Adatkezelési Tájékoztató

A VanScape üzemeltetője, az ESC Club Korlátolt Felelősségű Társaság ezúton tájékoztatja az általa kínált lakóautó bérbevételi és kapcsolódó szolgáltatások igénybe vevőit a bérleti és szolgáltatási tevekénységével kapcsolatos adatkezeléséről.

  1. Az Adatkezelő

Az Adatkezelő adatai:

név: ESC Club Korlátolt Felelősségű Társaság  

székhely: 2484 Gárdony, Agárd-Vasút utca 58.

nyilvántartó hatóság: Székesfehérvári Törvényszék Cégbírósága

nyilvántartási szám: 07-09-028644

adószám: 23863877-2-07

képviseli: Nagy Zoltán ügyvezető és Turbék Gergely ügyvezető

e-mail cím: info@escapeclub.hu

a továbbiakban: Adatkezelő.

Jelen rendelkezéseket a Társaság többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fenn jelen rendelkezések és a bármely más, jelen szabályzat hatálybalépése előtt hatályba lépett szabályzat előírásai között, úgy abban az esetben jelen rendelkezések az irányadóak. 

Jelen szabályzatban használt rövidítések:

Infotv. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény vagy a helyébe lépő jogszabály

GDPR vagy

Rendelet az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (Általános Adatvédelmi Rendelet) 

PSZÁF ajánlás 14/2012. (XII. 13.) számú PSZÁF ajánlás

Fmhtv. a fizetési meghagyásos eljárásról szóló 2009. évi L. törvény

Vht. a bírósági végrehajtásról szóló 1994. évi LIII. törvény 

Hptv. a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 

Mnbtv. a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 

Mt. a munka törvénykönyvéről szóló 2012. évi I. törvény

Mvt. a munkavédelemről szóló 1993. évi XCIII. törvény

Ptk. a polgári törvénykönyvről szóló 2013. évi V. törvény

Sztv. a számvitelről szóló 2000. évi C. törvény

Szvtv. a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény

NAIH vagy

Hatóság Nemzeti Adatvédelmi és Információszabadság Hatóság, illetve annak jogutódja

  1. Az adatkezelés célja, köre, címzettje, időtartama

A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja az Infotv. 15. §-ában valamint a Rendelet 12. Cikkében meghatározott érintetti tájékoztatáshoz való jog megvalósulását.

Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Jelen szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során az Infotv. 3. § 2. illetve a rendelet 4. Cikk 1. pontjában meghatározott személyes adat kezelése megvalósul.

A szabályzat időbeli hatálya 2024. május 10. napjától visszavonásig tart.

Az Adatkezelő a lakóautó bérlési lehetőséget nyújtó és ahhoz kapcsolódó értékesítési tevékenységével összefüggésben alapvetően olyan személyes adatokat kezel, amelyek szükségesek az Adatkezelő által nyújtott bérleti lehetőséggel kapcsolatos törvényi kötelezettségei teljesítéséhez, valamint a bérleti szerződések létrehozásához és teljesítéséhez, továbbá a szerződés(ek) teljesítéséhez szükséges kapcsolattartáshoz.

Mivel az információs önrendelkezés minden természetes személy Magyarország Alaptörvényében (2011. április 25.) rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

A személyes adatok, úgymint a Bérlők, lakóautó Bérbevevők (a továbbiakban: Bérlők) egyes tényleges tulajdonosi nyilatkozatainak kezelése ugyancsak a lakóautókra vonatkozóan létrejött hosszú távú bérleti és/vagy adásvételi szerződés teljesítéséhez szükségesek.

Az adatkezelés minden szakaszában meg kell felelnie a célnak, és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről az adatot ténylegesen kezelő Adatgazda gondoskodik. A törlést, ha az Adatgazda az Adatkezelő egy munkavállalója, akkor a felette munkáltatói jogköröket ténylegesen gyakorló személy és az adatvédelmi tisztviselő ellenőrizheti.

Az Adatkezelő ezen felül az ügyfelek (ha jogi személy, akkor törvényes) képviselőinek kapcsolattartási adatait – külön hozzájárulás esetén – a tevékenységére vonatkozó ajánlatokról, hirdetésekről, valamint az általa szervezett vagy szponzorált rendezvényekről szóló tájékoztatások céljából kezeli.

Az Adatkezelő felhívja a figyelmet arra, hogy a lakóautó bérléssel kapcsolatos marketing célú tájékoztatások, hirdetések céljából a bérlőkről kizárólag a hozzájáruló nyilatkozata alapján, a nyilatkozatban meghatározott célból, módon és időtartamban eseti jelleggel készít és kezel a Bérlő képmását és/vagy hangfelvételét tartalmazó fénykép- és/vagy videofelvételeket a www.vanscape.hu oldal üzemeltetője által.

