Adatvédelem

Adatvédelmi szabályzat - 2018.

Név: Fríg Művészeti, Kiadó és Kereskedelmi Kft.

Székhely: 2085. Pilisvörösvár Bányató u. 4/b.

 

Hozzájáruló Nyilatkozat

Alulírott, Érintett jelen nyilatkozattal, hozzájárulásomat adom, hogy a személyes adataimat, az ott rögzített célból a mellékelt adatkezelési

tájékoztatóban rögzítettek szerint a

Név: Fríg Művészeti, Kiadó és Kereskedelmi Kft.

Székhely: 2085. Pilisvörösvár Bányató u. 4/b.

Cégjegyzékszám: Cg.13-09-076053

Adószám: 12028766-2-13

Képviseli: Baranyi Krisztina

Társaság, mint adatkezelő kezelje.

 

A fenti információkat és tájékoztatást tudomásul vettem, fent megadott

személyes adataim fentiekben megjelölt célú kezeléséhez önkéntesen,

minden külső befolyás nélkül beleegyezésemet adom.

 

Kelt,

 ……………………………………………

Alírás

Név:

 

I.FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

I.1. Bevezetés

Adatkezelő kinyilvánítja, hogy adatkezelési tevékenységét úgy végzi, hogy az

minden körülmények között feleljen meg a hatályos jogszabályoknak, vonatkozó

előírásoknak és hatósági állásfoglalásoknak, ennek érdekében meghozza a

megfelelő belső szabályokat, technikai és szervezési intézkedéseket.

Jelen szabályzat kiadásakor az Adatkezelő irányadónak tekinti különösen:

Az Európai Parlament és a Tanács (Eu) 2016/679 rendelete (2016. április 27.) a

természetes személyeknek a személyes adatok kezelése tekintetében történő

védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK

rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a

továbbiakban: Rendelet)

Az információs önrendelkezési jogról és az információszabadságról szóló 2011.

évi CXII. törvény (a továbbiakban: Info tv.) rendelkezéseit.

I.2. A szabályzat célja

1. A szabályzat célja azon belső szabályok megállapítása és intézkedések

megalapozása, amelyek biztosítják, hogy az Adatkezelő adatkezelési tevékenysége

megfeleljen a Rendelet, és az Info tv. és egyéb irányadó jogszabályok

rendelkezéseinek.

2. A szabályzat célja továbbá, hogy a Rendeletnek, és az abban megfogalmazott, a

személyes adatok kezelésére vonatkozó elveknek (5. cikk) való megfelelés

Adatkezelő általi igazolására szolgáljon.

3. A szabályzat célja továbbá, hogy az Adatkezelő dolgozói számára munkájuk során

egyértelmű iránymutatásként szolgálhasson az adatkezelési folyamataik

kérdésében.

I.3. A szabályzat hatálya

(1) E szabályzat hatálya kiterjed az Adatkezelő minden munkatársára azokban az

ügyekben, amelyekben természetes személyre vonatkozó személyes adatokat kezel,

vagy a személyes adatokhoz bármilyen módon hozzáfér.

(2) A szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi

személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi

személy elérhetőségére vonatkozó adatokat.

I. 4. Fogalom meghatározások

E szabályzat alkalmazásában irányadó fogalom meghatározásokat a Rendelet 4.

cikke tartalmazza. Ennek megfelelően emeljük ki a főbb fogalmakat:

1. „személyes adat”: azonosított vagy azonosítható természetes személyre

(„érintett”) vonatkozó bármely információ; azonosítható az a természetes személy,

aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név,

szám, helymeghatározó adat, online azonosító vagy a természetes személy testi,

fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára

vonatkozó egy vagy több tényező alapján azonosítható;

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált

vagy nem automatizált módon végzett bármely művelet vagy műveletek

összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy

megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés

vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy

összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli

kezelésük korlátozása céljából;

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan

formája, amelynek során a személyes adatokat valamely természetes személyhez

fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi

teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes

preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási

helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére

használják;

