Adatkezelési tájékoztató

Jelen Adatkezelési Tájékoztató (a továbbiakban „Tájékoztató”) a BAM Grouphoz tartozó társaságok (a továbbiakban „Társaság/Adatkezelő”) üzleti vagy adminisztrációs tevékenysége során kezelt személyes adatokkal kapcsolatban tájékoztatja az Érintetteket a természetes vagy nem természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) alapján.

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az Érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.

Az Érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az Érintett részére megadni, illetve, ha az adatokat nem az Érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű határidőn belül kell rendelkezésre bocsátani. Amennyiben a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő első közléssel egyidejűleg az Érintettet is tájékoztatni kell. Amennyiben az Adatkezelő nem tud tájékoztatást nyújtani az Érintett részére a személyes adatok eredetéről tekintettel arra, hogy azok különböző forrásokból származnak, ez esetben az Érintett részére általános tájékoztatást kell adni.

Az adatkezeléshez kapcsolódó fogalmak

személyes adat”: azonosított vagy azonosítható természetes vagy nem természetes személyre (továbbiakban: „Érintett”) vonatkozó bármely információ; azonosítható az a természetes vagy nem természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő”: az a természetes vagy nem természetes személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; amennyiben az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, ez esetben az Adatkezelőt vagy az Adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

Adatfeldolgozó”: az a természetes vagy nem természetes személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében személyes adatokat kezel;

címzett”: az a természetes vagy nem természetes személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. A közhatalmi szervek, amelyek egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban jogosultak hozzáférni személyes adatokhoz, nem minősülnek címzettnek;

az Érintett hozzájárulása”: az Érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

adatvédelmi incidens”: a biztonság olyan sérülése, ami a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az Adatkezelő és elérhetőségei

A BAM Grouphoz tartozó Társaságok egységes adatkezelési gyakorlatot követnek, amelyre tekintettel a jelen Tájékoztatóban foglaltak irányadóak valamennyi, a BAM Grouphoz tartozó Társaságra nézve azzal, hogy az egyes BAM Grouphoz tartozó Társaságok adatkezelésük során speciális rendelkezéseket is alkalmazhatnak, azonban a jelen Tájékoztatóban foglalt előírásokat maradéktalanul be kell tartaniuk.

Az Adatkezelő kötelezi magát, hogy gondoskodik a személyes adatok biztonságáról, és megteszi azokat a technikai intézkedéseket, amelyek biztosítják, hogy a kezelt személyes adatok védettek legyenek az illetéktelen megismerés, megsemmisítés, módosítás, illetve felhasználás ellen. Kötelezi magát Adatkezelő arra is, hogy minden olyan harmadik felet (pl. Adatfeldolgozó), akinek a személyes adatokat esetlegesen továbbítja vagy átadja, ugyancsak felhívja kötelezettségeinek teljesítésére.

Adatkezelő elérhetősége:

  • postai cím:     1138 Budapest, Népfürdő utca 22. B. torony 5. emelet
  • e-mail cím:     info@bamgroup.hu
  • web:                 www.bamgroup.hu

A www.bamgroup.hu weboldal tekintetében az Adatkezelő:

  • név:                  BAM Services Kft.
  • székhely:         1138 Budapest, Népfürdő utca 22. B. torony 5. emelet
  • adószám:        11724517-2-41


Az Adatkezelő mindenkori hatályos cégadatai elérhetőek a
www.e-cegjegyzek.hu ingyenes és közhiteles nyilvántartásban Adatkezelő nevének vagy egyéb azonosító adatának (cégjegyzékszám, adószám) megadását követően.

A BAM Grouphoz tartozó egyes Társaságok Adatkezelőnek minősülnek a velük létesített szerződéses és egyéb jogviszonyok esetében.

A személyes adatok kezelésére vonatkozó elvek

A személyes adatok kezelését jogszerűen, tisztességesen, valamint az Érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”) és az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, azok nem kezelhetőek a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”).

Az adatkezelés céljai szempontjából

  • megfelelőek és relevánsak kell, hogy legyenek és a szükségesre kell korlátozódniuk („adattakarékosság”),
  • minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”).


Az adatok tárolásának olyan formában kell történnie, amely az Érintett azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, és a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor („
korlátozott tárolhatóság”).

Az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). Az Adatkezelő felelős a jelen pontban körülírt kötelezettségek betartásáért, és köteles mindezek szükség esetén történő igazolására is („elszámoltathatóság”).

Az Adatkezelő meghatározott esetekben, különösen bírósági, hatósági megkeresés és/vagy eljárás során a felhívásban foglalt módon és mértékben hozzáférhetővé teszi az Érintett személyes adatait.

