettet megfelelő módon tájékoztatja. If the Enterprise approves the request of the Data Subject concerning the erasure, then it erases the processed data from all its registries and appropriately informs the Data Subject about it.
Abban az esetben, amennyiben a Vállalkozás az érintett személyes adatainak törlésére köteles, a Vállalkozás minden olyan ésszerű lépést megtesz – ideértve a technikai intézkedések alkalmazását is – amely ahhoz szükséges, hogy a személyes adatok kötelező törléséről tájékoztassa azon adatkezelőket is, akik az Érintett személyes adatait azok nyilvánosságra hozatala következtében ismerték meg. A Vállalkozás a tájékoztatójában arról köteles a többi adatkezelőt értesíteni, hogy az Érintett személyes adataira mutató linkek, vagy e személyes adatok másolatának, illetve másolatpéldányának törlését az Érintett kérelmezte. If the Enterprise is obliged to erase the personal data of the Data Subject, the Enterprise takes all reasonable measures – including the application of technical measures – that are necessary to inform about the mandatory erasure of personal data all those data controllers as well that got to know the personal data of the Data Subject due to the publication of the same. The Enterprise shall inform the other data controllers about the request of the Data Subject to erase links to the personal data of the Data Subject, or to erase copies or surplus copies of such personal data.
A Vállalkozás az Érintett törléshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről. After performing the request of the Data Subject aimed at enforcing the right to erasure, the Enterprise immediately informs those persons to whom the personal data of the Data Subject was disclosed, provided it is not impossible or does not require disproportionate effort from the Enterprise. At the request of the Data Subject, the Enterprise shall inform the Data Subject about such recipients.
A Vállalkozás nem köteles a személyes adatok törlésére abban az esetben, ha az adatkezelés szükséges: The Enterprise is not obliged to erase personal data if processing of such data is necessary for:
(i)              a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlásához, (i)     exercising the freedom of expression and the right to information,
(ii)            a magyar vagy európai uniós jogszabály által a Vállalkozásra telepített személyes adatok kezelésére irányuló kötelezettség teljesítéséhez, (ii)   performing obligations imposed on the Enterprise by Hungarian or European Union legal regulations and aimed at processing personal data,
(iii)          közérdekből vagy a Vállalkozásra ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához, (iii) performing tasks due to public interest or in the course of exercising public powers conferred on the Enterprise,
(iv)           a népegészségügy területét érintő közérdek megvalósításához, (iv)  realizing public interests concerning the area of public healthcare,
(v)             közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, feltéve, hogy az Érintett elfeledtetéshez való jogának gyakorlása következtében valószínűsíthetően lehetetlenné vagy komolyan veszélyeztetetté válna az adatkezelés, (v)    archival purposes of public interest, scientific or historical research purposes or statistical purposes, provided that due to exercising the right of the Data Subject to be forgotten, it is probable that data processing would become impossible or seriously threatened,
(vi)           jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. (vi)  submitting, enforcing and defending legal claims.

4.2.4       Az adatkezelés korlátozásához való jog

4.2.4       Right to the restriction of data processing

Az Érintett jogosult indítványozni, hogy a Vállalkozás a reá vonatkozó személyes adato(k) kezelését, felhasználását korlátozza, amennyiben az alábbi indokok valamelyike fennáll: The Data Subject is entitled to request from the Enterprise the restriction of processing, use of personal data concerning them if any of the following reasons exists:
(i)              Az Érintett vitatja a személyes adatok pontosságát (ebben az esetben a korlátozás addig tart, amíg a Vállalkozás ellenőrzi az adat pontosságát), (i)     The Data Subject disputes the accuracy of personal data (in this case the restriction lasts until the Enterprise checks the accuracy of the data),
(ii)            a Vállalkozás a személyes adatot jogellenesen kezelte, de az Érintett törlés helyett korlátozást kér, (ii)   the Enterprise processed the personal data illegally but the Data Subject requests restriction instead of erasure,
(iii)          a Vállalkozás számára az adatkezelés célja megszűnt, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, (iii) the purpose for the Enterprise to process the data ceased to exist but the Data Subject requires it for submitting, enforcing and defending legal claims,
(iv)           az Érintett a Vállalkozás jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs a Vállalkozás számára olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak; ebben az esetben a korlátozás addig áll fenn, amíg megállapításra nem kerül, hogy a Vállalkozás jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben. (iv)  the Data Subject objects to the data processing concerning data processing based on the legitimate interest of the Enterprise, and there is no rightful cause of obligatory power for the Enterprise that might enjoy precedence over the interests, rights and freedoms of the Data Subject, or that are connected to the submission, enforcement or defense of legal claims; in this case the restriction lasts until it is established whether the rightful reasons of the Enterprise enjoy precedence over the rightful reasons of the Data Subject.
Korlátozás esetén a személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy uniós, illetve valamely európai uniós tagállam fontos közérdekből lehet kezelni. In the case of limitations, the personal data may only be processed (with the exception of storage) with the consent of the Data Subject or for submitting, enforcing and defending legal claims or to protect the rights of other natural persons or legal entities or out of important public interest of the Union or a Member State of the European Union.
A Vállalkozás az adatkezelés korlátozásának feloldásáról az Érintettet előzetesen tájékoztatja. The Enterprise informs the Data Subject beforehand about lifting the restriction on the data processing.
A Vállalkozás az Érintett korlátozásához való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel a Vállalkozástól aránytalan erőfeszítést. Az Érintettet kérésére a Vállalkozás tájékoztatja ezen címzettekről. After performing the request of the Data Subject aimed at enforcing the right to restriction, the Enterprise immediately informs those persons to whom the personal data of the Data Subject was disclosed, provided it is not impossible or does not require disproportionate effort from the Enterprise. At the request of the Data Subject the Enterprise shall inform the Data Subject about such recipients.