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek

következtében további információk felhasználása nélkül többé már nem állapítható

meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik,

feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési

intézkedések megtételével biztosított, hogy azonosított vagy azonosítható

természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált,

decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt

állománya, amely meghatározott ismérvek alapján hozzáférhető;

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv,

ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének

céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés

céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt

vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a

tagállami jog is meghatározhatja;

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv,

ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes

adatokat kezel;

9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség

vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik,

függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy

egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek

hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e

közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak

megfelelően az alkalmazandó adatvédelmi szabályoknak;

10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv,

ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az

adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő

vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére

felhatalmazást kaptak;

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és

megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett

nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi,

hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított,

tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes

megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az

azokhoz való jogosulatlan hozzáférést eredményezi.

 

II. FEJEZET

AZ ADATKEZELÉS JOGALAPJA

II.1. Adatkezelés az érintett hozzájárulása alapján

(1) A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását

személyes adatai kezeléséhez jelen szabályzat mellékletét képező „Hozzájáruló

nyilatkozat” elnevezésű iraton kell beszerezni.

(2) Hozzájárulásnak minősül az is, ha az érintett az Adatkezelő internetes

honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az

információs társadalommal összefüggő szolgáltatások igénybevétele során erre

vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan

nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett

hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A

hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül

hozzájárulásnak.

(3) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes

adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is

szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell

adni.

(4) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg,

amely más ügyekre is vonatkozik – pl. szolgáltatási szerződés megkötése - a

hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen

megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető

formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó

ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem

bír. Az Adatkezelő nem kötheti szerződés megkötését, teljesítését olyan személyes

adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a

szerződés teljesítéséhez.

(5) A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni,

mint annak megadását.

(6) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az

Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá

vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül,

valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

II.2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az

érintett az egyik fél, vagy az a szerződés megkötését megelőzően az

érintett kérésére történő lépések megtételéhez szükséges

A szerződés megkötésekor megadott személyes adatok az Adatkezelő számára

szükségesek a szerződés teljesítéséhez. Ez az érdek elegendő jogalap a személyes

adatok kezeléséhez. Az érdek mindaddig fennáll, amíg a teljesített szerződéshez

kapcsolódóan jogos érdekek érvényesítésére sor kerülhet – azaz a szerződés

teljesítését követő általános öt éves polgári jogi igényérvényesítési határidő lejártáig

(kivéve azon eseteket, amelyeknél jogszabály rövidebb igényérvényesítési határidőt

határoz meg).

II.3. az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség

teljesítéséhez szükséges

II.3.1 Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából

Az Adatkezelő jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és

számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként,

szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben

meghatározott adatait. Az adatok kezelése különösen az általános forgalmi adóról

szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a, valamint a számvitelről szóló 2000. évi

C. törvény 167.§-a, illetve a alapján történik.

II.3.2. Kifizetői adatkezelés

Az Adatkezelő jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és

járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása,

bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon

érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban

részesülők – adótörvényekben előírt személyes adatait, akikkel az adózás rendjéről

szóló 2017. évi CL. törvény (Art.) 7.§ 31. szerinti kifizetői kapcsolatban áll. A kezelt

adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes

személy természetes személyazonosító adatait, nemét, állampolgárságát, a

természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ

szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, az Adatkezelő

kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja

47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítése

(bérszámfejtés, társadalombiztosítási ügyintézés) céljából.

II.3.3. A Levéltári törvény szerint maradandó értékű iratokra vonatkozó

adatkezelés

(1) Az Adatkezelő jogi kötelezettség teljesítése jogcímén kezeli a köziratokról, a

közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény

(Levéltári törvény) szerint maradandó értékűnek minősülő iratait abból a célból,

hogy az Adatkezelő irattári anyagának maradandó értékű része épségben és

használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás

ideje: a közlevéltár részére történő átadásig.

(2) A személyes adatok címzettjeire és az adatkezelés egyéb kérdéseire a Levéltári

törvény irányadó.

