Adatkezelési tájékoztató

Egzotikus Kert Apartman

 

adatkezelési tájékoztató

[egy bizonyos adatkezelési cél megnevezése, pl. szobafoglalás, bejelentőlap, ajándékkártya-vásárlás, elektronikus hírlevél, talált tárgyak nyilvántartása] val/vel kapcsolatban

 

Jelen Adatkezelési Tájékoztató („Tájékoztató”) [szolgáltatás(ok) megnevezése] nyújtása VAGY a szolgáltatásnyújtás előkészítése VAGY [a szállodai szolgáltatás értékelése, feliratkozás hírlevélre stb.] során kezelt személyes adatokkal kapcsolatban tájékoztatja az érintettet az Európai Parlament és a Tanács (EU) 2016/679 rendelete („GDPR”) 13. ÉS/VAGY 14. cikke alapján.

Megjegyzés

A Tájékoztató egy meghatározott adatkezelési céllal összefüggésben kizárólag azokat az érintett személyes adatainak kezelésével kapcsolatos információkat foglalja össze, amelyeket a GDPR alapján az érintett rendelkezésére kell bocsátani. Így a Tájékoztató nem tér ki pl. azokra az esetkörökre, amikor nem szükséges (teljeskörű) tájékoztatást adni az érintett számára.

A GDPR kétfajta adatkezelési tájékoztatót nevesít. (1) A GDPR 13. cikke szerinti tájékoztatót akkor kell az érintett rendelkezésére bocsátani, ha az Önök cége a személyes adatokat közvetlenül az érintettől szerezte be (pl. az érintett adta azokat meg az adatkezelőnek). (2) A GDPR 14. cikke szerinti tájékoztatót pedig akkor kell az érintett rendelkezésére bocsátani, ha az Önök cége a személyes adatokat más forrásból (pl. más személy, hatóság vagy nyilvánosan hozzáférhető adatbázis) szerezte be. Annak ellenére, hogy az említett cikkek szerint az érintett rendelkezésére bocsátandó információk nagyrészt megegyeznek, az eltérő rendelkezéseket egyértelműen feltüntetjük a Tájékoztatóban.

Gyermekek személyes adatainak, ill. személyes adatok különleges kategóriái szerinti adatoknak (pl. egészségügyi adat) a kezelésével kapcsolatban a GDPR gyakran speciális rendelkezéseket tartalmaz. Ezek a speciális rendelkezések a Tájékoztatóban külön nevesítve, ill. hivatkozva vannak.

Felhívjuk továbbá a figyelmüket, hogy az uniós vagy tagállami jog jogalkotási intézkedéssel korlátozhatja a Tájékoztatóban foglaltak hatályát. Bizonyos esetekben erről is tájékoztatni szükséges az érintettet. Tekintettel arra, hogy tudomásunk szerint jelenleg a hazai adatvédelmi tárgyú jogszabályok GDPR-megfeleltetése még folyamatban van (pl. Info tv.), szükséges lehet a Tájékoztató ezen jogszabályok tükrében történő későbbi felülvizsgálata.

Jelen Tájékoztató egy adatkezelési céllal és egy érintetti körrel (pl. vendég, érdeklődő) kapcsolatban részletezi az érintett számára rendelkezésre bocsátandó információkat.

Amennyiben az Önök cége több célból is végez adatkezelést, megfontolandó egy általános adatkezelési tájékoztató elkészítése, amely a különböző adatkezelési célok során visszatérően rendelkezésre bocsátandó információkat tartalmazza (pl. az adatkezelő elérhetősége vagy az érintett jogai). Ezt kiegészítve továbbá megfontolandó egy olyan tömör és átlátható (pl. táblázatos) formátumú tájékoztató megszerkesztése, amely – szükség szerint visszautalva az általános adatkezelési tájékoztató megfelelő pontjára – adatkezelési célonként tartalmazza az ott megjelölt információkat.

Amennyiben az Önök cége egy adatkezelési cél során különböző érintettel kapcsolatban kezel pl. eltérő adatkezelési célok, ill. jogalapok alapján személyes adatokat, az áttekinthetőség érdekében javasolt a Tájékoztató releváns fejezeteit az érintettek kategóriái szerint alfejezetekre osztani és pl. az adatkezelés céljára, ill. jogalapjára vonatkozó tájékoztatást ezen alfejezetenként külön-külön megadni.

A GDPR területi hatálya az Európai Unió tagállamaira terjed ki, azonban egyeztetések vannak folyamatban aziránt, hogy a területi hatályt az Európai Gazdasági Térség tagállamaira (vagyis az EU tagállamokon kívül Norvégiára, Izlandra és Liechtensteinre) is kiterjesszék. Az egyeztetés eredményétől függően szükséges a Tájékoztató módosítása.

A Tájékoztatót minden esetben az Adatkezelő egyedi körülményeinek és igényeinek megfelelően szükséges módosítani.

1         Az adatkezelő és elérhetőségei

Az adatkezelő cégneve: Egzotikus Kert apartman (a továbbiakban: „Adatkezelő

Székhelye: 8220, Balatonalmádi, Gólya u 7

Postacíme: 8220, Balatonalmádi , Gólya u 7

E-mail címe: egzotikuskertcsoport@gmail.com

Telefonszáma:0036209227111

Honlap: ezotikuskertapartman.hu

Az Adatkezelő adatvédelmi tisztviselőjének az adatai a következők:[1]

Neve: Megyeri Z. Csaba, Megyeriné Jung Mónika

Postacíme: 8220, Balatonalmádi , Gólya u 7

E-mail címe: egzotikuskertcsoport@gmail.com

Telefonszáma: 0036209227111

Az Adatkezelő képviselőjének az adatai a következők:[2]

Neve: Megyeri Z. Csaba, Megyeriné Jung Mónika

Postacíme: 8220, Balatonalmádi, Gólya u 7

E-mail címe: egzotikuskertcsoport@gmail.com

Telefonszáma: 0036209227111

2       Az érintett adatainak kezelése

  • Az érintettek köre

Az Adatkezelő a VAGY az [a címben megjelölt adatkezelést cél megnevezése] során az alábbi természetes személyek (a továbbiakban: Érintett) személyes adatait kezelik: [az érintetti szerep meghatározása, pl. vendég, vevő, kedvezményezett stb.].

  • A kezelt személyes adatok kategóriái

Az Adatkezelő [a címben megjelölt adatkezelést cél megnevezése] során az Érintett alábbi személyes adatait kezeli:

  • [az Érintett személyes adata, pl. vezeték- és keresztnév]
  • [az Érintett személyes adata, pl. e-mail cím]

A kezelt személyes adatokat az Érintett a VAGY az [… nyomtatvány, … dokumentum, szerződés, bejelentő lap stb. – az irat, internetes felület vagy az adat megadása más módjának a megnevezése, amelyben vagy amelyen keresztül a személyes adatait az Érintett megadja] útján bocsátja az Adatkezelő rendelkezésére.[3]

Az Adatkezelő a kezelt személyes adatokat az alábbi forrás(ok)ból gyűjti: [nem az Érintettől származó személyes adatok és azok forrásának megjelölése, ideértve a nyilvánosan hozzáférhető adatbázisokat is.][4]

Megjegyzés

Amennyiben az Adatkezelő az Érintett személyes adatait részben az Érintettől részben pedig nem az Érintettől gyűjti, célszerű a kezelt adatokat oly módon nevesíteni, hogy amikor az adatkezelés célja, jogalapja és időtartama ismertetésére kerül sor, lehetőség szerint egyértelműen lehessen az egyes adatokra visszautalni.