Az Adatkezelő rendszere a felhasználók, látogatók aktivitásáról adatokat gyűjthet, amely nem kapcsolható össze az Érintett által a regisztrációkor megadott egyéb adatokkal, sem más honlapok vagy szolgáltatások igénybevételekor keletkező adatokkal.

Tekintettel a GDPR vonatkozó rendelkezéseire az Adatkezelő nem köteles adatvédelmi tisztviselő kijelölésére.

Az elveknek való megfelelésért az Adatkezelő felelős.

A weboldal működtetéséhez kapcsolódó adatkezelés

A BAM Group webhelye, mint a legtöbb más webhely is, bizonyos információkat automatikusan gyűjt és naplófájlokban tárol. Az információk tartalmazhatnak Internet Protocol (IP) címeket, a régiót vagy azt az általános helyet, ahol a számítógép vagy eszköz kapcsolódik az internethez, a böngésző típusát, az operációs rendszert és a BAM Group webhelyének használatával kapcsolatos egyéb információkat.

Adatkezelő a felhasználói igényeknek leginkább megfelelő honlap létrehozásához és fenntartásához az előző pontban körülírt információkat használja, így például az Érintett IP-címét felhasználhatja a szerverrel kapcsolatos problémák diagnosztizálásához és a weboldal adminisztrációjához is.

Az automatikusan gyűjtött adatokról részletesen a Cookie (Süti) tájékoztató ad felvilágosítást.

A nem automatikusan gyűjtött, például a weboldal egyes funkcióinak használata során megadott személyes adatok tekintetében a weboldal használatán túl Adatkezelő üzleti tevékenysége során további adatkezeléseket végez, amelyek során az alábbi természetes vagy nem természetes személyek személyes adatait kezelheti:

  • ajánlatkérő, ajánlattevő vagy szerződő fél (magánszemélyek, egyéni vállalkozók esetén),
  • ajánlatkérő, ajánlattevő vagy szerződő fél (cég, szervezet esetén), annak természetes személy törvényes képviselője, munkavállalója, kapcsolattartója, megbízottja, egyéb teljesítési segédje, pl.: alvállalkozója, munkavállalója, kölcsönzött munkavállalója,
  • szerződött partner alkalmazottja,
  • szolgáltatást igénybe vevő partner esetében a szolgáltatás tárgyára jogosult, a szolgáltatás tárgyáért személyes felelősséget vállaló munkavállaló, egyéb jogosult,
  • irodaházaiba, telephelyeire, projekt helyszíneire belépő és ott tartózkodó személyek.

Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:

Személyes adat
Szerződés, megrendelés, szolgáltatás személyre szabása, azok kezelése
Vezetéknév, keresztnév, cégnév
Szerződés, megrendelés, szolgáltatás személyre szabása, azok kezelése, számlázás, kapcsolattartás
Email cím, telefonszám
Kapcsolattartás, információ csere, tájékoztatás
Számlázási adatok
Számlázás, pénzügyek kezelése

Hozzáférés a személyes adatokhoz, a kezelt személyes adatok típusai

A kezelt személyes adatokat az Érintett saját maga vagy az üzleti partnere (pl. ajánlatkérő, ajánlattevő, szerződő fél, szolgáltatást igénybe vevő partner) által, a jogviszonyt előkészítő, vagy annak alapjául szolgáló, illetve a jogviszony keletkezése során kiállított dokumentum (pl. ajánlatkérés, ajánlat, szerződés, hozzájáruló nyilatkozat stb.) vagy online, illetve web-es megoldás (pl. email) alkalmazása útján bocsátja az Adatkezelő rendelkezésére.

Az Adatkezelő feltételezi, hogy a számára személyes adatokat átadó személyek (természetes vagy nem természetes) a vonatkozó személyes adatokat minden esetben az irányadó jogszabályokkal összhangban bocsátják a rendelkezésére, így különösen megfelelő és tájékozott hozzájárulással vagy egyéb jogalappal rendelkeznek a személyes adatok átadására.

Az Adatkezelő a személyes adatok gyűjtését a bíróságok, NAV, illetve az egyéb állami szervek által működtetett közhiteles és nyilvános adatbázisokból történő tájékozódás útján is végezheti.

Adatfeldolgozók és elérhetőségeik

A honlappal kapcsolatos adatok kezelésére, feldolgozására a BAM Group honlapjának üzemeltetésével, karbantartásával foglalkozó munkatársai, valamint az egyes funkciók használata során megadott adatok esetén az adott terület, folyamat felelős vezetője és az általa megbízott személyek jogosultak.

A BAM Grouphoz tartozó egyes Társaságok adatkezelésük során egyoldalúan dönthetnek Adatfeldolgozók igénybevételéről.

A szerződések

A természetes vagy nem természetes személy Érintett, mint szerződést kezdeményező, vagy szerződést kötő fél személyes adatainak kezelése az Adatkezelő szerződéses kötelezettségeinek teljesítése érdekében szükséges és az Adatkezelő jogos érdekén alapul.