II.3.4. Adatkezelés egyéb jogszabályi felhatalmazás alapján

Adatkezelő jelen szabályzat függelékeiben meghatározott módon és jogalapon kezel

személyes adatokat. Erre tekintettel az Adatkezelő jelen szabályzat függelékeiben

esetlegesen meghatározott külön jogszabályhelyek alapján is kezel(het) személyes

adatokat.

II.4 az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek

érvényesítéséhez szükséges

Az adatkezelés jogalapja lehet az is, hogy az Adatkezelő vagy egy harmadik fél

jogos érdekeinek érvényesítéséhez szükséges. A jogos érdek alapján történő

adatkezelés esetén mindig szükséges érdekmérlegelési-vizsgálatot végezni, hogy az

érvényesíteni kívánt érdek nagyobb-e, mint a személyes adatok védelméhez fűződő

érdek. Az erre vonatkozó értékelés bemutatására Adatkezelő köteles.

 

III. FEJEZET

AZ ÉRINTETTEK TÁJÉKOZTATÁSA

III.1. Az Adatkezelő függetlenül az adatkezelés jogalapjától az érintetteket

az alábbiak szerint tájékoztatja az adatkezelés tényéről

Az Adatkezelő a jelen szabályzat mellékletei szerinti adatkezelési tájékoztatókat

elérhetővé teszi az érintettek számára. E tájékoztató célja, hogy az érintetteket e

nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak

folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével

kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az

adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés

időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak

ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati

lehetőségeire is. Ezen adatkezelési tájékoztatót a legfontosabb adatkezelési lépések

mindegyikénél külön linkkel jelölve megismerhetővé kell tenni (például egy

regisztráció esetében a regisztráció előtt, a regisztráció folyamatánál, stb.). E

tájékoztató elérhetőségéről az érintetteket tájékoztatni kell.

IV. FEJEZET

AZ ADATKEZELŐ EGYES ADATKEZLÉSEI

Szerződéshez kapcsolódó adatkezelések

Szerződő partnerek adatainak kezelése – vevők nyilvántartása

(1) Az Adatkezelő szerződés teljesítése jogcímén a szerződés megkötése, teljesítése,

megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként

szerződött természetes személy jelen szabályzat függelékében meghatározott

adatait.

Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés

megkötését megelőzően az érintett kérésére történő lépések megtételéhez

szükséges.

A személyes adatok címzettjei: az Adatkezelő ügyfélkiszolgálással kapcsolatos

feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó

munkavállalói, és adatfeldolgozói.

A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.

(2) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell,

hogy az adatkezelés a szerződés teljesítése jogcímén alapul, ez a tájékoztatás

történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére

történő átadásáról tájékoztatni kell. A természetes személlyel kötött szerződéshez

kapcsolódó adatkezelési tájékoztató szövegét jelen melléklete tartalmazza.

Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek

elérhetőségi adatai

(1) A kezelhető személyes adatok köre: a természetes személy neve, címe,

telefonszáma, e-mail címe, online azonosítója.

(2) A személyes adatok kezelésének célja: a Társaság jogi személy partnerével

kötött szerződés teljesítése, üzleti kapcsolattartás,

(3) Az adatkezelés jogalapja: Adatkezelő jogos érdeke (az érdekmérlegelési vizsgálat

az Adatkezelő adatvédelmi dokumentumai között került elhelyezésre)

(3) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság

ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói.

(4) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az

érintett képviselői minőségének fennállását követő 5 évig.

Látogatói adatkezelés az Adatkezelő honlapján - Tájékoztatás sütik

(cookie) alkalmazásáról

(1) A Sütik (cookie-k) rövid adatfájlok, melyeket a meglátogatott honlap helyez el a

felhasználó számítógépén. A cookie célja, hogy az adott infokommunikációs,

internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. Számos fajtája

létezik, de általában két nagy csoportba sorolhatóak. Az egyik az ideiglenes cookie,

amelyet a honlap csak egy adott munkamenet során (pl.: egy internetes bankolás

biztonsági azonosítása alatt) helyez el a felhasználó eszközén, a másik fajtája az

állandó cookie (pl.: egy honlap nyelvi beállítása), amely addig marad a

számítógépen, amíg a felhasználó le nem törli azt. Az Európai Bizottság irányelvei

alapján cookie-kat [kivéve, ha azok az adott szolgáltatás használatához

elengedhetetlenül szükségesek] csak a felhasználó engedélyével lehet a felhasználó

eszközén elhelyezni.