Felhívjuk a figyelmüket, hogy a GDPR gyakran használja a „személyes adatok kategóriái” szófordulatot. Azonban több helyen utal „személyes adatok” kifejezésre. A jelenleg hatályos Infotv. rendelkezéseit figyelembe véve a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) 2015. szeptember 29. napján ajánlást adott ki az előzetes tájékoztatás adatvédelmi követelményeiről, amely szerint pontosan fel kell sorolni a kezelt személyes adatokat, vagyis gyűjtőfogalmak használata nem elégséges. A Tájékoztató a NAIH ajánlásra támaszkodik, így a személyes adatok pontos felsorolását írja elő. Ez a szemlélet a jövőben még változhat. Javasoljuk a jelen Tájékoztató szerinti eljárást követni és a személyes adatok kategóriáját (pl. kapcsolattartáshoz szükséges személyes adatok) csak abban az esetben nevesíteni, ha lehetetlen lenne vagy aránytalan nehézséggel járna a pontos adatok felsorolása.

  • Az adatkezelés célja, jogalapja és időtartama

Megjegyzés

Az alábbiakban szabatos és közérthető megfogalmazásban, röviden be kell mutatni az adatkezelés célját és jogalapját.

Az adatkezelés célját világosan, egyértelműen és pontosan kell megfogalmazni (pl. beérkezett panaszok kivizsgálása céljából, az Adatkezelő vagyonának védelme, ill. a szálloda vendégei személyi- és vagyonbiztonsága, kapcsolattartás, vagy a vendég beazonosítása céljából). Tekintettel arra, hogy egy adatkezelésnek több célja is lehet, a Tájékoztatóban valamennyi adatkezelési célt meg kell jelölni.

Fontos, hogy a célhoz kötöttség elvéből következően a személyes adatokat kizárólag a Tájékoztatóban megjelölt célból lehet kezelni. Az adatoknak a megjelölt céltól eltérő vagy össze nem egyeztethető módon történő kezelése főszabály szerint jogellenes.

Az adatkezelés céljának meghatározásánál továbbá figyelemmel kell arra lenni, hogy a személyes adatok kezelésének az adatkezelés célja szempontjából relevánsnak és szükségesnek kell lennie. Így pl. a vendég azonosítása céljából az Adatkezelő nem kezelheti a vendégnek az iskolai végzettségére vonatkozó adatait.

Az adatkezelés jogalapja lehet pl. a szerződés előkészítése, teljesítése, jogos érdek, jogi kötelezettség vagy az Érintett hozzájárulása. A Tájékoztatóban azokat a jogalapokat tekintettük át, amelyek feltételezésünk szerint az Önök cégénél leggyakrabban előfordulnak. Szükség esetén, így különös tekintettel az esetlegesen kezelt személyes adatok különleges kategóriájára, az itt fel nem sorolt, azonban a  GDPR által nevesített egyéb jogalapot kell megnevezni (ld. GDPR 6. és 9. cikk)

Abban az esetben, amennyiben az Adatkezelő ugyanazon adatkezelési célból több jogalapon kezel különböző adatot, a tájékoztatás egyértelműségének biztosítása érdekében szükséges lehet az adatkezelés jogalapjait a releváns adatokra lebontani. Pl.: az Adatkezelő a beérkezett panaszok kivizsgálása során a panaszos nevét és telefonszámát az Adatkezelő jogos érdeke alapján, míg a panaszos lakcímét a panaszos önkéntes hozzájárulása alapján kezeli.

A személyes adatok tárolásának (megőrzésének) idejét pontosan érdemes meghatározni (pl. a hozzájárulás megadásától számított 2 év). Abban az esetben, amennyiben a személyes adatok megőrzésének pontos időtartama nem határozható meg, lehetőség van az időtartam pontos meghatározása helyett, az időtartam meghatározásához szükséges szempontok (pl. a szerződés teljesítéséhez szükséges idő, a szerződés megkötéséhez szükséges idő, a panasz elbírálásáig szükséges idő) rögzítésére.

2.3.1        A magán szálláskiadás nyújtására irányuló szerződés megkötésének előkészítése ÉS/VAGY a egyéb szálláshely nyújtására irányuló szerződés teljesítése[5]

A személyes adatok kezelése [szolgáltatás megnevezése] nyújtására irányuló szerződés (a továbbiakban: „Szerződés”) megkötésének előkészítése és/vagy teljesítése érdekében szükséges.

A Szerződés szerinti szolgáltatásnyújtás részletes feltételeit az […] Általános Szerződési Feltételek (a továbbiakban: „ÁSZF”) és az abban hivatkozott dokumentumok rögzítik.

A fenti cél elérése érdekében az Adatkezelő különösen:

  • [a szerződéses jogalapon történő adatkezelési tevékenység egyes elemeinek és az elérendő (al)céloknak a rövid, de közérthető összefoglalása. Pl. a Szerződésben előírt szobafoglaláshoz kapcsolódó személyes adat kezelését végzi annak érdekében, hogy ezen szerződéses kötelezettség teljesítését az Adatkezelő ellenőrizhesse; a díjazás mértékének megállapítása érdekében a személyes adatokat elemzi; az Érintett elérhetőségi adatait a Szerződés előkészítése és teljesítése során történő kapcsolattartás céljából kezeli; a személyes adatok alapján az Érintettet azonosítja stb. Az ilyen (al)célokat az áttekinthetőség érdekében javasolt egy-egy franciabekezdésben feltüntetni.].
  • [Javasolt itt felsorolni azon adatkezeléseket is, amelyek a szolgáltatásnyújtás során keletkező személyes adatokra vonatkoznak és a Szerződés teljesítéséhez szükségesek, így pl. bizonyos személyes adatoknak az ÁSZF-ben meghatározott kötelezettség teljesítésének ellenőrzése érdekében történő monitorozása stb.].

A jelen adatkezelés időtartama megegyezik a Szerződés előkészítésének, illetőleg annak megkötése esetén a Szerződés időtartamával.

Tekintettel arra, hogy a fenti személyes adatok szolgáltatása nélkül az Adatkezelő a szerződéskötést előkészíteni, ÉS/VAGX a Szerződést megkötni és teljesíteni nem tudja, az Érintett köteles a személyes adatokat az Adatkezelő részére megadni. Az adatszolgáltatás elmaradása esetén az Adatkezelő jogosult az Érintettel történő szerződéskötést, illetőleg a Szerződés teljesítését megtagadni.[6]

A szerződéskötés elmaradása, illetőleg a Szerződés megszűnése esetén az Adatkezelő a személyes adatokat nem törli, hanem a 2.3.5 pontban megjelölt célból és jogalapon megőrzi. Kivételt képeznek ez alól a […célból kezelt ÉS/VAGY…konkrét adat megjelölése …] személyes adatok, melyeket az Adatkezelő a szerződéskötés meghiúsulása, illetőleg a szerződéses jogviszony megszűnésével [egyidejűleg töröl.[7]

Megjegyzés

A szerződéses jogalap két esetkört fed le: egyfelől, amikor az adatkezelés olyan szerződés teljesítése érdekében történik, amelyben az Érintett félként szerepel, másfelől, amikor a szerződés még nem köttetett meg, de annak előkészítése kapcsán, az Érintett kérésére történő lépések megtételéhez szükséges az adatok kezelése.

Az első esetben az Adatkezelő és az Érintett között egy szerződéses jogviszonynak kell fennállnia. Fontos azonban hangsúlyozni, hogy csak az Érintett kérésére történő lépések körében tett előkészítő adatkezelések jogszerűek, így nem nyújt megfelelő jogalapot ez a szabály azon, személyre szabott ajánlatok küldésére és az ehhez kapcsolódó adatkezelésre, amelyet nem az Érintett igényelt az Adatkezelőtől.