4.2.5       A tiltakozáshoz való jog

4.2.5       Right to object

Tekintettel arra, hogy a Vállalkozás nem végez közérdekű adatkezelést és közhatalmi jogosítványai sincsenek, nem végez tudományos vagy történelmi kutatást, illetve az adatkezelésre statisztikai célból sem kerül sor, így esetében a jogos érdeken alapuló adatkezelések esetén merülhet fel a tiltakozáshoz való jog gyakorlása. Considering that the Enterprise does not perform data processing out of public interest and has no public powers, does not perform scientific or historic research either and the data processing is not done for statistical purposes, in its case exercising the right to object might arise in the case of data processing based on legitimate interest.
Amennyiben az Érintettek adatainak kezelésére jogos érdekre alapítottan kerül sor, fontos garanciális jellegű rendelkezés, hogy az Érintett számára az adatkezelés kapcsán biztosítani kell a megfelelő tájékoztatást és a tiltakozás jogának érvényesítését. A jelen jogra legkésőbb az Érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét. If the data of the Data Subjects is processed based on legitimate interest, it is an important guarantee provision that appropriate information concerning the data processing and exercising the right to object shall be provided for the Data Subject. The attention of the Data Subject shall be expressly called to this right at the latest when contacting the Data Subject the first time.
Az Érintett ennek alapján jogosult tiltakozni személyes adatainak kezelése ellen és ilyen esetben a Vállalkozás nem kezelheti tovább az Érintett személyes adatait, kivéve, ha bizonyítható, hogy Based on this, the Data Subject is entitled to object to the processing of their personal data and in such case the Enterprise cannot process the personal data of the Data Subject any longer except if the following can be proven:
(i)                 az adatkezelést a Vállalkozás részéről olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben vagy (i)                 data processing is justified on the part of the Enterprise by such rightful compelling reasons that enjoy precedence over the interests, rights and liberties of the Data Subject, or
(ii)               az adatkezelés a Vállalkozás jogi igényeinek előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik. (ii)               the data processing is connected to the submission, enforcement or defense of the legal claims of the Enterprise.
4.2.6       Az adathordozhatósághoz való jog

4.2.6       Right to data portability

Az Érintett jogosult arra, hogy a rá vonatkozó, a Vállalkozás által kezelt személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat másik adatkezelőnek továbbítsa anélkül, hogy ezt a Vállalkozás akadályozná. The Data Subject is entitled to receive personal data concerning the Data Subject and processed by the Enterprise in a sequenced, widely used format that is machine-readable and is entitled to transfer such data to another data controller without the Enterprise preventing it.
Az adathordozhatósághoz való jog azon személyes adatok tekintetében gyakorolható, amelyeket az Érintett a Vállalkozás rendelkezésére bocsátott, és The right to data portability may be exercised concerning personal data that was provided by the Data Subject to the Enterprise and
(i)                 az Érintett hozzájárulásán vagy szerződéses jogalapon alapul az adatkezelés, és (i)                 the data processing of which is based on the consent of the Data Subject or on contractual legal basis, and
(ii)               az adatkezelés automatizált módon történik. (ii)               the data processing is done in an automated manner.
Amennyiben az egyébként technikailag megvalósítható, a Vállalkozás az Érintett kérésére a személyes adatokat közvetlenül egy másik, az Érintett kérelmében megjelölt adatkezelő részére továbbítja. A jelen pont szerinti adathordozhatósághoz való jog nem teremt kötelezettséget arra vonatkozóan, hogy az adatkezelők egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn. If it is otherwise technically feasible, the Enterprise, at the request of the Data Subject, may transfer personal data directly to another data controller indicated in the request of the Data Subject. The right to data portability within the meaning of this section does not establish an obligation for the data controllers to introduce or maintain data processing systems that are technically compatible with each other.
Az adathordozhatóság körében a Vállalkozás köteles ingyenesen az Érintett számára az adathordozót rendelkezésre bocsátani. Within the scope of data portability, the Enterprise shall make the data carrier available for the Data Subject free of charge.
Abban az esetben, amennyiben az Érintett adathordozhatósághoz való joga hátrányosan érinti mások jogait és szabadságait, így különösen mások üzleti titkait, vagy szellemi tulajdonát, a Vállalkozás jogosult az Érintett kérelmének teljesítését szükséges mértékben megtagadni. If the right to data portability adversely affects the rights and freedoms of others, especially the business secrets or intellectual property of others, the Enterprise is entitled to deny the request of the Data Subject to the necessary extent.
Az adathordozhatóság körében tett intézkedés nem jelenti az adatok törlését, azokat a Vállalkozás mindaddig nyilvántartja, ameddig az adatok kezelésére a Vállalkozás megfelelő céllal, illetve jogalappal rendelkezik.