(2) A felhasználó hozzájárulását nem igénylő sütik esetében a honlap első

látogatása során kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre

vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a

honlap üzemeltetői röviden összefoglalják a tájékoztatás lényegét, és egy linken

keresztül utalnak a teljes körű tájékoztató elérhetőségére.

(3) A hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első

látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó

adatkezelés már az oldal felkeresésével megkezdődik. Amennyiben a süti

alkalmazására a felhasználó által kifejezetten kért funkció igénybevételéhez

kapcsolódóan kerül sor, akkor a tájékoztatás is megjelenhet e funkció

igénybevételéhez kapcsolódóan. Ebben az esetben nem szükséges az, hogy a

sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő egy

rövid összefoglaló a tájékoztatás lényegéről, és egy linken keresztül utalás a teljes

körű tájékoztató elérhetőségére.

(4) A honlapon a sütik alkalmazásáról a látogatót a jelen szabályzat melléklete

szerinti adatkezelési tájékoztatóban tájékoztatni kell. E tájékoztatóval az Adatkezelő

biztosítja, hogy a látogató a honlap információs társadalommal összefüggő

szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor

megismerhesse, hogy az Adatkezelő mely adatkezelési célokból mely adatfajtákat

kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok

kezelését is.

Hírlevél szolgáltatáshoz kapcsolódó adatkezelés

(1) A honlapon a hírlevél szolgáltatásra regisztráló természetes személy az erre

vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai

kezeléséhez. Tilos a négyzet előre bejelölése. A feliratkozás során a jelen szabályzat

melléklete szerinti Adatkezelési tájékoztatót egy linkkel elérhetővé kell tenni. A

hírlevélről az érintett a hírlevél „Leiratkozás” alkalmazásának használatával, vagy

írásban, vagy e-mailben tett nyilatkozattal bármikor leiratkozhat, amely a

hozzájárulás visszavonását jelenti. Ilyen esetben a leiratkozó minden adatát

haladéktalanul törölni kell.

(2) A kezelhető személyes adatok körét jelen szabályzat függeléke tartalmazza.

(3) A személyes adatok kezelésének célja:

1. Hírlevél küldése az Adatkezelő termékei, szolgáltatásai tárgyában

2. Reklámanyag küldése

(4) Az adatkezelés jogalapja: az érintett hozzájárulása.

(5) A személyes adatok címzettjei: az Adatkezelő ügyfélszolgálattal, marketing

tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként

az Adatkezelő IT szolgáltatója munkavállalói a tárhely szolgáltatás teljesítése

céljából.

(6) A személyes adatok tárolásának időtartama: a hírlevél szolgáltatás fennállásáig,

vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).

Adatkezelés az Adatkezelő Közösségi oldalán/oldalain

(1) Az Adatkezelő termékei, szolgáltatásai megismertetése, népszerűsítése céljából

Facebook oldalt tart fenn.

(2) Az Adatkezelő Facebook oldalán feltett kérdés nem minősül hivatalosan

benyújtott panasznak.

(3) Az Adatkezelő Facebook oldalán a látogatók által közzétett személyes adatokat

az Adatkezelő nem kezeli.

(4) A látogatókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.

(5) Jogellenes, vagy sértő tartalom publikálása esetén az Adatkezelő előzetes

értesítés nélkül kizárhatja az érintettet a tagok közül, vagy törölheti hozzászólását.

(6) Az Adatkezelő nem felel a Facebook felhasználók által közzétett jogszabályt sértő

adattartalmakért, hozzászólásokért. Az Adatkezelő nem felel semmilyen, a Facebook

működéséből adódó hibáért, üzemzavarért vagy a rendszer működésének

megváltoztatásából fakadó problémáért.