A szerződéses jogalapon nyugvó adatkezelés második esete a szerződés előkészítése körében folytatott adatkezelés, feltéve, hogy a felek szándéka kifejezetten az Érintettel történő szerződéskötésre irányul. Így pl. nem beszélhetünk szerződés előkészítéséhez szükséges adatkezelésről, ha az Adatkezelő egy olyan potenciális érintett személyes adatait (pl. telefonszám, e-mail cím) kezeli, aki pusztán tájékozódási céllal, pl. hírlevélre való feliratkozás útján, fordult az Adatkezelőhöz.

Kiemelendő, hogy az adatkezelésnek a szerződés teljesítéséhez, így vagy az Érintett vagy az Adatkezelő szerződéses jogának érvényesítéséhez, ill. szerződéses kötelezettsége teljesítéséhez szükségesnek kell lennie. Ezt a szükségességet szűken kell értelmezni, azaz nem lehet a szerződéses jogalapot alkalmazni abban az esetben, ha az adatkezelés a szerződés teljesítéséhez nem feltétlenül szükséges (pl. egy kötelezettség pusztán azért került a szerződéses rendelkezések közé, hogy utóbb az Adatkezelő szerződéses jogalapra hivatkozhasson).

Szintén fontos megjegyezni, hogy a szerződés megszűnésével (pl. teljesítésével, felmondásával, megszüntetésével stb.) ezen adatkezelési jogalap is megszűnik. Így pl. az Érintett személyes adatainak a felmondott szerződés utáni igényérvényesítés keretében megvalósuló kezelése tekintetében a szerződéses jogalap már nem lesz alkalmazható, és ez az adatkezelés csak akkor valósítható meg jogszerűen, ha az egy másik, érvényes jogalapon történik, ami pl. az adatkezelőnek a későbbi esetleges igényérvényesítéshez fűződő jogos érdeke lehet.

Személyes adatok különleges kategóriájának kezelése pl. megelőző egészségügyi célokból vagy egészségügyi ellátás, ill. kezelés nyújtása érdekében lehetséges egészségügyi szakemberrel kötött szerződés értelmében. További feltétel, hogy ezen adatok kezelése olyan szakember vagy személy által, vagy olyan szakember felelőssége mellett történjék, akit uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott (szakmai) titoktartási kötelezettség hatálya alatt áll.

2.3.2        Jogi kötelezettség teljesítése[8]

Az Adatkezelő az Érintett személyes adatait az alábbi jogszabályi kötelezettségek teljesítése céljából, az alábbi időtartamban kezeli: [A jogszabály és jogszabályhely megjelölése, a jogi kötelezettség rövid, de közérthető megfogalmazása és a megőrzési idő meghatározása.]

Tekintettel arra, hogy a jelen pont szerinti adatkezelés az Adatkezelő jogi kötelezettsége, a személyes adatok megadása kötelező, az adatszolgáltatás elmaradása magával vonhatja a Szerződés megkötésének, illetőleg a Szerződés teljesítésének megtagadását.[9]

Megjegyzés

A jogi kötelezettség teljesítése kizárólag abban az esetben szolgálhat az adatkezelés jogalapjául, amennyiben az a jogszabályban kifejezetten meghatározott kötelezettség teljesítéséhez szükséges.

Adatkezelést előíró jogszabályi kötelezettségnek minősül pl. a harmadik országbeli állampolgárok beutazásáról és tartózkodásáról szóló 2007. évi II. törvény 73. § (2) bekezdése, ugyanis a hivatkozott jogszabályhely kimondja: „A kereskedelmi szálláshelyen vagy jogi személy által fenntartott egyéb szálláshelyen megszálló harmadik országbeli állampolgár (1) bekezdésben meghatározott adatairól a szállásadó az előírt formanyomtatvány szerinti nyilvántartást (vendégkönyvet) vezet.” Ilyen jogi kötelezettség továbbá pl. a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése, amely szerint „[a] könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.”

A jogi kötelezettség teljesítésén alapuló adatkezelés azonban nem terjeszkedhet túl a jogszabályban előírt kereteken. Így pl. jogi kötelezettségen alapuló adatkezelés esetén az Adatkezelő a jogszabályban foglaltaktól eltérő célból nem gyűjthet személyes adatot, a személyes adatokat nem tárolhatja a jogszabályban előírt időtartamnál hosszabb ideig, azokat a jogszabályban előírtaktól eltérő személyek, szervezetek számára nem továbbíthatja. Amennyiben az adatkezelés bármilyen okból mégis túlterjeszkedik a jogszabály által meghatározott kötelezettségen, azaz pl. az Adatkezelő a jogszabályban foglalt adatkörön túli egyéb adatokat is gyűjt, vagy azokat a jogszabályban foglalthoz képest hosszabb ideig tárolja, úgy ezen jogszabályi körön túli adatkezelés csak akkor jogszerű, ha arra van megfelelő jogalap (pl. jogos érdek).

Megjegyezzük továbbá, hogy ugyan a GDPR nem korlátozza azon jogszabályok körét, amelyek rendelkezései alapján az Adatkezelő adatkezelésre jogosult, azonban az Infotv. módosítás jelenleg ismert tervezetének 5. § (3) bekezdése alapján adatkezelésre irányuló jogi kötelezettséget csak törvény vagy önkormányzati rendelet rögzíthet.

Az adatkezelést előíró jogi kötelezettség megjelölése során elsősorban nemcsak a jogszabály pontos szakaszszámát kell rögzíteni, hanem a jogi norma tárgya, azon belül az adott jogi kötelezettség rövid, de közérthető megfogalmazása is javasolt. Pl. a harmadik országbeli állampolgárok beutazásáról és tartózkodásáról szóló 2007. évi II. törvény 73. § (2) bekezdése alapján a szálláshelyen megszálló harmadik országbeli állampolgár adatairól szóló vendégkönyv vezetése.

2.3.3        Az Adatkezelő ÉS/VAGY harmadik fél jogos érdeke[10]

Az Adatkezelő az Érintett személyes adatait az alábbi jogos érdekek alapján a következő célból és időtartamban kezeli:

[Az adatkezelési cél, a jogos érdek és a megőrzési idő rövid szabatos bemutatása. Ilyen lehet pl. a jogszabályban nem szabályozott, de az Adatkezelő által végzett, a szolgáltatásra vonatkozó szerződés előkészítését, megkötését megelőzően végzett profilalkotás is.] A jelen pont szerinti adatkezelés célja, hogy az Adatkezelő [az ismertetett jogos érdeket] érvényesíthesse. A személyes adatokat az Adatkezelő 5 évig kezeli.

Tekintettel arra, hogy a jelen pont szerinti adatkezelés az Adatkezelő vagy a harmadik fél jogos érdeke, a személyes adatok megadása kötelező, az adatszolgáltatás elmaradása magával vonhatja [annak meghatározása, hogy milyen lehetséges következménnyel járhat az adatszolgáltatás elmaradása, pl. a Szerződés megkötésének, illetőleg a Szerződés teljesítésének megtagadását].[11]

Megjegyzés

Olyan adatkezeléseknél célszerű ezt a jogalapot választani, amelyeket nem lehet a szerződés vagy jogi kötelezettség teljesítése jogalapok alá besorolni. A jogos érdek megnevezésének, ismertetésének lehetséges formája, megfogalmazása pl. az Adatkezelőnek az Érintettek számára nyitva álló helyiségeiben a személy- és vagyonvédelem biztosításához fűződő jogos érdeke stb.

Az Adatkezelő vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve, hogy az Érintett, különösen ha az Érintett gyermek, érdekei, alapvető jogai és szabadságai nem sérülnek.

Harmadik fél jogos érdekére való hivatkozás esetén a harmadik fél azonosítása szükséges.