 

Measures taken concerning data portability does not mean the deletion of the data; the Enterprise shall have such data registered as long as the Enterprise has the appropriate purpose or legal basis for the processing of the data.

 

 

4.2.7. Jogorvoslathoz való jog

4.2.7. Right to legal remedy

4.2.7.1               Panasztételhez való jog 4.2.7.1.             Right to complaint
Ha az Érintett úgy ítéli meg, hogy a Vállalkozás általi személyes adatainak kezelése megsérti a mindenkor hatályos adatvédelmi jogszabályokat, így különösen a GDPR rendelkezéseit, jogában áll a Nemzeti Adatvédelmi és Információszabadság Hatóságnál panaszt benyújtani. If the Data Subject considers the processing of their personal data by the Enterprise to be in violation of the provisions of the established legal regulations on data protection, especially those of the GDPR, then the Data Subject is entitled to file a complaint at the Hungarian National Authority for Data Protection and Freedom of Information.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei: Contact options of the Hungarian National Authority for Data Protection and Freedom of Information:
Honlap: http://naih.hu/ Website: http://naih.hu/
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c. Address: H-1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Postacím: 1530 Budapest, Pf.: 5. Mail address: 1530 Budapest, PO Box: 5.
Telefon: +36-1-391-1400 Telephone: +36-1-391-1400
Fax: +36-1-391-1410 Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu E-mail: ugyfelszolgalat@naih.hu
Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti európai uniós tagállamban létrehozott, felügyeleti hatóságnál is panaszt tenni. The Data Subject is entitled to file complaints at other supervisory authorities established in other Member States of the European Union, especially ones according to their usual place of residence, workplace or the place of the assumed infringement as well.
4.2.7.2              Felügyeleti hatóság határozatának bírósági felülvizsgálata, ill. egyéb jogorvoslati lehetőség 4.2.7.2              Court review of the decision of a supervisory authority, other options of legal remedy
Az Érintett és a Vállalkozás jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, így különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntésével szemben. Mindazonáltal a hatékony bírósági jogorvoslathoz való jog nem vonatkozik a felügyeleti hatóságok által tett, jogilag kötelező erővel nem bíró intézkedéseikre, például a felügyeleti hatóság által kibocsátott véleményekre vagy az általa nyújtott tanácsra. The Data Subject is entitled to effective court legal remedy against the legally binding decisions of the supervisory authority concerning them, especially against the decision of the supervisory authority concerning the exercising of the review, correction and authorization powers or concerning the refusal of complaints or considering them unfounded. Nevertheless, the right to effective court legal remedy does not concern measures taken by the supervisory authorities without legally binding effect, for example opinions issued or advice given by the supervisory authority.
Továbbá az Érintettet jogosult a hatékony bírósági jogorvoslatra, ha a GDPR 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal vagy három hónapon belül nem tájékoztatja az Érintettet a benyújtott panaszával kapcsolatos eljárási fejleményekről vagy annak eredményéről. Additionally, the Data Subject is entitled to effective court legal remedy if the supervisory authority with competence based on Article 55 or 56 of the GDPR does not deal with the complaint or does not inform the Data Subject about the developments in the proceedings concerning the submitted complaint or the result thereof within three months.
A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti uniós tagállam bírósága előtt kell megindítani. Proceedings against the supervisory authority shall be initiated before the court of the EU Member State according to the seat of the supervisory authority.
4.2.7.3              A bírósághoz fordulás joga (keresetindítási jog) 4.2.7.3              Right to court procedure (right to initiate a lawsuit)
Az Érintett – panasztételi jogától függetlenül – bírósághoz fordulhat, ha a személyes adatainak kezelése során megsértették a GDPR szerinti jogait. The Data Subject – regardless of their right to file complaints- may turn to courts if their rights under the GDPR were violated in the course of processing their personal data.
A Vállalkozással, mint belföldi tevékenységi hellyel rendelkező adatkezelővel szemben magyar bíróság előtt indítható per. Lawsuits can be initiated before a Hungarian court against the Enterprise as data controller with a place of activity in Hungary.
Tekintettel arra, hogy a Vállalkozás nem minősül valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének, az Érintett a pert a szokásos tartózkodási hely szerinti tagállam hatáskörrel és illetékességgel rendelkező bírósága előtt is megindíthatja, amennyiben az Érintett szokásos tartózkodási helye az Európai Unió más tagállamában van. Considering that the Enterprise does not qualify as a public authority exercising public powers conferred by a Member State, the Data Subject may initiate the lawsuit before the court of its Member State with competence and jurisdiction according to their usual place of residence if the usual place of residence of the Data Subject is in another Member State of the European Union.
4.2.7.4             Egyéb igényérvényesítési lehetőség 4.2.7.4.           Other options to enforce claims
Az Érintettnek jogában áll a panasznak a nevében történő benyújtásával, a felügyeleti hatóság határozatának bírósági felülvizsgálatával, a keresetindítással, valamint a kártérítési jogának a nevében történő érvényesítésével egy olyan nonprofit jellegű szervezetet vagy egyesületet megbízni, amelyet valamely európai uniós tagállam jogának megfelelően hoztak létre és amelynek alapszabályban rögzített céljai a közérdek szolgálata, valamint az érintettek jogainak és szabadságának a személyes adatok vonatkozásában biztosított védelme. The Data Subject is entitled to authorize a non-profit organization or association established in accordance with the laws of a Member State of the European Union and the goals of which, as established in its articles of association, are serving public interests and to protect the rights and freedoms of data subjects with regards to personal data to submit complaints on their behalf, the court review of the decision of the supervisory authority, to initiate claims and to enforce compensation rights on their behalf.
4.2.7.5              Kártérítéshez való jog 4.2.7.5              Right to compensation
A Vállalkozás köteles megtéríteni azt a vagyoni vagy nem vagyoni kárt, amelyet az alábbi jogszabályok megsértésének eredményeként más személy szenvedett el: The Enterprise shall compensate the financial or non-financial damages suffered by other parties as the result of violating the following legal regulations:
(i)                 GDPR, (i)                 GDPR,
(ii)               a GDPR-ral összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, (ii)               delegated acts and implementing acts accepted in accordance with the GDPR,
(iii)             a GDPR-ban foglalt szabályokat pontosító tagállami jog. (iii)             Member State laws clarifying rules provided for in the GDPR.
A Vállalkozás mentesül a kártérítési felelőssége alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. The Enterprise is exempted from the compensation liability if it can prove that it bears no responsibility whatsoever for the event causing the damage.
A károsult a kártérítés igényét az 4.2.8.3 pontban meghatározott tagállamban hatáskörrel és illetékességgel rendelkező bíróságnál nyújthatja be. The injured party may submit their compensation claims at the court with jurisdiction and competence in the Member State specified in Section 4.2.8.3.
   