(7) A Facebook adatkezelőként jár el, amikor az emberek által közvetlenül a

Facebooknak megadott információk alapján jelenít meg hirdetéseket az

embereknek, illetve olyan adatok kapcsán is, amelyeket a Facebook akkor kap,

amikor különböző webhelyek és alkalmazások a Facebook képpontját és SDK-ját

telepítik. Ilyen esetekben a Közösségi oldal felelős az adatvédelmi előírások

betartásáért.

(8) A Facebook „adatfájl alapján létrehozott egyéni célközönség” termékének

használata esetén az Adatkezelési szabályozások betartásáért Adatkezelő a felelős,

ez az egyetlen olyan eset amikor a Facebook Adatfeldolgozóként jár el. Tekintettel

arra, hogy Adatkezelő továbbítja az Érintettek személyes adatait a Facebooknak. Ez

esetben a hozzájárulás beszerzésért Adatkezelő felelős, a hozzájárulás

beszerzéséhez szükséges nyilatkozatot jelen szabályzat melléklete tartalmazza.

(9) Jelen fejezet szabályai irányadóak Adatkezelő Linkedin, Instagram, Google+,

Youtube oldalaira is.

Adatkezelés az Adatkezelő webáruházában

(1) Az Adatkezelő által működtetett webáruházban történő vásárlás szerződésnek

minősül, figyelemmel az elektronikus kereskedelmi szolgáltatások, valamint az

információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001.

évi CVIII. törvény 13/A.§-ára, és a fogyasztó és a vállalkozás közötti szerződések

részletes szabályairól szóló 45/2014. (II. 26.) Korm. rendeletre is. Webáruházban

történő vásárlás esetén az adatkezelés jogcíme: Rendelet 6. cikk (1) bekezdése b)

(az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az

egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő

lépések megtételéhez szükséges).

(2) Az Adatkezelő , mint szolgáltató az információs társadalommal összefüggő

szolgáltatás nyújtására irányuló szerződés létrehozása, tartalmának meghatározása,

módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak

számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából

kezelheti a webáruházban regisztráló, vásárló azonosításához szükséges

természetes személyazonosító adatait és lakcímét a 2001. évi CVIII. törvény

13/A.§(1) bekezdés jogcímén, továbbá hozzájárulás jogcímén a telefonszámát, e-mail

címét, bankszámlaszámát, online azonosítóját.

(3) Az Adatkezelő számlázás céljából kezelheti az információs társadalommal

összefüggő szolgáltatás igénybevételével kapcsolatos természetes

személyazonosító adatokat, lakcímet, valamint a szolgáltatás igénybevételének

időpontjára, időtartamára és helyére vonatkozó adatokat, a 2001. évi CVIII. törvény

13/A.§(2) bekezdés jogcímén.

(5) A személyes adatok kezelésének időtartama jelen szabályzat függelékében adat

fajtánként részletezett időtartamig.

(6) A webáruházban történő vásárlás során a jelen szabályzat mellékletét képező

Adatkezelési tájékoztatót egy linkkel elérhetővé kell tenni.

Direkt marketing célú adatkezelés

(1) Ha külön törvény eltérően nem rendelkezik, reklám természetes személynek,

mint reklám címzettjének közvetlen megkeresése módszerével (közvetlen

üzletszerzés), így különösen elektronikus levelezés vagy azzal egyenértékű más

egyéni kommunikációs eszköz útján - a 2008. évi XLVIII. törvényben meghatározott

kivétellel - kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen

egyértelműen és kifejezetten hozzájárult.

(2) Az Adatkezelő által reklám-címzetti megkeresés céljára kezelhető személyes

adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online

azonosítója.

(3) A személyes adatok kezelésének célja az Adatkezelő tevékenységéhez

kapcsolódó direkt marketing tevékenység folytatása, azaz reklámkiadványok,

hírlevelek, aktuális ajánlatok nyomtatott (postai) vagy elektronikus formában (email)

történő rendszeres vagy időszakonkénti megküldése a regisztrációkor

megadott elérhetőségekre.