Fontos, hogy a jogos érdeken alapuló adatkezelés csak akkor tekinthető jogszerűnek, ha azt egy érdekmérlegelési teszt előzte meg. Az érdekmérlegelési tesztben azt kell bemutatni, hogy az Adatkezelőt megillető, az adatkezelést megalapozó jogos érdekek (pl. vagyonvédelem) miért élveznek elsőbbséget, az Érintettnek az adatkezelés jogszerűségét „megdöntő” érdekeivel (pl. magánélet védelmével) szemben, illetve azt, hogy az Adatkezelő adatkezelése csak szükséges és arányos mértékben korlátozza az Érintett érdekeit. Az érdekmérlegelési teszt nem képezi a Tájékoztató részét, a NAIH kérésre azonban megtekintheti.

Az érdekmérlegelési teszt elvégzése módszertani szempontból a következő lépéseket foglalja magában:

  • annak vizsgálata, hogy a tervezett művelethez szükséges-e egyáltalán személyes adatkezelés;
  • az adatkezelő vagy egy harmadik fél jogos érdekének azonosítása (valamely társadalmilag és az általános etikai normák alapján értelmezhető cél, pl. adatok tárolása későbbi jogérvényesítés esetére, üzletfejlesztés, elemzések végzése, vagyonvédelem, biztonság fenntartása stb.);
  • az érintett érdekeinek vagy alapvető jogainak azonosítása (különös tekintettel arra, hogy milyen potenciális veszélyekkel járhat az érintett magánszférájára, vagy jogaira nézve az adatkezelés, vagy amennyiben visszaélés történik a kezelt adatokkal);
  • annak kifejtése, hogy az adatkezelő milyen garanciális intézkedéseket alkalmaz az érintett jogainak és magánszférájának védelmére, ideértve az informatikai, adminisztratív és jogi lépéseket is (pl. megfelelő adatbiztonsági tudatosság, adatfeldolgozó rendszeres auditálása, adatvédelmi tisztviselő stb.);
  • a kétféle érdek összevetése annak megállapítása érdekében, hogy a jogos érdek megfelelő jogalapot biztosít-e.

A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az Érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e ésszerűen arra, hogy a jogos érdeken alapuló adatkezelésre az adott célból sor kerülhet. Az Érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az Adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az Érintett nem számít további adatkezelésre. A jogos érdek szabatos körülírása azért is fontos, hogy az Adatkezelő igazolni tudja, hogy a körültekintő tájékoztatás okán az Érintett számíthatott az ilyen célú adatkezelésre.

Az adatkezelés jogalapját képező, az Adatkezelőt megillető jogos érdek lehet pl. személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése.

2.3.4        Az Érintett hozzájárulása[12]

A személyes adatok kezelése az Érintett hozzájárulása (önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű akaratnyilvánítása) alapján történik. A hozzájárulást az Érintett

  • más nyilatkozatoktól elkülönítetten a [szolgáltatás megnevezése] nyújtására irányuló szerződésben, vagy
  • a Tájékoztatóhoz csatolt külön nyilatkozatban
  • [amennyiben egyéb módon, pl. bizonyos online felületen keresztül, történt a hozzájáruló nyilatkozat megadása, annak pontos és igazolható meghatározása szükséges].[13]

A hozzájárulás megadása önkéntes, és az Érintett jogosult arra, hogy a hozzájárulását bármikor, korlátozás nélkül az Adatkezelőnek címzett értesítéssel visszavonja. Az értesítést az Érintett a Tájékoztató 1. pontja szerinti kapcsolattartási címek bármelyikére megküldheti.

A hozzájárulás visszavonása az Érintettre nézve nem jár következményekkel. A hozzájárulás visszavonása azonban nem érinti a visszavonás előtti – a hozzájárulás alapján végrehajtott – adatkezelés jogszerűségét.

Megjegyzés

Az Érintett hozzájárulásán alapuló adatkezelés jogszerűségének legfontosabb feltétele, hogy a hozzájárulásnak önkéntesnek kell lennie. A hozzájárulás önkéntességének megvizsgálása során mindenekelőtt azt kell figyelembe venni, hogy az Érintett rendelkezik-e valós vagy szabad választási lehetőséggel és módjában áll-e a hozzájárulást anélkül megtagadni vagy visszavonni, hogy ez kárt okozna neki. Pl. abban az esetben, ha a Szerződés teljesítéséhez (beleértve a szolgáltatások nyújtását is) feltételül szabták az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a Szerződés teljesítéséhez, a hozzájárulás nem tekinthető önkéntesnek. Továbbá panaszkezelés esetén sem lehet az adatkezelés jogalapja a panaszos hozzájárulása abban az esetben, amennyiben a panasz kivizsgálását az Adatkezelő a panaszos bizonyos, a panasz kivizsgálásához szükségtelen személyes adatainak megadásától teszi függővé.

Az adatkezelés jogalapjaként az Érintett hozzájárulása abban az esetben szolgálhat, amennyiben a hozzájárulás más ügyektől elkülönülten jelenik meg, vagyis ha az Érintettnek módjában állt arról dönteni, hogy a rendelkezésére bocsátott dokumentumban rögzített feltételek, ill. lehetőségek közül melyekhez járul hozzá és melyekhez nem.

Az Érintett hozzájárulásának továbbá kifejezettnek kell lennie. Nem lehet tehát a hozzájárulás az adatkezelés jogalapja, ha az Érintett a hozzájárulását pl. hallgatólagos belegyezésével adta meg. Az Érintett hozzájárulást nem lehet vélelmezni. Tehát nem megfelelő pl. „a szerződés aláírásával a vendég hozzájárulását adja a személyes adatai kezeléséhez” fordulat használata a szerződésben.

Az Érintett hozzájárulása továbbá akkor szolgálhat az adatkezelés jogalapjaként, ha az Érintett hozzájárulását egy, az adatkezelésre vonatkozó konkrét, világos és egyszerű tájékoztatás előzte meg. Emiatt javasolt a hozzájárulásokhoz kapcsolódó részletes adatkezelési tájékoztatást nem a Tájékoztatóban, hanem a hozzájárulásokhoz kapcsolódó külön tájékoztatóban megadni.

Végezetül fontos megjegyezni, hogy az adatkezelésnek az Érintett hozzájárulása akkor lehet a megfelelő jogalapja, ha az Adatkezelő ténylegesen biztosítani tudja a hozzájárulással történő adatkezelés esetén alkalmazandó érintetti jogok érvényesülését. Tekintettel arra, hogy az Érintett jogaival kapcsolatos rendelkezéseket a Tájékoztató 4 pontjában rögzítjük, így itt csupán megjegyezzük, hogy a hozzájárulás akkor minősül megfelelő jogalapnak, ha az Adatkezelő el tud tekinteni az adatkezeléstől vagy valós alternatívát képes biztosítani az Érintett számára abban az esetben, amennyiben az Érintett visszavonja vagy megtagadja a hozzájárulását. Az érintett hozzájárulásának visszavonását olyan egyszerű módon kell lehetővé tenni, mint annak megadását.

Amennyiben az Adatkezelő a közvetlenül 16. életévét be nem töltött gyermekeknek kínált információs társadalommal összefüggő szolgáltatások kapcsán a 16. életévét be nem töltött gyermek személyes adatainak kezelése főszabály szerint csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, ill. engedélyezte.

A jogszabályok GDPR-megfeleltetése során a jogalkotónak lehetősége van 16. életévnél alacsonyabb életkor meghatározására, valamint arra, hogy a személyes adatok különleges kategóriájának az Érintett hozzájáruláson alapuló kezelését korlátozza.

2.3.5        A Szerződésből eredő jogi igények előterjesztése, érvényesítése és védelme[14]

Az Érintettnek a 2.3.1 pont értelmében a szerződéskötés meghiúsulását, illetőleg a Szerződés megszűnését követően nem törölt személyes adatait az Adatkezelő a szerződéskötés meghiúsulását, illetőleg a Szerződés megszűnését követő öt évig, a Polgári Törvénykönyvről szóló 2013. évi V. törvény általános elévülési szabályai szerint megőrzi.

