FEEDBECK Consulting Kft.

Személyes adat tárolási és kezelési tájékoztató

Adatvédelmi Szabályzat 2019.

FEEDBECK Consulting Kft. (1027 Budapest, Bem József utca 6. fszt. 3., adószám: 25063073-1-16, képviseli: Ferenczi Edina (an.: Czombos Veronika), telefon: +36-30-414-66-21, e-mail: hello@kepesvagy.hu, a továbbiakban: Adatkezelő, alá veti magát a következő szabályzatnak.

FEEDBECK Consulting Kft. által megalkotott Adatvédelmi Szabályzat célja, hogy az üzleti tevékenysége során – különösen a tulajdonában álló és általa üzemeltetett www.kepesvagy.hu és a www.kepesvagy.com weboldal üzemeltetése során – birtokába jutott természetes személyek személyes adatait, az ilyen adatok szabad áramlásáról szóló EURÓPAI PARLAMENT és a TANÁCS (EU) 2016/679 számon 2016. április 27. napján elfogadott un.: General Data Protection Regulation, azaz GDPR Rendeletnek (későbbiekben: Rendelet) megfelelően tárolja, kezeli, illetve megsemmisíti.

A fentiek alapján a FEEDBECK Consulting Kft. általánosságban előzetesen kinyilvánítja, hogy személyes adatokat csak a Törvénynek és a Rendeletnek megfelelően a legjobb tudása, informatikai és iroda technikai eszköztárának legmegfelelőbb módon történő kihasználása mellett tárol és kezel, a személyes adatok tárolásának okainak megszűnése esetén töröl és semmisít meg véglegesen. Továbbá személyes adatot csak az Érintett személyes adat tulajdonos kifejezett hozzájárulása mellett tárol és kezel, illetve az Érintett ilyen irányú kifejezett késére esetén töröl és semmisít meg.

Adatvédelmi Szabályzat részei:

I. ÉRTELMEZŐ FOGALMAK II. ADATVÉDELMI ALAPELVEK III. ADATKEZELŐ ÜZLETI TEVÉKENYSÉGÉNEK BEMUTATÁSA IV. ADATKEZELŐ V. ADATKEZELŐ ÁLTAL TÁROLT SZEMÉLYES ADATOK MEGHATÁROZÁSA VI. ADATKEZELŐ ADATTÉRKÉPE, SZEMÉLYES ADATOK TÁROLÁSÁNAK MEGHATOZÁSA, DIGITÁLIS HÁTTÉR, IRATKEZELÉS BEMUTATÁSA VII. ADATVÉDELMI INCIDENS, ANNAK KEZELÉSE, ÉRINTETT TÁJÉKOZTATÁSA VIII. ADATKELEZELÉS JOGSZERŰSÉGE IX. ADATKEZELÉSI HOZZÁJÁRULÁS X. ÉRINTETT SZEMÉLYES ADAT HOZZÁFÉRÉSI JOGA XI. TÖRLÉSRE (ELFELDTETÉSHEZ) VALÓ JOG XII. TILTAKOZÁSHOZ VALÓ JOG XIII. ÉRINTETT HATÓSÁGI PANASZA XIV. KÁRTÉRÍTÉSHEZ VALÓ JOG XV. EGYÉB ÁLTALÁNOS ÉS ZÁRÓ RENDELKEZÉSEK

ÉRTELMEZŐ FOGALMAK

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; a Társaság ilyen profilalkotást nem végez.

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; a Társaság ilyen álnevesítést nem végez.

6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; Adatkezelőnél adatfeldolgozó nincs kijelölve.

9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e;

10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered; Adatkezelő genetikai adatot nem tárol.

14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat; a Társaság ilyen biometrikus adatot nem tárol.

15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; a Társaság ilyen egészségügyi adatot nem tárol.

16. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

17. „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

18. „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

19. „felügyeleti hatóság”: egy tagállam által a Rendelet 51. cikknek megfelelően létrehozott független közhatalmi szerv;

20. „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz;

21. „személyes adatok határokon átnyúló adatkezelése”: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

22. „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

23. „érintett személy”: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

24. „különleges adat”: faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek- képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

25. „hozzájárulás”: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;

26. „tiltakozás”: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

27. „adatkezelés”: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

28. „adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

29. „adattörlés”: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

30. „adatzárolás”: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

31. „adatmegsemmisítés”: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

32. „szolgáltatás”: a www.kepesvagy.hu és a www.online.kepesvagy.hu domain nevű weboldalon keresztül megismerhető szolgáltatás;

33. „adatfeldolgozás”: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

34. „adatállomány”: az egy nyilvántartásban kezelt adatok összessége;

35. „adatkezelési nyilvántartás”: minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.

36. „adatkezelés biztonsága”: az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

37. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a Rendelet 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

38. adatvédelmi hatásvizsgálat: Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek; a Társaság nem végez magas kockázattal járó személyes adat tárolást.

39. felügyeleti hatóság: Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

40. Érintett panasztételi joga: Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

41. kártérítésre való jogosultság: Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

ADATVÉDELMI ALAPELVEK

Az Adatkezelő:

1. a személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon végzi;

2. a személyes adatokat csak meghatározott, egyértelmű és jogszerű célból tárol; azok az adatkezelés céljai szempontjából megfelelőek és relevánsak, kizárólag szükségesre korlátozódnak;

3. igyekszik a személyes adatokat naprakészen tárolni és vezetni;

4. minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;

5. a személyes adatok kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve;

6. továbbá az adatkezelő felelős a fenti alapelvek megfeleléséért, továbbá képes e megfelelés igazolására.

ADATKEZELŐ ÜZLETI TEVÉKENYSÉGÉNEK BEMUTATÁSA

Az Adatkezelő által üzemletett „KÉPESVAGY” festő klubja közösségi festészeti élményt nyújt, melynek során Felhasználó egy tetszőleges festményen dolgozhat, saját tempójában. A Felhasználó a festményt saját maga választja ki a „KÉPESVAGY” repertoárjából, vagy saját maga is hozhat képet. Az Adatkezelő által üzemeltett weboldalon több esemény megtalálható, ezeket a weboldal működtetője határozza meg, Felhasználó a megadott lehetőségek közül választ időpont, helyszín és elérhetőség alapján.

A „KÉPESVAGY” rajztanfolyam rajzi gyakorlatokra épülő képzés, melynek során Felhasználó az instruktor segítségével, iránymutatásával ceruzarajzokat készít el. Az Adatkezelő által üzemeltett weboldalon több esemény megtalálható, ezeket a weboldal működtetője határozza meg, Felhasználó a megadott lehetőségek közül választ időpont, helyszín és elérhetőség alapján.

Az Adatkezelő nem érintett hazai vagy nemzetközi vállalatcsoportban, így az un. GDPR Rendelet ezen vállalkozáscsoportokra alkotott rendelkezései nem alkalmazza.

ADATKEZELŐ

Az Adatkezelőnél kijelölt adatkezelő: Ferenczi Edina (1027 Budapest, Bem József u. 6. fszt. 3., telefon: +36-30-414-66-21, e-mail: hello@kepesvagy.hu).

Az Adatkezelő feladata ellátása során különös figyelmet fordít az alábbiakra:

1.1. A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden ésszerű lépést meg kell tennie. A személyes adatokat olyan módon kezel, amely biztosítja a megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

1.2. Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

1.3. Az adatkezelő jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett ésszerű elvárásait. Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

1.4. A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték.

1.5. Az adatkezelő minden olyan információt az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát.

1.6. Adatnyilvántartást vezet, amely a következő információkat tartalmazza: az adatkezelő neve és elérhetősége, az adatkezelés céljai, a személyes adatok kategóriáinak ismertetése, ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők, ha lehetséges a technikai és szervezési intézkedések általános leírása.

1.7. Adatkezelő az adatkezelés biztonsága érdekében biztosítja a személyes adatok kezelésére használt rendszerek és szolgáltatások rendelkezésre állását és ellenálló képességét; fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani.