(4) Az adatkezelés jogalapja: az érintett hozzájárulása.

(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: az Adatkezelő

ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként

az Adatkezelő IT szolgáltatója szerverszolgáltatást végző munkavállalói, postai

kézbesítés esetén a Posta munkavállalói.

(6) A személyes adatok tárolásának időtartama: a hozzájárulás visszavonásáig.

(7) A direkt marketing célú adatkezeléshez való hozzájárulásra a jelen szabályzat

„hozzájáruló nyilatkozat” alkalmazható.

 

V. FEJEZET

EGYÉB ADATKEZELÉSSEL KAPCSOLATOS RENDELKEZÉSEK

V.1. Adatbiztonsági intézkedések

(1) Az Adatkezelő valamennyi célú és jogalapú adatkezelése vonatkozásában a

személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és

szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a

Rendelet és az Infotv., érvényre juttatásához szükségesek.

(2) Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy

jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan

nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.

(3) Az Adatkezelő a személyes adatokat bizalmas adatként minősíti és kezeli. A

munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási

kötelezettséget ír elő, amelyre jelen szabályzat melléklete szerinti munkavállalói

nyilatkozatot kell alkalmazni. A személyes adatokhoz való hozzáférést az Adatkezelő

jogosultsági szintek megadásával korlátozza.

(4) Az Adatkezelő az informatikai rendszereket tűzfallal védi, és vírusvédelemmel

látja el.

(5) Az Adatkezelő az elektronikus adatfeldolgozást, nyilvántartást számítógépes

program útján végzi, amely megfelel az adatbiztonság követelményeinek. A

program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények

között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében

erre szükségük van.

(6) A személyes adatok automatizált feldolgozása során az Adatkezelő és az

adatfeldolgozók további intézkedésekkel biztosítja:

a) a jogosulatlan adatbevitel megakadályozását;

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi,

adatátviteli berendezés segítségével történő használatának megakadályozását;

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat

adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy

továbbíthatják;

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat,

mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

(7) Az Adatkezelő a személyes adatok védelme érdekében gondoskodik az

elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.

(8) A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az

illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb

személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.

(9) Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai

védelmét.

V.2. Adatvédelmi incidensek kezelése

V.2.1.1 Az adatvédelmi incidens fogalma

(1) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt

vagy más módon kezelt személyes adatok véletlen vagy jogellenes

megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az

azokhoz való jogosulatlan hozzáférést eredményezi;

V.1.2. Adatvédelmi incidensek kezelése, orvoslása

(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások

betartása az Adatkezelő vezetőjének feladata.

(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési

kísérleteket, és ezeket folyamatosan elemezni kell.

(3) A Rendelet előírja, hogy az olyan adatkezelési incidenst, amely valószínűleg

kockázattal jár az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem

nélkül, és ha lehetséges, legkésőbb a tudomásszerzéstől számított 72 órán belül be

kell jelenteni a felügyeleti hatóságnak. Ha a 72 órás határidő nem tartható, a

késedelem okát meg kell jelölni.

(4) Ha az incidens személyes adatot érint, döntést kell hozni az érintettekkel való

kapcsolattartás terjedelméről, időzítéséről és tartalmáról. A Rendelet előírja, hogy a

kapcsolattartásnak „indokolatlan késedelem nélkül” kell megtörténnie, ha az

incidens „magas kockázattal jár természetes személyek jogaira és szabadságaira

nézve”.

(5) Adatkezelő jelen szabályzat rendelkezéseitől az incidens egyedi körülményeinek

figyelembevételével, annak minél hatékonyabb orvoslása érdekében eltérhet.

V.2.1.3. Adatvédelmi incidens kezelésére vonatkozó eljárás

V.2.1.3.1. Az adatvédelmi incidens belső jelentése

(1) A gyakorlatban többféle adatvédelmi incidens fordulhat elő, ezek különösen:

(a) titokvédelmi incidens: ide tartoznak a személyes adatokhoz való jogosulatlan

hozzáférés és nyilvánosságra kerülés esetei;

(b) adatmódosítási incidens: ide tartoznak azok az esetek, amikor személyes adatok

jogosulatlan vagy véletlen módosítása történik.