4.3        Eljárási szabályok

4.3          Procedural rules

A Vállalkozás a fenti tájékoztatási kötelezettségének teljesítése és intézkedései megtétele során az ott meghatározottak szerint köteles eljárni. A fent meghatározott speciális szabályokat meghaladóan a Vállakozás a következő rendelkezések betartásával jár el. The Enterprise shall act in accordance with the rules specified above in the course of performing its above information obligation and taking the above measures. Besides the special rules specified above, the Enterprise shall act in compliance with the following provisions.

4.3.1        A kérelem elbírálása

4.3.1        Evaluation of the request

A 4.2. pontban meghatározott érintetti jogok kapcsán kérelmezett intézkedésekkel kapcsolatban az alábbi eljárási szabályokat kell alkalmazni. The following procedural rules shall be applied in connection with the measures requested concerning the rights of the Data Subject specified in Section 4.2.
Az érintett a kérelmét az ügyvezető munkakörben foglalkoztatott munkatársnál nyújthatja be. The Data Subject can submit their request at the managing director.
A kérelem benyújtása írásban történhet elektronikus levél útján vagy papír alapon. A kérelem a jelen szabályzat 2. sz. mellékletében meghatározott „Kérelem” elnevezésű nyomtatványon is benyújtható. Ha a Vállalkozás a kérelmet nem nyomtatványon nyújtja be, akkor a kérelmet tartalma alapján kell elbírálni. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri. The request may be submitted in writing, by electronic mail or on paper. The request can be submitted on the form titled “Request” specified in Attachment 2 of this regulation as well. If the Enterprise does not submit the request on a form, then the request shall be judged based on its content. If the Data Subject submitted the request electronically, then the information shall also be provided electronically if possible, except if the Data Subject requests it otherwise.
Az Érintett köteles a kérelemben megjelölni, hogy a mely személyes adat vonatkozásában kéri a Vállalkozás intézkedését. The Data Subject shall indicate the personal data in the request concerning which they request measures from the Enterprise.
A Vállalkozás az írásban benyújtott kérelem kézhezvételétől számított 1 (egy) hónapon belül köteles a kérelmet elbírálni. Szükség esetén, figyelembe véve a kérelem összetettségét, illetve a folyamatban lévő kérelmek számát, a Vállalkozás a kérelem elbírálásának határidejét további 2 (kettő) hónappal meghosszabbíthatja. A meghosszabbítás tényéről, illetve a késedelem okairól az Érintettet a kérelem kézhezvételétől számított 1 (egy) hónapon belül tájékoztatni kell. The Enterprise shall evaluate the request within 1 (one) month from receiving the request submitted in writing. If necessary, concerning the complexity of the request and the number of requests in progress, the Enterprise may extend the deadline for the evaluation of the request by an additional 2 (two) months. The Data Subject shall be informed about the extension and the reasons of the delay within 1 (one) month from receiving the request.
Amennyiben az Érintett kérelme megalapozott, a Vállalkozás a kért intézkedést az eljárási határidőn belül végrehajtja, és a végrehajtás megtörténtétével kapcsolatosan írásbeli tájékoztatást ad az Érintett részére. If the request of the Data Subject is well founded, the Enterprise enacts the requested measure within the deadline specified for doing so and provides written information for the Data Subject about the execution.