A fenti személyes adatokon túl, az Adatkezelő jogosult az Érintettnek [forrás megjelölése, ideértve a nyilvánosan hozzáférhető adatbázisokat is[15]] származó személyes adatait, így [adatok felsorolása] az Adatkezelő jogos érdeke alapján a fenti időtartamban kezelni.[16]

A jelen pont szerinti adatkezelés célja, hogy az Adatkezelő a Szerződésből eredő esetleges jogait, követeléseit érvényesíthesse, illetőleg védekezhessen az ilyen jogi igények, követelések előterjesztése esetén. Az adatkezelés elmaradása magával vonhatja [annak meghatározása, hogy milyen lehetséges következménnyel járhat az adatszolgáltatás elmaradása, pl. a Szerződés megkötésének, illetőleg a Szerződés teljesítésének megtagadását].[17]

  • Egyedi ügyekben alkalmazott automatizált döntéshozatalról való döntés joga, beleértve a profilalkotást[18]

Az Adatkezelő az Érintett személyes adatait az Érintett kifejezett hozzájárulása alapján VAGY az Érintett és az Adatkezelő közötti Szerződés megkötése érdekében ÉS/VAGY az Érintett és az Adatkezelő közötti szerződés teljesítése érdekében VAGY az Adatkezelőre irányadó [jogszabályi rendelkezés megjelölése] alapján olyan automatizált adatkezelés során is kezeli, amelynek eredményeként megszülető döntés az Érintettre nézve [jelentős joghatás vagy hasonló jelentős mérték leírása pl. egy kedvezmény megvonásával, a díj módosításával, a szerződés felmondásával stb.] jár.

Az Adatkezelő a fenti automatizált döntéshozatal során az Érintettnek a [személyes adatok megjelölése] használja fel az alábbiak szerint: [automatizált döntéshozatal/profilalkotás rövid, egyszerű bemutatása].

Az Adatkezelő továbbá tájékoztatja az Érintettet, hogy az automatizált döntéshozatal során megszületett döntés az alábbi következményekkel jár az Érintettre nézve: [a döntés Érintettre gyakorolt hatásának rövid bemutatása (pl. szerződéskötés elutasítása, szerződés módosítása stb.)]

Megjegyzés

Az automatizált döntéshozatal, beleértve a profilalkotást is, alapját képező logikáról történő tájékoztatás során nincs szükség az alkalmazott algoritmus, képlet vagy üzleti logika részletes nyilvánosságra hozatalára (a tájékoztatásnak nem kell olyan mélynek lennie, ami sérti az Adatkezelő üzleti titkát). Ehelyett elégséges annak bemutatása, hogy mely személyes adatokat érinti az automatizált döntéshozatal, és az adatkezelés, a meghozott döntés milyen következménnyel járhat az Érintettre. Javasolt néhány példán keresztül bemutatni az automatizált döntéshozatal működését. Automatizált döntéshozatal gyermekekre nem alkalmazható. A személyes adatok különleges kategóriáit célzó automatizált döntéshozatal csak bizonyos feltételek mellett lehetséges.

VAGY

Az Adatkezelő nem végez automatizált döntéshozatalt, beleértve a profilalkotást.

3         A személyes adatok címzettjei[19]

Az Adatkezelő az Érintett személyes adatait az alábbi személyek, illetve szervezetek részére továbbítja:

  • [név és tevékenységi hely szerinti ország megnevezése] (önálló adatkezelő);
  • [név és tevékenységi hely szerinti ország megnevezése] (az Adatkezelővel közös adatkezelő);
  • [címzett kategóriái, pl. honlapon elérhető közvetítők, a működési ágazat és tevékenységi hely meghatározásával együtt] (adatfeldolgozók);
  • [az ÁSZF-ben megjelölt kiszervezett tevékenységet végzők]
  • [egyéb címzett neve, tevékenységi helye szerinti ország megnevezése].

Megjegyzés

A címzettek feltüntetésénél utalni kell arra, hogy az adattovábbítás mely adatok kapcsán, mely adatkezelési céllal összefüggésben történik.

A jelen pontban valamennyi olyan személyt és szervezetet fel kell tüntetni, amely részére az Adatkezelő az Érintett személyes adatait, vagy annak csak egy részét továbbítja/átadja, kivéve azokat a közhatalmi szerveket, amelyek részére csak az adatigénylő megkeresése alapján történik adattovábbítás (pl. nyomozó hatóság, NAIH stb.). Továbbításnak minősül minden, az Adatkezelőn és az Érintetten kívüli személy vagy szervezet számára történő adatátadás.

Célszerű feltüntetni azt is, hogy az adott címzett adatfeldolgozónak, közös adatkezelőnek vagy önálló adatkezelőnek minősül.

Adatfeldolgozónak minősül minden olyan szervezet vagy személy, amely/aki az Adatkezelő utasításának megfelelően végzi az adatkezelési műveletet. Az adatfeldolgozónak tehát az az attribútuma, hogy semmilyen körülmények között sem jogosult a személyes adatok kezeléséről érdemben dönteni. Adatfeldolgozónak minősül pl. a tárhelyszolgáltató vagy más informatikai szolgáltató, adott esetben a függő ügynök stb.

Közös adatkezelő az a szervezet vagy személy, amely/aki a személyes adatok kezelésének céljait és eszközeit az Adatkezelővel közösen határozza meg. A célok, illetve eszközök lényeges elemeinek együttes, illetve közös meghatározása azonban nem jelenti azt, hogy a közös adatkezelőknek egyenlő mértékben kellene megosztaniuk a célok és eszközök meghatározásával kapcsolatos kompetenciákat. A döntési jogosultságokat eltérő formában és mértékben gyakorolhatják: ahhoz, hogy közös adatkezelőnek minősüljenek, az szükséges és elegendő, hogy vagy az adatkezelés célját, vagy annak egyéb, már az adatkezelés céljára is visszaható lényeges elemeit (például a gyűjtendő adatok körét) együtt határozzák meg. Közös adatkezelőnek minősülhet például az Adatkezelővel közös terméket értékesítő harmadik fél.

Önálló adatkezelő az a szervezet vagy személy, amelynek/akinek az Adatkezelő továbbítja a személyes adatokat és amelynek/akinek az adatkezelése az Adatkezelő adatkezelésétől teljesen elkülönül. Például önálló adatkezelők a hatóságok (pl. adóhatóság).

Több Érintett esetén, amennyiben az Adatkezelő eltérő Érintettek személyes adatait címzetti kör részére adja át, javasolt a címzettek fenti listájában jelezni, hogy az adatátadás az melyik Érintettre vonatkozik.

Az ÁSZF-re való utalás csak annyiban alkalmazandó, amennyiben az Adatkezelő rendelkezik ÁSZF-fel.