A szerződés szerinti szolgáltatásnyújtás részletes feltételeit az adott jogviszonyra irányadó szerződés és annak mellékletei rögzítik.

Amennyiben a személyes adatok megadása (adatszolgáltatás) nélkül az Adatkezelő a szerződésben vállalt kötelezettségeit teljesíteni nem tudja, az Érintett köteles a szerződés megkötéséhez a személyes adatokat az Adatkezelő részére megadni. Az adatszolgáltatás elmaradása esetén a szerződés teljesítése ellehetetlenülhet, amely esetben az Adatkezelő jogosulttá válhat a szerződéskötést megtagadni.

Az Érintettnek a szerződéskötés meghiúsulását, illetőleg a szerződés megszűnését/teljesülését követően nem törölt személyes adatait az Adatkezelő a szerződéskötés meghiúsulását, illetőleg a szerződés megszűnését/teljesülését követő öt évig, a Polgári Törvénykönyvről szóló 2013. évi V. törvény általános elévülési szabályai szerint megőrzi. Bizonyos speciális tárgyú szerződések esetén (pl.: építési-szerelési szerződések, közbeszerzési tárgyú szerződések) ez az időtartam a szerződés vagy a jogszabály rendelkezése alapján 5 évnél hosszabb is lehet.

Az Érintett önkéntes hozzájárulása

A személyes adatok kezelése az Érintett hozzájárulása (önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű akaratnyilvánítása) alapján történik. A hozzájárulást az Érintett más nyilatkozatoktól, szerződésektől elkülönítetten, külön nyilatkozatban adja meg.

A hozzájárulás megadása önkéntes és az Érintett jogosult arra, hogy a hozzájárulását bármikor, korlátozás nélkül az Adatkezelőnek címzett értesítéssel visszavonja. Az értesítést az Érintett az Adatkezelőnek a jelen Tájékoztatóban megjelölt elérhetőségére köteles megküldeni. Az értesítésben az Érintettnek meg kell jelölnie beazonosítható módon, hogy a hozzájárulás visszavonását milyen adatkezelésre kívánja érvényesíteni.

A hozzájárulás visszavonása az Érintettre nézve nem jár következményekkel. A hozzájárulás visszavonása azonban nem érinti a visszavonás előtti – a hozzájárulás alapján végrehajtott – adatkezelés jogszerűségét.

A személyes adatok címzettjei

Az Adatkezelő az Érintett személyes adatait különösen az alábbi személyek, illetve szervezetek részére továbbíthatja:

  • az Adatkezelő által megbízott munkavédelmi, egészségvédelmi, minőségvédelmi tevékenységet és tanúsítást ellátó szervezet részére, amely az Adatkezelővel közös adatkezelőnek minősül az ebben a körben megadott személyes adatok tekintetében. Amennyiben a munkavédelmi, egészségvédelmi, minőségvédelmi tevékenységet ellátó szervezet ezzel a feladattal harmadik személyt bíz meg, úgy ez a harmadik személy Adatfeldolgozónak minősül;
  • az Adatkezelő részére back-office vagy más szolgáltatásokat nyújtó szervezet(ek) részére (pénzügy és számvitel, HR, IT, jog) részére, akik a továbbított adatok vonatkozásában Adatfeldolgozónak minősülnek;
  • jogszabályban meghatározott hatóság, bíróság részére az erre irányuló felhívás esetén.

Az Érintettet megillető jogok

Az Érintett bármikor tájékoztatást kérhet személyes adatainak kezeléséről, továbbá kérheti személyes adatainak helyesbítését, pontosítását, azok törlését, korlátozását és gyakorolhatja mindazon jogát, amelyre a vonatkozó jogszabályok feljogosítják.

Az Adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított 1 hónapon belül köteles tájékoztatni az Érintettet a kérelem alapján megtett intézkedésekről. Amennyiben Adatkezelő az Érintett kérelme ellenére késedelmesen tesz vagy a határidőben nem tesz intézkedéseket, köteles az Érintett tájékoztatni a késedelem vagy az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett milyen hatóságnál vagy bírósági előtt élhet jogorvoslati jogával.

A hozzáférés joga: Érintett jogosult az Adatkezelőtől tájékoztatást kérni arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben igen, jogosult arra is, hogy a személyes adatokhoz és a vonatkozó jogszabályban felsorolt információkhoz hozzáférést kapjon.

A helyesbítéshez való jog: Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, továbbá jogosult arra is, hogy kérje a hiányos személyes adatok kiegészítését.

A törléshez való jog: Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje az Érintett erre irányuló kérelme esetén.