Ha a Vállalkozás az Érintett kérelmét elutasítja, köteles erről írásbeli határozatot hozni és arról késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 (egy) hónapon belül az Érintettet tájékoztatni. Határozatában köteles megjelölni a döntés alapjául szolgáló tényállást, döntésének indoklását a megfelelő jogszabályok, illetve eseti döntések bemutatásával, továbbá köteles az Érintettet arról tájékoztatni, hogy a Vállalkozás döntésével szemben panaszt nyújthat be valamely felügyeleti hatóságnál és élhet bírósági jogorvoslati jogával. If the Enterprise denies the request of the Data Subject, it shall pass a written decision about it and inform the Data Subject thereof without delay but within 1 (one) month from receiving the request at the latest. In its decision, the Enterprise shall indicate the facts serving as basis for the decision, reasoning for the decision by presenting the relevant legal regulations and specific decisions, and shall inform the Data Subject about the option to submit a complaint against the decision of the Enterprise at a supervisory authority and the option to exercise the right to court legal remedy.

4.3.2       A szolgáltatott információ, a nyújtott tájékoztatás és a megtett intézkedés díja

4.3.2       Fee for the provided information, data and the measures taken

A Vállakozás a GDPR 13-14. cikke szerinti információkat, a GDPR 15-22. cikke szerinti érintetti jogokkal kapcsolatos tájékoztatást, továbbá a GDPR 34. cikke esetén az adatvédelmi incidenssel kapcsolatos tájékoztatást, illetve a kérelmezett intézkedéseket díjmentesen biztosítja. Amennyiben azonban az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Vállalkozás, figyelemmel a kért információ, vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre The Enterprise provides the information within the meaning of Articles 13 to 14 of the GDPR, the information concerning the rights of data subjects according to Articles 15 to 22 of the GDPR, the information concerning personal data breaches in the case of Article 34 the GDPR, and the requested measures free of charge. However, if the request of the Data Subject is clearly unfounded or – especially due to its repeated nature – excessive, then the Enterprise, considering the administrative costs of providing the requested data or information or taking the requested measure
(i)              észszerű összegű díjat számíthat fel, vagy (i)     may impose a fee of reasonable amount or
(ii)            megtagadhatja a kérelem alapján történő intézkedést. (ii)   may refuse taking measures based on the request.
Az Érintett költségek megtérítésére kizárólag abban az esetben kötelezhető, amennyiben a Vállalkozás az Érintettet a kérelme beérkezését követő 15 napon belül írásban tájékoztatta arról a körülményről, hogy kérelme megalapozatlan vagy túlzó jellegű, és ezzel egyidejűleg tájékoztatta az adminisztratív költség mértékéről, de az Érintett mindezen körülmények ellenére az igényét írásban fenntartotta. Az igény fenntartásának minősül, ha az Érintett a Vállakozás tájékoztatása ellenére nem vonja vissza kérelmét 5 munkanapon belül vagy az ügyintézési határidő végéig. The Data Subject may only be obliged to compensate the costs if the Enterprise informed the Data Subject about their request being unfounded or excessive, at the same time informing them about the amount of the administrative costs within 15 days following the reception of the request, yet the Data Subject still upholds their claim in writing despite all these circumstances. It qualifies as upholding the claim if the Data Subject does not revoke their request despite the information received from the Enterprise within 5 working days or until the end of the administration deadline.
A költségek viselésére kötelezett Érintett a költséget vagy külön köteles megfizetni a Vállalkozás által kibocsátott fizetési felszólítás kézhezvételétől számított 8 napon belül. The Data Subject obliged to bear the costs shall pay the costs separately within 8 days from receiving the payment notice issued by the Enterprise.