(2) Amennyiben az Adatkezelő bármely munkavállalója vagy a társaság személyes

adataihoz hozzáférő egyéb személy bármilyen adatvédelmi incidenst, vagy annak

reális veszélyét tapasztalja, azt köteles részletesen és haladéktalanul bejelenteni az

Adatkezelő vezetőjének, és neki minden segítséget időszerűen megadni az

adatvédelmi incidens minél teljesebb körű feltárása és kezelése érdekében.

(3)A bejelentett incidenseket értékelni és dokumentálni szükséges.

Az értékelésnek ki kell térnie különösen az alábbiakra:

a) az incidens bekövetkezésének időpontja és helye,

b) az incidens leírása, körülménye, hatásai,

c) az incidens során kompromittálódott adatok köre, számossága,

d) a kompromittálódott adatokkal érintett személyek köre,

e) az incidens elhárítása érdekében tett intézkedések leírása,

f) a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírása.

(4) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

a) az érintett személyes adatok körét,

b) az adatvédelmi incidenssel érintettek körét és számát,

c) az adatvédelmi incidens időpontját,

d) az adatvédelmi incidens körülményeit, hatásait,

e) az adatvédelmi incidens orvoslására megtett intézkedéseket,

f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

(5) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig

meg kell őrizni.

(6) Az adatvédelmi incidensek nyilvántartására vonatkozó incidens naplót jelen

szabályzat melléklete tartalmazza.

V.2.1.3.2. Külső tájékoztatási kötelezettségek

Annak megállapítását követően, hogy adatvédelmi incidens történt, a Rendelet két

fél tájékoztatását írja elő. Ezek a következők:

1. Felügyeleti hatóság

2. Érintettek

Az incidenst „a természetes személyek jogaira és szabadságaira” gyakorolt kockázat

értékelésétől függően kell jelenteni, ezért az ilyen esetekben el kell végezni ezt a

kockázatértékelést.

V.2.1.3.3.Felügyeleti hatóság

A Rendelet alapján Adatkezelő tekintetében a felügyeleti hatóság az alábbi:

Név: Nemzeti Adatvédelmi és Információszabadság

Hatóság

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C

Telefon: +36 1 391 1400

Fax: +36 1 391 1410

Email: ugyfelszolgalat@naih.hu

V.2.1.3.4. Döntés arról, hogy kell-e értesíteni a felügyeleti hatóságot

A Rendelet kimondja, hogy az adatkezelési incidenst be kell jelenteni a felügyeleti

hatóságnak, „kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár

kockázattal a természetes személyek jogaira és szabadságaira nézve”.

Ennek alapján Adatkezelő köteles értékelni az adatvédelmi incidens által jelentett

kockázat szintjét és mértékét, mielőtt dönt arról, hogy tesz-e bejelentést.

A kockázatértékelés körében többek között az alábbi szempontokat érdemes

figyelembe venni:

az incidens jellege (ld. pl. a fenti kategóriákat);

az incidenssel érintett személyes adatok természete, érzékenysége és

mennyisége;

egyéb, relevánsnak tekintett tényezők (ideértve különösen, de nem

kizárólagosan az incidens hatásának értékelését).

A fenti kockázatértékelés elvégzésére, a bejelentéssel kapcsolatos döntés

végrehajtása, a megfelelő dokumentáció elkészítése, és az érintettek felé

kapcsolattartás és a részükről felmerülő további kérdések megválaszolása és ügyek

intézésére Adatkezelő vezetője felelőst nevez ki.