Az Adatkezelő a [közös adatkezelő]-vel együttesen az alábbi körben jár el közös adatkezelőként:[20]

  • [közös adatkezelés tárgyának rövid leírása]

A közös adatkezelőnek a fenti közös adatkezelésre vonatkozó megállapodása lényegi elemei az alábbiak: [felsorolás amely tartalmazza különösen a közös adatkezelés tárgyát, a közösen meghatározott célt, eszközöket, az adatkezelők egyetemleges felelősségét, az érintettek számára kijelölt kapcsolattartó személyét, az adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat] / elérhetőek itt: egzotikuskertapartman.hu

A személyes adatok [adatfeldolgozó] ÉS/VAGY [közös adatkezelő] ÉS/VAGY [önálló adatkezelő neve] részére történő továbbításával az Adatkezelő az Érintett adatait az Európai Unió („EU”) tagállamain kívüli harmadik országba[21], nevezetesen [ország neve pl. Amerikai Egyesült Államok], ÉS/VAGY nemzetközi szervezet, nevezetesen [a nemzetközi szervezet megnevezése] részére továbbítja.[22]

A személyes adatok megfelelő védelmi szintjét a harmadik országban ÉS/VAGY a nemzetközi szervezetnél [az Európai Unió Bizottságának … megfelelőségi határozata] VAGY [GDPR 46., 47., vagy 49. cikke szerinti megfelelő garanciák bemutatása] biztosítja. A megfelelő garanciák igazolására szolgáló okiratok másolatát az Érintett az alábbi módokon szerezheti be

4         Az érintett jogai

4.1        A hozzáféréshez való joga

Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy a személyes adatokhoz és az alábbi információkhoz hozzáférést kapjon:

  • az adatkezelés céljai az adott személyes adat vonatkozásában,
  • az érintett személyes adat kategóriái,
  • azon címzettek kategóriái, akinek az érintett személyes adatait közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, ill. nemzetközi szervezeteket (a harmadik országbeli címzettek, továbbá a nemzetközi szervezetek részére történő adattovábbítás esetén az Érintett jogosult tájékoztatást kérni arra vonatkozóan, hogy az adattovábbítás megfelelő garanciák mellett történik-e),
  • az érintett személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
  • az Érintettet megillető érintetti jogok (helyesbítés, törlés vagy korlátozás joga, az adathordozhatósághoz való jog, valamint a tiltakozás joga az ilyen személyes adatok kezelése ellen),
  • a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga,
  • ha az adatot az Adatkezelő nem az Érintettől szerezte, akkor a forrásra vonatkozó minden elérhető információ, [23]
  • az érintett személyes adatra vonatkozó automatizált döntéshozatal ténye, ideértve a profilalkotást is; ha történik ilyen természetű adatkezelés, akkor a tájékoztatásnak ki kell terjednie az alkalmazott logikára és arra, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.[24]

Ha az Érintett elektronikus úton nyújtotta be a kérelmét, a kért információkat széles körben használt elektronikus formában kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri.

Az Adatkezelő az Érintettől a kérelem teljesítését megelőzően, annak tartalmának pontosítását, a kérelmezett információk, illetve adatkezelési tevékenységek pontos megjelölését kérheti.

Amennyiben az Érintett jelen pont szerinti hozzáférési joga hátrányosan érinti mások jogait és szabadságait, így különösen mások üzleti titkait vagy szellemi tulajdonát, az Adatkezelő jogosult az Érintett kérelmének teljesítését szükséges és arányos mértékben megtagadni.

Abban az esetben, amennyiben az Érintett a fenti tájékoztatást több példányban kéri, az Adatkezelő jogosult a többlet példányok elkészítésének adminisztratív költségeivel arányos és ésszerű mértékű díjat felszámítani.

Amennyiben az Érintett által megjelölt személyes adatot az Adatkezelő nem kezeli, úgy erről is köteles az Érintettet írásban tájékoztatni.  

  • A helyesbítéshez való jog

Az Érintett jogosult ahhoz, hogy a reá vonatkozó személyes adatok helyesbítését kérje. Amennyiben az Érintettre vonatkozó személyes adatok hiányosak, úgy az Érintett jogosult a személyes adatok kiegészítését kérni.

A helyesbítéshez/kiegészítéshez kapcsolódó jog gyakorlása során az Érintett köteles megjelölni, hogy mely adatok pontatlanok, illetve hiányosak, továbbá köteles az Adatkezelőt a pontos, teljeskörű adatról is tájékoztatni. Az Adatkezelő jogosult indokolt esetben az Érintettet felhívni arra, hogy a pontosított adatot megfelelő módon – elsősorban okirattal – bizonyítsa az Adatkezelő számára.

Az Érintett az adatok helyesbítését, kiegészítését indokolatlan késedelem nélkül teljesíti.

Az Adatkezelő az Érintett helyesbítéshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel az Adatkezelőtől aránytalan erőfeszítést. Az Érintettet kérésére az Adatkezelő tájékoztatja ezen címzettekről.

  • A törléshez való jog („az elfeledtetéshez való jog”)

Az Érintett jogosult indítványozni, hogy az Adatkezelő a reá vonatkozó személyes adato(ka)t indokolatlan késedelem nélkül törölje, amennyiben az alábbi indokok valamelyike fennáll:

  • az Érintett által megjelölt személyes adatra nincsen szükség abból a célból, amelyből azokat az Adatkezelő gyűjtötte vagy más módon kezelte,
  • az Adatkezelő a személyes adatot (ideértve a különleges adatot is) az Érintett hozzájárulása alapján kezelte, az Érintett a hozzájárulását írásban visszavonta és az adatkezelésnek nincs más jogalapja,
  • az Érintett az Adatkezelő jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs az Adatkezelő számára olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak,
  • az Adatkezelő a személyes adatot jogellenesen kezelte,
  • az Adatkezelő által kezelt adatot az Adatkezelőre alkalmazandó uniós vagy nemzeti jogban előírt jogszabályi kötelezettség teljesítéséhez törölni kell,
  • az Érintett az adatkezelés ellen tiltakozik és nincs elsőbbséget élvező ok az adatkezelésre.

Az Érintett a törléshez kapcsolódó kérelmét írásban köteles előterjeszteni és köteles megjelölni, hogy mely személyes adatot milyen okból kíván töröltetni.

Amennyiben az Adatkezelő az Érintett törléshez kapcsolódó indítványának helyt ad, úgy a kezelt személyes adatot valamennyi nyilvántartásából törli, és erről az Érintettet megfelelő módon tájékoztatja.

Abban az esetben, amennyiben az Adatkezelő az Érintett személyes adatainak törlésére köteles, az Adatkezelő minden olyan ésszerű lépést megtesz – ideértve a technikai intézkedések alkalmazását is – amely ahhoz szükséges, hogy a személyes adatok kötelező törléséről tájékoztassa azon adatkezelőket is, akik az Érintett személyes adatait azok nyilvánosságra hozatala következtében ismerték meg. Az Adatkezelő a tájékoztatójában arról köteles a többi adatkezelőt értesíteni, hogy az Érintett személyes adataira mutató linkek vagy e személyes adatok másolatának, illetve másolatpéldányának törlését az Érintett kérelmezte.

Az Adatkezelő az Érintett törléshez való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel az Adatkezelőtől aránytalan erőfeszítést. Az Érintettet kérésére az Adatkezelő tájékoztatja ezen címzettekről.

Az Adatkezelő nem köteles a személyes adatok törlésére abban az esetben, ha az adatkezelés szükséges:

  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlásához,
  • a magyar vagy európai uniós jogszabály által az Adatkezelőre telepített személyes adatok kezelésére irányuló kötelezettség teljesítéséhez,
  • közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához,
  • a népegészségügy területét érintő közérdek megvalósításához,
  • közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, feltéve, hogy az Érintett elfeledtetéshez való jogának gyakorlása következtében valószínűsíthetően lehetetlenné vagy komolyan veszélyeztetetté válna az adatkezelés,
  1. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
    • Az adatkezelés korlátozásához való jog

Az Érintett jogosult indítványozni, hogy az Adatkezelő a reá vonatkozó személyes adato(k) kezelését, felhasználását korlátozza, amennyiben az alábbi indokok valamelyike fennáll:

  • az Érintett vitatja a személyes adatok pontosságát (ebben az esetben a korlátozás addig tart, amíg az Adatkezelő ellenőrzi az adat pontosságát),
  • az Adatkezelő a személyes adatot jogellenesen kezelte, de az Érintett törlés helyett korlátozást kér,
  • az Adatkezelő számára az adatkezelés célja megszűnt, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
  • az Érintett az Adatkezelő jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs az Adatkezelő számára olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak; ebben az esetben a korlátozás addig áll fenn, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

Korlátozás esetén a személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy uniós, illetve valamely európai uniós tagállam fontos közérdekből lehet kezelni.