4.3.3       Kérelmező személyazonosságának vizsgálata

4.3.3       Checking the identity of the claimant

Abban az esetben, amennyiben a Vállakozásnak a jelen szabályzat 4.3.1. szerinti kérelem előterjesztőjének kilétével kapcsolatban megalapozott kétsége támad, a Vállakozás az Érintett személyazonosságának megerősítéséhez szükséges további információk rendelkezésre bocsátását igényelheti. If the Enterprise has well founded doubts regarding the identity of the person submitting the request according to Section 4.3.1 of this regulation, the Enterprise may request the provision of additional information necessary to confirm the identity of the Data Subject.

5           Adattovábbítás

5           Data transfers

5.1            Az adattovábbítás általános szabályai

5.1            General rules on data transfers

A Vállalkozás meghatározott célból – így különösen valamely harmadik személlyel fennálló szerződés, illetve jogszabályban meghatározott kötelezettség, munkaviszonyból származó munkáltatói kötelezettség teljesítése érdekében – az Érintettek személyes adatait továbbíthatja. The Enterprise may, for a specific purpose (especially for the purpose of fulfilling contractual obligations existing towards third parties or obligations set forth by law, as well as fulfilling the obligations of the employer derived from employment relationships) transfer the personal data of the data Subjects.
A Vállalkozás elsődlegesen az Európai Gazdasági Térség területén található címzettek részére továbbítja az Érintettek személyes adatait. The Enterprise primarily transfers the Data Subjects’ personal data to recipients located within the European Economic Area.
Ezen túlmenően adattovábbítás történhet olyan címzettek részére is, amelyek az Európai Gazdasági Térségen kívüli, harmadik országban találhatók, azonban az adott harmadik ország biztosítja a személyes adatok védelmének megfelelő szintjét. Further, data transfers may take place to recipients that are located outside the European Economic Area in third countries, provided that the given third country ensures an adequate level of protection for the personal data.
Amennyiben az adattovábbítás címzettje olyan harmadik országban található, amely a személyes adatok védelmének megfelelő szintjét nem biztosítja (pl. egyes ázsiai, vagy afrikai országok), a Vállalkozás gondoskodik róla, hogy az adattovábbítás valamely, a GDPR 46-47. cikkében foglalt megfelelő garancia, vagy a 49. cikkében biztosított eltérés alapján történjen. If data transfers take place to a third country that does not ensure an adequate level of protection for personal data (e.g. certain Asian or African countries), the Enterprise makes sure that such data transfers take place on the basis of appropriate safeguards as per Articles 46-47 of the GDPR, or a certain derogation applies as per Article 49 of the GDPR.

6. Adatvédelmi incidens

6. Personal Data Breaches

Adatvédelmi incidens esetén a Vállalkozás a következő szabályokat köteles betartani, illetve a következő szabályok alapján köteles eljárni. In the case of a personal data breach, the Enterprise shall comply and act in accordance with the following rules.

6.1            Bejelentés a felügyeleti hatósághoz

6.1            Reporting to the supervisory authority

A Vállalkozás az általa kezelt adatok vonatkozásában az adatvédelmi incidenst a tudomásszerzést követően indokolatlan késedelem nélkül, amennyiben az lehetséges, úgy a tudomásszerzést követően legkésőbb 72 órával bejelenti a felügyeleti hatóságnak, legalább az alábbi tartalommal: The Enterprise shall report the personal data breach concerning the data it processes to the supervisory authority without undue delay after becoming aware of it, if possible, 72 hours after becoming aware of it at the latest, with at least the following content:
(i)              az adatvédelmi incidens jellegének ismertetése, ideértve az érintettek kategóriáit és hozzávetőleges számát, az incidenssel érintett adatok kategóriáit és hozzávetőleges számát, (i)     presentation of the nature of the personal data breach, including the categories and approximate number of the data subjects, the categories and approximate number of the pieces of data affected by the breach,
(ii)            a további tájékoztatást nyújtó egyéb kapcsolattartó neve elérhetősége, (ii)   other contact persons providing additional information,
(iii)          az adatvédelmi incidensből eredő, valószínűsíthető következmények, (iii) probable consequences originating from the personal data breach,
(iv)           az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, ideértve az esetleges hátrányos következmények enyhítését célzó intézkedéseket. (iv)  measures taken or planned by the data controller to remedy the personal data breach, including measures to mitigate possible adverse consequences.
Ha és amennyiben nem lehetséges a fenti információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők a felügyeleti hatósággal. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. If and in case the above pieces of information cannot be provided at the same time, they can be provided for the supervisory authority later in small quantities without additional unreasonable delay. If the report is not made within 72 hours, the reasons justifying the delay shall be attached as well.
Nem kell bejelenteni az adatvédelmi incidenst, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell objektív értékelés alapján meghatározni. Kockázatnak minősülhet például, ha az érintettek az incidens folytán hátrányos megkülönböztetésben részesülhetnek, személyazonosságukkal történő visszaélés alanyaivá válhatnak, pénzügyi veszteséget szenvedhetnek, jó hírnevük sérülhet, egyéb jelentős gazdasági vagy szociális hátrány érheti őket. The personal data breach does not need to be reported if the personal data breach will probably not pose risks to the rights and freedoms of natural persons. The probability and severity of the risk shall be determined on the basis of objective evaluation, depending on the nature, scope, circumstances and purposes of data processing. It might qualify as a risk for example if the data subjects might receive negative discrimination due to the breach, might become subject to identity abuse, suffer financial loss, if their reputation might be damaged or if they might suffer other significant economic or social disadvantages.