1.8. Adatkezelő az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére köteles.

1.9. Az adatkezelő intézkedéseket hoz annak biztosítására, hogy az adatkezelő irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék.

1.10. Az adatkezelő vagy az adatfeldolgozó az e rendeletnek való megfelelés bizonyítása érdekében nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. Az adatkezelő köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

1.11. Adatkezelő köteles eljárni az esetleges adatvédelmi incidens bekövetkezésekor.

1.12. Az adatkezelő köteles arra, hogy az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon.

ADATKEZELŐ ÁLTAL TÁROLT SZEMÉLYES ADATOK MEGHATÁROZÁSA

Az Adatkezelő mindenekelőtt rögzíti, hogy a személyes adatok kezelését minimálisra csökkentse, csak és kizárólag a szükséges és a beazonosíthatóság céljából tárolja és kezelje azokat.

1. munkavállalók munka- és adóügyi szempontból szükséges személyi adatai (név, születési hely és idő, anyja neve, lakcím, személyes e-mail cím, munkabér, fénykép);

2. társasághoz állásajánlatra jelentkezők önéletrajzba beleírt adatai és fényképe;

3. üzleti-vevői partnerekkel folytatott e-mail forgalmazásban felmerülő személyes adatok;

4. üzleti-vevői partnerek által megadott kapcsolattartó természetes személyek nevei, telefonszámai, szállítási címei (ami helyenként megegyezhet a vevő lakcímével).

ADATKEZELŐ ADATTÉRKÉPE, SZEMÉLYES ADATOK TÁROLÁSÁNAK MEGHATOZÁSA, DIGITÁLIS HÁTTÉR, IRATKEZELÉS BEMUTATÁSA

Az Adatkezelő minden tőle telhetőt megtesz annak érdekében, hogy a Rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedésekkel biztosítja és védelmezze a személyes adatokat. A Társaság informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik. A Társaság internetes rendszerén továbbított elektronikus üzenetek, az Adatkezelő leggondosabb eljárása ellenére is sérülékenyek az olyan hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, szerződés vitatására, vagy az információ felfedésére, módosítására vezetnek. Az ilyen fenyegetésektől megvédendő a Adatkezelő megtesz minden tőle elvárható óvintézkedést.

I: Az Adatkezelő adatkezelési háttere, papír és digitális alapon:

A Képesvagy Stúdió (továbbiakban Adatkezelő) a papír alapú személyes adatokat tartalmazó dokumentumai tárolására a telephelyen zárható iratszekrényt használ, a postai levélküldeményei zárható levélszekrénybe érkeznek. A szekrények kulcsait a cégvezető kezeli.

A digitális adatok kezelésére és tárolására a vállalkozás 2db notebook számítógépet használ, Windows 10 operációs rendszerrel. A dokumentumok előállítására Microsoft Office szoftver, az e-mail levelezés kezelésére Mozilla Thunderbird levelezőprogram, webböngészőnek pedig Google

Chrome böngésző van telepítve. A számítógépeken AVG víruskereső szoftver üzemel. A mentéseket a vállalkozás külső USB HDD-re végzi, ezek tárolása a telephelyen, zárt szekrényben történik.

A vállalkozásban 2db okostelefont használnak, melyeken Android operációs rendszer fut, ezeken e-mail levelezést használnak.

II. Fizikai nyomtatott, személyes adatokat tartalmazó iratok tárolása:

Az Adatkezelő az alábbi papír alapú dokumentumokat hozza létre és tárolja:

-Egy adott foglalkozás jelentkezőinek listája (név, telefonszám, hány fővel jelentkezett)

-Visszajelző lap, amin személyes adatot feltüntetni nem kötelező, de lehetséges (név, email cím a hírlevélre feliratkozáshoz)

-papír számlatömb, ritkán használt, mert az esetek többségében elektronikus számlázás történik

-Vásárlók könyve

-Instruktorok megbízási szerződései a szükséges munkaügyi adatokkal

-A vállalkozás egyéb munkaügyi iratai

A dokumentumok a telephelyen található zárható szekrényben vannak elhelyezve, csak az Adatkezelő által hozzáférhetően. Az egyes foglalkozásokhoz tartozó iratok a foglalkozás végeztével megsemmisítésre kerülnek. Az egyéb, hivatalos iratok a törvényben megszabott határideig megőrzésre kerülnek, a határidő lejárta után semmisíthetők meg.