Az Adatkezelő az adatkezelés korlátozásának feloldásáról az Érintettet előzetesen tájékoztatja.

Az Adatkezelő az Érintett korlátozásához való jogának érvényesítésére irányuló kérelmének teljesítését követően haladéktalanul tájékoztatja azon személyeket, akikkel az Érintett személyes adatait közölte, feltéve, hogy az nem lehetetlen vagy nem igényel az Adatkezelőtől aránytalan erőfeszítést. Az Érintettet kérésére az Adatkezelő tájékoztatja ezen címzettekről.

  • A tiltakozáshoz való jog[25]

Tekintettel arra, hogy az Adatkezelő nem végez közérdekű adatkezelést és közhatalmi jogosítványai sincsenek, nem végez tudományos vagy történelmi kutatást, illetve az adatkezelésre statisztikai célból sem kerül sor, így esetében a jogos érdeken alapuló adatkezelések esetén merülhet fel a tiltakozáshoz való jog gyakorlása.

Amennyiben az Érintettek adatainak kezelésére jogos érdekre alapítottan kerül sor, fontos garanciális jellegű rendelkezés, hogy az Érintett számára az adatkezelés kapcsán biztosítani kell a megfelelő tájékoztatást és a tiltakozás jogának érvényesítését. A jelen jogra legkésőbb az Érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét.

Az Érintett ennek alapján jogosult tiltakozni személyes adatainak kezelése ellen és ilyen esetben az Adatkezelő nem kezelheti tovább az Érintett személyes adatait, kivéve, ha bizonyítható, hogy

  • az adatkezelést az Adatkezelő részéről olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben vagy
  • az adatkezelés az Adatkezelő jogi igényeinek előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik.
    • A tiltakozáshoz való jog közvetlen üzletszerzés esetén

Az Érintett az Adatkezelő által folytatott direkt marketing tevékenységek esetén jogosult tiltakozni személyes adatainak ezen célból történő kezelése ellen, az egyéb jogos érdeken alapuló adatkezeléssel ellentétben azonban a tiltakozás nyomán az Adatkezelőnek nem áll módjában mérlegelni, hogy az Érintett tiltakozása esetén mégis folytathatja-e az adatkezelést.

Amennyiben az Érintett a direkt marketing célból történő adatkezelés ellen tiltakozik, úgy a továbbiakban az Érintett adatait az Adatkezelő ezen célból tovább nem kezelheti.

  • Profilalkotás

Profilalkotás során az Érintettekre vonatkozó személyes jellemzőket valamilyen automatizált módszerrel értékelik ki. Az ilyen értékelések felhasználhatók például az Érintett munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzőinek elemzésére vagy előrejelzésére.

A tiltakozás joga kiterjed a jogos érdeken alapuló profilalkotásra, mint sajátos adatkezelési műveletre is. Amennyiben pedig direkt marketing célból kerül sor profilalkotásra, úgy az Érintett tiltakozása nyomán a személyes adatain alapuló profilalkotással is haladéktalanul fel kell hagyni.

  • Az adathordozhatósághoz való jog[26]

Az Érintett jogosult arra, hogy a rá vonatkozó, az Adatkezelő által kezelt személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat másik adatkezelőnek továbbítsa anélkül, hogy ezt az Adatkezelő akadályozná.

Az adathordozhatósághoz való jog azon személyes adatok tekintetében gyakorolhatók, amelyeket az Érintett az Adatkezelő rendelkezésére bocsátott, és

  • Az Érintett hozzájárulásán vagy szerződéses jogalapon alapul az adatkezelés, és
  • az adatkezelés automatizált módon történik.

Amennyiben az egyébként technikailag megvalósítható, az Adatkezelő az Érintett kérésére a személyes adatokat közvetlenül egy másik, az Érintett kérelmében megjelölt adatkezelő részére továbbítja. A jelen pont szerinti adathordozhatósághoz való jog nem teremt kötelezettséget arra vonatkozóan, hogy az adatkezelők egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn.

Az adathordozhatóság körében az Adatkezelő köteles ingyenesen az Érintett számára az adathordozót rendelkezésre bocsátani.

Abban az esetben, amennyiben az Adatkezelő adathordozhatósághoz való joga hátrányosan érinti mások jogait és szabadságait, így különösen mások üzleti titkait, vagy szellemi tulajdonát, az Adatkezelő jogosult az Érintett kérelmének teljesítését szükséges mértékben megtagadni.

Az adathordozhatóság körében tett intézkedés nem jelenti az adatok törlését, azokat az Adatkezelő mindaddig nyilvántartja, ameddig az adatok kezelésére az Adatkezelő megfelelő céllal, illetve jogalappal rendelkezik.

  • Egyedi ügyekben alkalmazott automatizált döntéshozatalról való döntés joga, beleértve a profilalkotást[27]

Az Érintett jogosult kérni, hogy ne terjedjen ki rá a kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Az Érintett nem jogosult kérni az automatizált adatkezelésen alapuló döntés hatálya alóli mentesítését, ha a döntés szerződés megkötése vagy teljesítése érdekében szükséges, vagy a döntés meghozatalát európai uniós vagy tagállami jog teszi lehetővé vagy ha a döntés az Érintett kifejezett hozzájárulásán alapul.

Amennyiben az automatizált adatkezelés szerződés megkötése vagy teljesítése érdekében szükséges vagy az Érintett hozzájárulásán alapul, akkor az Érintettet megilleti az a jog, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

Az Adatkezelő adatkezelései során mindent megtesz a személyes adatok különleges kategóriáiba tartozó adatok automatizált döntéshozatalba történő bevonásának elkerülésére. Amennyiben azonban ez nem elkerülhető, akkor a személyes adatok különleges kategóriái vonatkozásában kizárólag akkor végezhető automatizált döntéshozatal, ha az adatkezelés az Érintett hozzájárulásán alapul vagy jelentős közérdek miatt szükséges európai uniós vagy tagállami jog alapján és az érintetti jogok védelme érdekében megfelelő intézkedések megtételére került sor.

 

  • Jogorvoslathoz való jog

Megjegyzés

Főszabály szerint az érintett európai uniós tagállam nemzeti eljárásjoga határozza meg a jogorvoslat elbírálására hatáskörrel és illetékességgel rendelkező uniós tagállami bíróságot. Jelezzük, hogy a jelenleg hatályos jogszabályok nem egyértelműek atekintetben, hogy a bírósági illetékességre csak az Info tv. szerinti illetékességi szabályokat kell-e alkalmazni (kizárólagos illetékesség), vagy a Pp. szerinti illetékességi szabályokat is (pl. kártérítés helye szerinti bíróság) (vagylagos illetékesség). A hazai jogszabályok GDPR-megfeleltetése után ezért feltétlenül szükséges a megfelelő részek pontosítása.

4.8.1        Panasztételhez való jog

Ha az Érintett úgy ítéli meg, hogy az Adatkezelő általi személyes adatainak kezelése megsérti a mindenkor hatályos adatvédelmi jogszabályok, így különösen a GDPR, rendelkezéseit, jogában áll a Nemzeti Adatvédelmi és Információszabadság Hatóságnál panaszt benyújtani.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Honlap: https://naih.hu/

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.

Postacím: 1530 Budapest, Pf.: 5.

Telefon: +36-1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti európai uniós tagállamban létrehozott, felügyeleti hatóságnál is panaszt tenni.

Megjegyzés

A NAIH még nem került kijelölésre magyar felügyeleti hatóságként.

4.8.2        A bírósághoz fordulás joga (keresetindítási jog)

Az Érintett – panasztételi jogától függetlenül – bírósághoz fordulhat, ha a személyes adatainak kezelése során megsértették a GDPR szerinti jogait.