6.2          Az Érintett tájékoztatása

6.2          Informing the Data Subject

Ha valamely Érintett, különös tekintettel a Vállalkozás munkavállalóira, adatvédelmi incidensről értesül, úgy köteles erről a Vállalkozás képviselőjét haladéktalanul értesíteni. Az értesítéssel kapcsolatos díjszámításra a 4.3.2. pontban foglaltaknak megfelelően alkalmazandók. If a Data Subject, especially the employees of the Enterprise, becomes aware of a personal data breach then they shall immediately inform the representative of the Enterprise thereof. The provisions of Section 4.3.2 shall be applied accordingly to the calculation of fees in connection with the notification.
Minden olyan esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár valamely Érintett(ek) jogaira és szabadságaira nézve és az incidensről a Vállalkozás tudomást szerez, arról indokolatlan késedelem nélkül tájékoztatni köteles az Érintett(ek)et. A tájékoztatásban világosan és közérthetően ismertetni kell: In every case when the personal data breach will probably pose severe risks with regards to the rights and liberties of certain Data Subjects and the Enterprise becomes aware of the breach, the Enterprise shall immediately inform the Data Subjects thereof. The following shall be clearly and understandably presented in the information:
(i)              az adatvédelmi incidens jellegét, (i)     the nature of the personal data breach,
(ii)            a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét, (ii)   the name and contact options of the contact person providing additional information,
(iii)          az adatvédelmi incidensből eredő, valószínűsíthető következményeket, (iii) the probable consequences originating from the personal data breach,
(iv)           a Vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. (iv)  the measures taken or planned by the Enterprise to remedy the personal data breach, including, if applicable, the measures aimed at mitigating the possible adverse consequences originating from the personal data breach.
Az Érintett tájékoztatása nem szükséges, amennyiben a következő feltételek bármelyike teljesül: Informing the Data Subject is not necessary if any of the following conditions is met:
(i)              a Vállalkozás megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat, (i)     the Enterprise enacted appropriate technical and organizational protective measures and these measures were applied concerning the data affected by the personal data breach, especially the measures – like using encryption – that make data incomprehensible for persons unauthorized to access personal data,
(ii)            a Vállalkozás az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg, (ii)   after the personal data breach, the Enterprise took additional measures to ensure that the high risk posed to the rights and freedoms of the Data Subject will probably not be realized in the future,
(iii)          a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az Érintetteket nyilvánosan, a helyben szokásos módon közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. (iii) informing the Data Subjects would make disproportionate amount of efforts necessary. In such cases the Data Subjects shall be informed publicly, through the information published in the manner generally used in that location or to take similar measures to ensure the similarly effective information of the data subjects.
Amennyiben a Vállalkozás még nem értesítette az Érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását, vagy megállapíthatja a fenti feltételek valamelyikének teljesülését és így azt, hogy az Érintett tájékoztatása nem szükséges. If the Enterprise did not notify the Data Subject about the personal data breach yet, the supervisory authority, after assessing whether the personal data breach is expected to pose a high risk, may order the information of the Data Subject or may establish meeting any of the conditions above, and thus, that it is not necessary to inform the Data Subject.