Az elfeledtetéshez való jog: Amennyiben Adatkezelő a személyes adatot nyilvánosságra hozta, és/vagy azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével Adatkezelő köteles megtenni az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket arról, hogy Érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy a személyes adatok másolatának, illetve másodpéldányának törlését.

Az adatkezelés korlátozásához való jog: Érintett jogosult indítványozni, hogy az Adatkezelő a rá vonatkozó személyes adato(k) kezelését, felhasználását korlátozza,

  • amennyiben az Érintett vitatja a személyes adatok helyességét, vagy
  • az Adatkezelő a személyes adatot jogellenesen kezelte, és az Érintett törlés helyett korlátozást kér, vagy
  • az Adatkezelő számára az adatkezelés célja megszűnt, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
  • az Érintett az Adatkezelő jogos érdekén alapuló adatkezelés tekintetében tiltakozik az adatkezelés ellen, és nincs az Adatkezelő számára olyan alapos ok, amely elsőbbséget élvez az Érintett érdekeivel, jogaival szemben.

Az adathordozhatósághoz való jog: Érintett jogosult arra, hogy a rá vonatkozó, egy Adatkezelő részére rendelkezésre bocsátott személyes adatokat tagolt, széles körben felhasználható, géppel olvasható formátumban megkapja, továbbá jogosult arra is , hogy a személyes adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

A tiltakozáshoz való jog: Érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak a kezelése ellen, ideértve a profilalkotást is.

Tiltakozás közvetlen üzletszerzés estén: Amennyiben a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Amennyiben Érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, ez esetben a személyes adatok a továbbiakban e célból nem kezelhetők.

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást: Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással vagy egyéb hatással járna. A jelen bekezdés nem alkalmazandó abban az esetben, amennyiben a döntés az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, vagy a döntést az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, vagy Érintett kifejezett hozzájárulásán alapul.

Jogorvoslatok

Amennyiben az Érintett úgy ítéli meg, hogy az Adatkezelő általi személyes adatok kezelése megsérti a mindenkor hatályos adatvédelmi jogszabályok, így különösen a GDPR rendelkezéseit, az Érintettnek jogában áll a Nemzeti Adatvédelmi és Információszabadság Hatóságnál panaszt benyújtani.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Honlap: www.naih.hu
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf.: 9.
Telefon: +36-1-391-1400
Fax: +36-1-391-1410
E-mail: ugyfelszolgalat@naih.hu

Az Érintettnek joga van más, így különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti európai uniós tagállamban létrehozott felügyeleti hatóságnál is panaszt tenni.

Az Érintettnek jogában áll a panaszának a nevében történő benyújtásával, a felügyeleti hatóság határozatának bírósági felülvizsgálatával, a keresetindítással, valamint a kártérítési jogának a nevében történő érvényesítésével egy olyan nonprofit jellegű szervezetet vagy egyesületet megbízni, amely valamely európai uniós tagállami jog alapján működik, és amelynek alapszabályban rögzített céljai a közérdek szolgálata, és amely az Érintett jogainak a személyes adatok vonatkozásában biztosított védelme területén tevékenykedik.

Az adatkezelés biztonsága

Az Adatkezelő és az Adatfeldolgozó a tudomány és technológia aktuális állása, a felmerülő költségek, az adatkezelés jellege, körülményei és célja, valamint a természetes vagy nem természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, többek között

  • adott esetben a személyes adatok álnevesítését és titkosítását,
  • a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét,
  • fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani,
  • az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

Az adatkezelés biztonsága

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes vagy nem természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatni köteles az Érintettet az adatvédelmi incidensről. Az Érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell

  • az adatvédelmi incidens jellegét, és közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit,
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
  • az Adatkezelő által az adatvédelmi incidens helyreállítására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Nem köteles az Adatkezelő az Érintettet közvetlenül tájékoztatni, de nyilvánosan közzé kell tenni,

  • amennyiben az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,
  • az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg,
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

Amennyiben az Adatkezelő még nem értesítette az Érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását.

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes vagy nem természetes személyek jogaira nézve.

Jogszabályok

  • A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.)
  • 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról
  • 2001. évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
  • 2008. évi XLVII. törvény – a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról
  • 2008. évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
  • 2005. évi XC. törvény az elektronikus információszabadságról
  • 2003. évi C. törvény az elektronikus hírközlésről
  • 16/2011. sz. vélemény a viselkedésalapú online reklám bevált gyakorlatára vonatkozó EASA/IAB-ajánlásról
  • A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről

Záró rendelkezések

Az Adatkezelő fenntartja a jogot, hogy a jelen Tájékoztatót egyoldalúan, de nem visszamenőleges hatállyal módosítsa, figyelemmel az esetleges jogszabályi változásokra és az Érintettek előzetes tájékoztatására.

Budapest, 2021. október 11.