A kockázatértékelés módját, az indokolást és a következtetéseket dokumentálni kell,

és azt a felső vezetésnek kell az aláírásával ellátnia. A kockázatértékelés

eredményének az alábbi következtetések egyikét kell tartalmaznia:

1. Az adatvédelmi incidens nem igényel bejelentést

2. Az adatvédelmi incidenst csak a felügyeleti hatóságnak kell bejelenteni

3. Az adatvédelmi incidenst a felügyeleti hatóságnak és az érintetteknek egyaránt

be kell jelenteni

V.2.1.3.5. A felügyeleti hatósági bejelentés módja

Amennyiben a döntés alapján bejelentést kell tenni a felügyeleti hatósághoz, a

Rendelet megköveteli, hogy azt „indokolatlan késedelem nélkül, és ha lehetséges,

legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott” kell

megtenni. Ha jogszerű indok alapján a bejelentést nem teszik meg az előírt

határidőn belül, az indokot fel kell tüntetni a bejelentésben.

A bejelentést az illetékes adatvédelmi hatóság felé megfelelően, és biztonságos

módon kell megtenni.

V.2.1.3.6. Érintettek

(i) Döntés arról, hogy tájékoztatják-e az érintetteket

A Rendelet kimondja, hogy az adatkezelési incidensről tájékoztatni kell az érintettet,

„ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes

személyek jogaira és szabadságaira nézve”.

A Rendelet akkor nem követeli meg az érintettek tájékoztatását, ha az „aránytalan

erőfeszítést tenne szükségessé”. Ilyen esetekben azonban az érintetteket

nyilvánosan közzétett információk útján kell tájékoztatni.

(ii) Az érintettek tájékoztatásának módja

Miután döntés született arról, hogy az incidens indokolja az érintettek tájékoztatását,

a Rendelet alapján a tájékoztatást indokolatlan késedelem nélkül kell megtenni.

Az érintetteknek adott tájékoztatásban „világosan és közérthetően ismertetni kell az

adatvédelmi incidens jellegét” és a következőket:

a. az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb

kapcsolattartó nevét és elérhetőségét;

b. az adatvédelmi incidensből eredő, valószínűsíthető következmények leírását; és

c. az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket,

beleértve adott esetben az esetleges hátrányos következmények enyhítését

célzó intézkedéseket.

V.3. Az érintett személy jogai

V.3.1.1. Előzetes tájékozódáshoz való jog

Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és

információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon

A tájékoztatásnak ki kell térnie különösen:

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az Adatkezelő a

személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja

a következő információk mindegyikét:

a) az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és

elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés

jogalapja;

d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az Adatkezelő vagy

harmadik fél jogos érdekei;

e) a személyes adatok címzettjei, illetve a címzettek kategóriái;

f) adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy

nemzetközi szervezet részére kívánja továbbítani a személyes adatokat;

g) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen

időtartam meghatározásának szempontjairól;

h) az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó

személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy

kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,

valamint az érintett adathordozhatósághoz való jogáról;

i) Az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely

időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a

hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

j) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

k) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses

kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az

érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges

következményekkel járhat az adatszolgáltatás elmaradása;

l) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább

ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető

információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve

milyen várható következményekkel bír.

V.3.2. Az érintett hozzáférési joga

Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra

vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen

adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a

következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes

adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli

címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez

nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó

személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és

tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden

elérhető információ;

h) a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal

ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az

alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen

adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható

következményekkel jár.

Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére

történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a

továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.

Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett

rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az

adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az

érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben

használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az

érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti

hátrányosan mások jogait és szabadságait.

V.3.3. A törléshez való jog („az elfeledtetéshez való jog”)

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül

törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy

az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje,

ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat

gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja a Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9.

cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező

hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett a Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése

ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a

21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban

előírt jogi kötelezettség teljesítéséhez törölni kell;

f) a személyes adatok gyűjtésére a Rendelet 8. cikk (1) bekezdésében említett,

információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan

került sor.

Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi 1. pont

értelmében azt törölni köteles, az elérhető technológia és a megvalósítás

költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket –

ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat

kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes

adatokra mutató linkek vagy e személyes adatok másolatának, illetve

másodpéldányának törlését.

V.3.4. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha

az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra

az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a

személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri

azok felhasználásának korlátozását;

c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából,

de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy

védelméhez; vagy

d) az érintett a Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés

ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra

nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett

jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás

kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez,

érvényesítéséhez vagy védelméhez, vagy más természetes vagy