7        Adatkezelési nyilvántartások

7        Data processing records

7.1             Adatkezelési tevékenységek nyilvántartása

7.1             Records of data processing activities

A Vállalkozás és a Vállalkozás képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásban, ideértve az elektronikus dokumentumot is, nyilvántartást köteles vezetni a GDPR 30. cikke szerinti tartalommal, ami a következő információkat tartalmazza: The Enterprise and the representative of the Enterprise shall keep written records about the data processing activities performed in their sphere of responsibility, including electronic documents, with the content in accordance with Article 30 of the GDPR, containing the following information:
(i)              a Vállakozás neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége, (i)     name and contact options of the Enterprise, and – if applicable – the name and contact options of the joint data controller, the representative of the data controller and the data protection officer,
(ii)            az adatkezelés céljai, (ii)   purposes of data processing,
(iii)          az Érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése, (iii) presentation of the categories of the Data Subjects and the categories of personal data,
(iv)           olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket, (iv)  the categories of recipients to whom the personal data is or will be disclosed, including recipients in third countries or international organizations,
(v)             adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása, (v)    if applicable, information concerning the transfer of personal data to third countries or international organizations, including the identification of the third country or international organization and the description of the appropriate guarantees in the case of transferring in accordance with the second sub-paragraph of Article 49, Section (1) of the GDPR,
(vi)           ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők, (vi)  if possible, the deadlines for the deletion of the different categories of data,
(vii)         ha lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (vii)                       if possible, the general description of technical and organizational measures mentioned in Article 32, Section (1) of the GDPR.
A Vállalkozás és a Vállalkozás képviselője köteles a nyilvántartást megkeresés alapján az eljáró felügyeleti hatóság részére hozzáférhetővé tenni. The Enterprise and the representative of the Enterprise shall make the records available for the acting supervisory authority based on inquiry.
   

7.2           Adatvédelmi incidensek nyilvántartása

7.2           Records of data protection incidents

A Vállalkozás nyilvántartja az adatvédelmi incidenseket az alábbi információkkal: The Enterprise keeps records of the data protection incidents with the following information:
(i)              az adatvédelmi incidenshez kapcsolódó tények, (i)     facts related to the data protection incident,
(ii)            annak hatásai és (ii)   the effects of the same and
(iii)          az orvoslására tett intézkedések. (iii) measures taken to remedy the situation.
Jelen nyilvántartásba a felügyeleti hatóság betekinthet és ellenőrizheti, hogy a GDPR 33. cikk rendelkezéseinek betartását. The supervisory authority may view this registry and can check compliance with the provisions of Article 33 of the GDPR.

8       Hatály és felülvizsgálati rend

8       Effect and order of reviews

Az Adatkezelési Szabályzat 2018. május 25. napján lép hatályba és visszavonásig érvényes. Az Adatkezelési Szabályzat hatályba lépésével minden olyan korábban hatályos belső szabályzat, illetve munkáltatói utasítás hatályát veszti, amelynek figyelembevételével a Vállalkozás az Adatkezelési Szabályzat hatálya alá személyes adatokat kezelték. The Data Processing Regulation becomes effective on 25 May 2018 and remains valid until revoked. With the Data Processing Regulation becoming effective every internal regulation and employer instruction in effect earlier, and considering which the Enterprise processed the personal data under the effect of the Data Processing Regulation, becomes null and void.
Az Adatkezelési Szabályzat hatályba lépésének fordulónapjával bezárólag minden évben legalább egyszer felülvizsgálatra kerül, azzal, hogy a felülvizsgálat valamennyi melléklet tartalmára is maradéktalanul kiterjed. The Data Processing Regulation shall be reviewed at least once per year by the anniversary of its effective date at the latest, provided that the review fully extends to the content of all the attachments as well.
Az Adatkezelési Szabályzat rá irányadó szabályainak megismerése és betartása a Vállalkozás minden képviselője, tisztségviselője és megbízottja számára kötelező, feladataikat kötelesek az Adatkezelési Szabályzat előírásainak maradéktalan betartásával ellátni. Becoming aware of and compliance with the rules of the Data Processing Regulation applicable to them is mandatory for all the representatives, officers and agents of the Enterprise, they shall perform their tasks in full compliance with the provisions of the Data Processing Regulation.
Jogszabályváltozás esetén, továbbá a jelen szabályzat egyéb okból történő módosítása esetén a Tájékoztatót a jogszabályi változás alapulvételével, illetve egyéb okból módosítani kell és az Érintettekkel meg kell ismertetni a módosítás szövegét a helyben szokásos módon és a jelen szabályzat közlésével azonos módon. In case the legal regulations change and in the case of the modification of this regulation due to other reasons, the Information Booklet shall be modified on the basis of the change in the legal regulations or for other reasons and the Data Subjects shall be informed about the text of the modification in the manner generally used on site and in the same manner as this regulation was published.

[1] A felsorolás nem teljeskörű, további információk a GDPR 6. cikkében találhatók.

[2] The list is not complete, additional information can be found in Article 6 of the GDPR.

[3] A felsorolás nem teljeskörű, további információk a GDPR 9. cikkében találhatók.

[4] The list is not complete, additional information can be found in Article 9 of the GDPR.

[5] Az adatvédelmi incidensre vonatkozó szabályokat a jelen szabályzat 6. pontja tartalmazza.

[6] The rules concerning personal data breaches are in Section 6 of this regulation.