Az Adatkezelővel mint belföldi tevékenységi hellyel rendelkező adatkezelővel szemben magyar bíróság előtt indítható per.

Az Érintett a pert a jelenlegi Infotv. 22. § (1) bek. szerint a lakóhelye szerinti törvényszék előtt is megindíthatja. Magyarországon a törvényszékek elérhetősége az alábbi linken található: https://birosag.hu/torvenyszekek.

Tekintettel arra, hogy az Adatkezelő nem minősül valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének, az Érintett a pert a szokásos tartózkodási hely szerinti tagállam hatáskörrel és illetékességgel rendelkező bírósága előtt is megindíthatja, amennyiben az Érintett szokásos tartózkodási helye az Európai Unió más tagállamában van.

4.8.3        Egyéb igényérvényesítési lehetőség

Az Érintettnek jogában áll a panasznak a nevében történő benyújtásával, a felügyeleti hatóság határozatának bírósági felülvizsgálatával, a keresetindítással, valamint a kártérítési jogának a nevében történő érvényesítésével egy olyan nonprofit jellegű szervezetet vagy egyesületet megbízni, amelyet valamely európai uniós tagállam jogának megfelelően hoztak létre és amelynek alapszabályban rögzített céljai a közérdek szolgálata, valamint az érintettek jogainak és szabadságának a személyes adatok vonatkozásában biztosított védelme.

 

5           Egyéb rendelkezések

Abban az esetben, amennyiben az Adatkezelőnek a Tájékoztató 4.1 – 4.8.3 pontok szerinti kérelem előterjesztőjének kilétével kapcsolatban megalapozott kétsége támad, az Adatkezelő az Érintett személyazonosságának megerősítéséhez szükséges további információk rendelkezésre bocsátását igényelheti.

Az Adatkezelő fenntartja a jogot, hogy a Tájékoztatót bármikor módosítsa. Az Adatkezelő a módosításról az Érintettet [a honlapon való közzététel, postai levelezés stb.] útján a módosítás hatályba lépését megelőzően legalább 10  nappal[28] értesíti.

 

* * *

Balatonalmádi  2018. 05.20

 

 

____________________________

Egzotikus Kert Apartman

Képviseletében eljár: Megyeri Zoltán Csaba

 

[1] Ez a pont csak abban az esetben alkalmazandó, amennyiben az Adatkezelő adatvédelmi tisztviselővel rendelkezik. Adatvédelmi tisztviselő kijelölése csak abban az esetben szükséges, amennyiben az Adatkezelő fő tevékenységei olyan műveleteket foglalnak magukba, amelyek jellegüknél, hatókörüknél vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, vagy az Adatkezelő fő tevékenységei a személyes adatok különleges kategóriáinak vagy bűntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését teszik szükségessé.

[2] Ez a pont csak abban az esetben alkalmazandó, ha az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelő az Európai Unióban tartózkodó természetes személyek személyes adatait kezeli, és ha az adatkezelési tevékenysége termékeknek vagy szolgáltatásoknak az ilyen érintettek számára történő Európai Unión belüli kínálásához – függetlenül attól, hogy az érintetteknek fizetniük kell-e azokért – vagy az ilyen érintettek Unión belüli viselkedésének a megfigyeléséhez kapcsolódik. Kivétel a jelen szabály alól (vagyis nem kell képviselőt kijelölni), ha az adatkezelés alkalmi jellegű, nem terjed ki a személyes adatok különleges kategóriáinak, illetve a büntetőjogi felelősség megállapításával és bűncselekményekkel kapcsolatos személyes adatoknak nagy számban történő kezelésére, továbbá a jellegét, hatókörét, körülményeit és céljait tekintve valószínűsíthetően nem jelent kockázatot az érintettek jogaira és szabadságaira nézve, illetve ha az adatkezelő közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv.

[3] Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait az Érintettől gyűjti.

[4]Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait nem az Érintettől gyűjti.

[5] Jelen jogalap törlendő, amennyiben az Adatkezelő nem ezen a jogalapon kezeli a személyes adatokat.

[6] Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait az Érintettől gyűjti.

[7] Ez a kitétel abban az esetben alkalmazandó, ha vannak olyan személyes adatok, amelyeket az Adatkezelő a szerződéskötés meghiúsulását, illetőleg a Szerződés megszűnését követően nem őriz meg.

[8] Jelen jogalap törlendő, amennyiben az Adatkezelő nem ezen a jogalapon kezeli a személyes adatokat.

[9] Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait az Érintettől gyűjti.

[10] Jelen jogalap törlendő, amennyiben az Adatkezelő nem ezen a jogalapon kezeli a személyes adatokat.

[11] Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait az Érintettől gyűjti.

[12] Jelen jogalap törlendő, amennyiben az Adatkezelő nem ezen a jogalapon kezeli a személyes adatokat.

[13] A hozzájáruló nyilatkozat alkalmazott módjának kiválasztása után a többi eset törlendő.

[14] Jelen jogalap törlendő, amennyiben az Adatkezelő nem ezen a jogalapon kezeli a személyes adatokat, vagyis ha nincsenek olyan személyes adatok, amelyeket az Adatkezelő a szerződéskötés meghiúsulását, illetőleg a Szerződés megszűnését követően megőriz.

[15] Ez a rendelkezés csak abban az esetben alkalmazandó, ha jogi igények védelme, érvényesítése érdekében az Adatkezelő az Érintetten kívüli forrásból is gyűjt személyes adatokat (pl. a személyi adat- és lakcímnyilvántartásból).

[16]Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait nem az Érintettől gyűjti.

[17] Ez a fordulat abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait az Érintettől gyűjti.

[18] Jelen fejezet abban az esetben alkalmazandó, amennyiben az Adatkezelő végez a GDPR 22. cikke szerinti adatkezelést.

[19] Jelen fejezet abban az esetben alkalmazandó, ha az Adatkezelő személyes adatokat továbbít más személynek (ún. címzettnek).

[20] Amennyiben van közös adatkezelés, az arra vonatkozó tájékoztatást is fel lehet itt tüntetni. Megjegyezzük, hogy a GDPR 13-14. cikkének nem előírása a közös adatkezelésnek az itteni feltüntetése, a tájékoztatási kötelezettséget a 26. cikk külön említi. Ettől eltekintve, ha megoldható és nincs jelentős számú ilyen megállapodás, megfontolandó lehet itt jelezni a közös adatkezelést is.

[21] Harmadik ország: minden olyan ország, amely nem része az EU-nak.

[22] Abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait harmadik országba vagy nemzetközi szervezet részére továbbítja.

[23] Abban az esetben alkalmazandó, amennyiben az Adatkezelő az adatokat nem az Érintettől gyűjtötte.

[24] Abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait automatizált döntéshozatal során kezeli.

[25] Ez a fejezet csak abban az esetben alkalmazandó, amennyiben az Adatkezelő vagy harmadik fél jogos érdeken vagy esetleg közérdeken alapuló adatkezelést folytat.

[26] Ez a pont csak abban az esetben alkalmazandó, amennyiben az Adatkezelő az Érintett személyes adatait hozzájárulás alapján, az Érintettel kötött szerződés teljesítése érdekében, az Érintettel kötendő szerződés megkötését megelőzően az Érintett kérésére történő lépések megtétele érdekében automatizált módon kezeli.

[27] Abban az esetben alkalmazandó, amennyiben az Adatkezelőnél automatizált döntéshozatal történik, ideértve a profilalkotást is.

[28] Mérlegelni szükséges a Tájékoztató módosításának Érintettre gyakorolt hatását. Abban az esetben, ha a módosítás jelentős mértékben érinti az adatkezelést vagy befolyásolja pl. az Érintett jogait, célszerű a módosítás hatályba lépését megelőző pl. 8 nappal az Érintettet arról értesíteni.