III. Fizikai, nyomtatott személyes adatok megsemmisítése:

A papír alapú iratok megsemmisítése kis teljesítményű iratmegsemmisítő géppel történik. A megsemmisítésre sor kerül az adott foglalkozás után (jelentkezési lista), illetve a visszajelző lapok esetén akkor, ha ezt az adattulajdonos kéri.

IV. Digitális személyes adatok tárolása, kezelése

Az Adatkezelő az alábbi digitális alapú személyes adatokat kezeli:

-Weboldalon keresztül bejövő adatok, jelentkezéskor (név, cím, telefonszám, e-mail cím)

-E-mailben érkezett adatok (instruktorok munkaügyi adatai, önéletrajzok)

-A kiadott számlák elektronikus változata

-A foglalkozásokon készült fényképek és videók, melyeken a résztvevők is látszódnak

A digitális adatok kezelésére és tárolására a vállalkozás 2db notebook számítógépet használ, melyek működtetéséhez, és a rajtuk tárolt adatok eléréséhez jelszavas bejelentkezés szükséges. A számítógépek csak az adatkezelő felügyelete mellett működnek, a foglalkozások alkalmával egy vendégfiókkal vannak bejelentkeztetve, melyekkel a gépen tárolt személyes adatok elérése nem lehetséges.

A személyes adatok az alábbi útvonalon jutnak el az Adatkezelőhöz:

A jelentkező magánszemély vagy cég egy jelentkezési űrlapot tölt ki az Adatkezelő weboldalán (kepesvagy.hu), és a kitöltött adatok e-mail-ben jutnak el az adatkezelőhöz, valamint a szamlazz.hu szolgáltatóhoz, aki egy díjbekérő számlát állít ki a megadott adatokkal, és küldi el a megadott e-mail címre. A számlázott összeg teljesítését az adatkezelő a Bank weboldalán ellenőrzi, és amennyiben a teljesítés megtörtént a szamlazz.hu felületén kiállítja a díjbekérő alapján a végleges számlát, amit e-mailben juttat el a rendszer a vásárlónak. A kiállított elektronikus számla másodpéldányát az Adatkezelő menti és továbbítja a könyvelést végző vállalkozásnak (Reliable Account Kft). Ha a jelentkező regisztrál, illetve akkor is, ha regisztráció nélkül jelentkezik, az adatai a weboldal adatbázisában is tárolódnak. A weboldal fejlesztője a BitFix Kft. , az adatokhoz csak ők és az Adatkezelő fér hozzá. A webtárhely a tarhely.eu szolgáltatónál van. Amennyiben a jelentkezés után a megrendelő részéről a pénzügyi teljesítés elmarad, abban az esetben a jelentkező elküldött adatai törlésre kerülnek.

Az Adatkezelő összesen 3db e-mail postafiókot használ:

-hello@kepesvagy.hu

-lemondas@kepesvagy.hu

-jelentkezes@kepesvagy.hu

Minden postafiók IMAP rendszerű és a 2 db notebookon, valamint a 2db okostelefonon kezelhetők. Az okostelefonok automatikus zárolással és számzáras védelemmel vannak ellátva.

A vállalkozás Facebook oldalt kezel, melyhez csak az Adatkezelő fér hozzá, a szükséges felhasználónév és jelszó segítségével.

Az Adatkezelő a foglalkozásokon készült fényképeket és videókat a honlapján valamint a Facebook oldalán és YouTube valamint Instagram csatornáján közzéteszi, a jelentkező magánszemélyek ennek az engedélyét az Adatkezelő számára az általuk elfogadott jelentkezési feltételekben adják meg. Az online szolgáltatások használatához szükséges jelszavakat az Adatkezelő őrzi.

V. Digitális személyes adatok megsemmisítése:

Az adott foglalkozás végével a résztvevők kérhetik, hogy az ő személyes adataik, elérhetőségük a későbbi megkeresésekhez, új foglalkozások ajánlásához illetve vevői elégedettség méréshez ne álljanak rendelkezésre, ebben az esetben az adatkezelő törli őket a weblapon tárolt adatbázisból illetve a hírlevélre jelentkezettek listájáról. Kérésre a magánszemélyről készült fénykép és videó is eltávolításra kerül az Adatkezelő által a weboldalról valamint a Facebook és Instagram oldalról valamint a YouTube csatornáról is.

ADATVÉDELMI INCIDENS, ANNAK KEZELÉSE, ÉRINTETT TÁJÉKOZTATÁSA

1. Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

2. Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

3. Az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.

4. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

5. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

–  az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

–  az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett;

–  a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

ADATKELEZELÉS JOGSZERŰSÉGE

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek, kivéve a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

ADATKEZELÉSI HOZZÁJÁRULÁS

Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét: a) az adatkezelőnek a kiléte és elérhetőségei; b) az adatvédelmi tisztviselő elérhetőségei c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja.

ÉRINTETT SZEMÉLYES ADAT HOZZÁFÉRÉSI JOGA

Az érintettek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát.

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

1. az adatkezelés céljai

2. az érintett személyes adatok kategóriái

3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket

4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai

5. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga

7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; h) esetleges automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

TÖRLÉSRE (ELFELDTETÉSHEZ) VALÓ JOG

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

2. az érintett visszavonja, az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

3. az érintett a tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;

4. a személyes adatokat jogellenesen kezelték;

5. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A fentiek nem alkalmazandó, amennyiben az adatkezelés szükséges:

– a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

– a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

– a népegészségügy területét érintő közérdek alapján;

– a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból,

– jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

TILTAKOZÁSHOZ VALÓ JOG

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

ÉRINTETT HATÓSÁGI PANASZA

Minden érintett jogosult arra, hogy panaszt tegyen egy – különösen a szokásos tartózkodási helye szerinti tagállambeli – felügyeleti hatóságnál, és bírósági jogorvoslattal éljen. A panasz benyújtását követően – a konkrét esethez szükséges mértékben – vizsgálatot kell lefolytatni, amely bírósági felülvizsgálat tárgyát képezheti. A felügyeleti hatóság ésszerű határidőn belül tájékoztatja az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Ha az ügy további vizsgálatot vagy egy másik felügyeleti hatósággal való együttműködést tesz szükségessé, az érintettet időközben tájékoztatni kell.

KÁRTÉRÍTÉSHEZ VALÓ JOG

– Az adatkezelő a Rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni.

– Az adatkezelőt a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli.

– A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket.

EGYÉB ÁLTALÁNOS ÉS ZÁRÓ RENDELKEZÉSEK

Az Adatkezelő fenntartja a jogot, hogy jelen Szabályzatot az érintettek előzetes értesítése mellett egyoldalúan módosítsa. A módosítás hatályba lépését követően az érintett a szolgáltatás használatával ráutaló magatartással elfogadja a módosított Szabályzatot.

Az Adatkezelő a neki megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó személy felel. Bármely érintett e-mail címének megadásakor egyben felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen történt belépésekkel összefüggő mindennemű felelősség kizárólag azt az érintettet terheli, aki az e-mail címet regisztrálta.

Az Adatkezelő fenti esetekben minden tőle telhető segítséget megad az eljáró hatóságoknak a jogsértő érintett személy személyazonosságának megállapítása céljából. Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható.

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.

Jelen Adatvédelmi Szabályzat 2023. augusztus 01-én lép hatályba.

Szolnok, 2023. augusztus 01.

_____________________________________________

FEEDBECK Consulting Kft.