Az Adatkezelő felhívja a figyelmet arra, hogy a személyes adatok megadása az Adatkezelő részére mindenkor önkéntes, de meghatározott adatok megadása hiányában, vagy az adatok pontatlansága esetén lehetséges, hogy az Adatkezelő nem lesz képes törvényi kötelezettsége teljesítésére, illetve a megfelelő szerződés létrehozására, teljesítésére és/vagy kapcsolattartásra, ezért szükséges az Adatkezelő által kért adatoknak mindenkor pontos és hiánytalan megadása.

Az Adatkezelő bérleti tevékenységével kapcsolatban kezelt személyes adatok a www.vanscape.hu weboldal jelentkezési felületét (űrlap) kitöltő, vagy az ott megadott egyéb kapcsolattartási eszközök útján jelentkező természetes személyektől származhatnak. Tekintettel arra, hogy a bérleti lehetőségben kizárólag 18. életévét betöltött személyek vesznek részt, személyes adataikat, illetve az adatkezeléshez való hozzájárulást az Adatkezelő részére kizárólag a saját maguk adhatják meg.

A személyes adat megadásával a személyes adatot közlő természetes személy szavatol azért, hogy a megadott személyes adatoknak az Adatkezelő részére történő rendelkezésre bocsátása jogszerű, az adatok megadásához megfelelő jogcímmel és jogalappal rendelkezik, továbbá, hogy az adatok valósak, pontosak és hatályosak.

Az Adatkezelő által kezelt személyes adatok kategóriái:

  • a bérleti szerződésben Bérlőként szereplő személy azonosító adatai: születési név, anyja neve, születési helyi/idő, lakcím, jogosítvány száma.
  • kapcsolattartási adatok: amennyiben eltérő a tartózkodási lakcíme, valamint telefonszáma, e-mailcíme
  • a Bérlő személy vagy személyek a szerződés teljesítéshez szükséges személyes adatainak nem különleges kategóriái
  • számlázási adatok: számlázási cím
  • kommunikációs adatok: a szerződéskötést megelőző, illetve a teljesítéssel kapcsolatos kiegészítő e- mailek, esetleges levelek tartalma.

A személyes adatok címzettje (azaz az, akivel a megadott személyes adatot közlik) az Adatkezelő, illetve az Adatkezelő részére szolgáltatást nyújtó, az Adatkezelő által meghatározott célból és tartalommal adatfeldolgozást végző, alább részletesen meghatározott személyek/szervezetek (együttesen: Adatfeldolgozók).

Az Adatkezelő – illetve a vele szerződött Adatfeldolgozó az Adatkezelő által meghatározott célból és tartamban – a személyes adatokat csupán addig kezeli, ameddig arra a szerződéses kötelezettségek teljesítése, a szerződésből esetlegesen eredő igényérvényesítés, illetve az egyéb adatkezelési cél eléréséhez szükség van. Az adatkezeléshez történő kifejezett hozzájárulás esetén az adatkezelés addig tart, amíg az arra jogosult személy hozzájárulását vissza nem vonja. A személyes adatok az Adatkezelő és az Adatfeldolgozó nyilvántartásaiból törlésre kerülnek, ha az adatkezelés célja megszűnik, illetve azokra már nincs szükség.

  1. Fogalmak

A jelen szabályzat fogalmi rendszere megegyezik az Infotv.-ben és a GDPR-ben meghatározott értelmező fogalommagyarázatokkal, így különösen:

  • Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
  • Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
  • Különleges adat:
    • a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
    • az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
  • Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
  • Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
  • Tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
  • Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
  • Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
  • Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
  • Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
  • Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
  • Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
  • Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
  • Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
  • Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik;
  • Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
  • Adatállomány: az egy nyilvántartásban kezelt adatok összessége;
  • Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
  • EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;
  • Harmadik ország: minden olyan állam, amely nem EGT-állam;
  • Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.
  • Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
  • Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni
  • Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
  • Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
  • Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
  • Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  • Genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered; 
  • Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
  • Kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
  • Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  • Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
  • Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
  • Tevékenységi központ: 
  1. az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
  2. az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
  • Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő Társaságokat és egyesületeket is;
  • Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen szabályzat megalkotásakor az Infotv. és a GDPR) fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a GDPR által meghatározott fogalmak az irányadók.

  1. Az adatkezelés alapelvei

Az Adatkezelő adatkezelése mindenkor megfelel a jogszerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg, valamint az elszámoltathatóság alapelvének. Ha az adatkezelés célja megszűnt, vagy az adat kezelése egyébként jogellenes, illetve az Európai Unió Általános Adatvédelmi Rendeletének (GDPR) 17. cikkében foglalt egyéb okoknál fogva kötelező, az adatot az azt kezelő Adatkezelő vagy az Adatfeldolgozó törli. 

  1. Az adatkezelések szabályai

Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és az adatvédelmi tisztviselő ellenőrizheti. 

A Társaság személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel.

A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni. 

Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes, vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött megbízási szerződésben érvényesítendők. Az adatfeldolgozóval a Társaság az Infotv. által előírt Adatfeldolgozói szerződést köthet. 

Személyazonosító igazolványok fénymásolása

A Társaság – összhangban a NAIH álláspontjával – nem készít fénymásolatot személyazonosító igazolványokról. A hatósági okmányról készített fénymásolat nem alkalmas a természetes személyek azonosítására, mivel az egyén személyes jelenléte elengedhetetlen a hatósági igazolvány alapján történő személyazonosításhoz. Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján a Társaság megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek. Egy hatósági igazolványról készített másolat nem rendelkezik bizonyító erővel arról, hogy hiteles másolata egy érvényes hatósági igazolványnak.

Az adatrögzítés és az adatminőség elvének megtartása céljából a Társaság azonban az azonosító igazolványokról maszkolt fénymásolatot (vagy szkennelt képet – együtt: fénymásolat) készíthet. A fénymásolás során a Társaság az igazolvány csak azon részeit hagyja fénymásolásra alkalmas, a továbbiakban olvasható állapotban, amely adatokat az érintett egyébként is köteles magáról megadni. A fénymásolat ebben az esetben az adategyeztetés céljából készül. A fénymásolatot a Társaság azonnal és visszavonhatatlanul törli vagy megsemmisíti – a maszkolt igazolvány-fénymásolatokon szereplő adatok a Társaság által kijelölt munkatársa általi összehasonlítását, de  – legkésőbb a fénymásolat készültét követő 30 nap elteltével.

  1. Az adatkezelés jogalapjai

A jelen bekezdésben az Adatkezelő meghatározza azon jogalapokat, amelyek alapján az aukciókkal kapcsolatban személyes adatokat kezel:

 Szerződés: a lakóautó bérleti szerződést bonyolító személy és/vagy a törvényes képviselője személyes adatainak kezelése olyan szerződés teljesítéséhez szükséges, amelyben az érintett személy az egyik fél, vagy az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (GDPR 6. cikk (1) bekezdés (b)).

Jogos érdek: a törvényes képviselő kapcsolattartási adatainak kezelése az Adatkezelő azon jogos érdekén is alapul, hogy az elősegítse a szerződő fél és az Adatkezelő közötti folyamatos kapcsolattartást a szerződés teljesítésének előmozdítása és figyelemmel kísérése érdekében (a GDPR 6. cikk (1) bekezdés (f) pont)).

Jogi kötelezettség teljesítése: egyes személyes adatok kezelése (pl. a számlázással kapcsolatos adatok) jogszabályi (számviteli) kötelezettségek teljesítése miatt kötelező (GDPR 6. cikk (1) bekezdés (c) pont).

 Hozzájárulás: az Adatkezelő minden esetben kifejezett, előzetes hozzájárulást kér olyan adatok kezeléséhez, amelyeket konkrét marketing célokból (marketing tartalmú tájékoztatásokkal, hirdetésekkel, reklámokkal kapcsolatban) kezel (GDPR 6. cikk (1) bekezdés (a) pont).

  1. A Társaság adatvédelmi rendszere

A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelöli az adatkezelés felügyeletét ellátó személyt.

A szabályzatban előírtak betartatásáért a feladatkörében minden érintett szervezeti egység vezetője felelős.

A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető

A Társaság adatvédelmi rendszerének felügyeletét a vezető tisztségviselő látja el.

A vezető tisztségviselő szervezi, irányítja és ellenőrzi a Társaság adatvédelmi és adatbiztonsági rendszerét. Az adatvédelemért felelős tisztségviselő a Társaság saját alkalmazottja. Felette a munkáltatói vagy szerződésben meghatározott jogokat a Társaság vezető tisztségviselője gyakorolja. 

A vezető tisztségviselő az adatvédelemmel kapcsolatosan:

  1. felelős az érintettek Infotv.-ben és a Rendeletben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
  2. felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
  3. felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
  4. felügyeli az adatvédelmi tisztviselő tevékenységét;
  5. vizsgálatot rendelhet el;
  6. kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait.

A vezető tisztségviselő adatvédelemmel kapcsolatos feladatai:

  1. segítséget nyújt az érintett jogainak biztosításában;
  2. kezdeményezi a NAIH felé az Infotv.-ben meghatározott nyilvántartásba vételi eljárás lefolytatását;
  3. minden év január 15-ig jelentést készít a vezető tisztségviselő részére a Társaság adatvédelmi feladatainak végrehajtásáról;
  4. jogosult jelen szabályzat betartását az egyes szervezeti egységeknél ellenőrizni;
  5. vezeti az adattovábbítási nyilvántartást;
  6. részt vesz a NAIH által szervezett adatvédelmi tisztviselők konferenciáján;
  7. figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen szabályzat módosítását;
  8. közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során;
  9. általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg;
  10. tájékoztatást és szakmai tanácsot ad a Társaság adatvédelmi jogszabályokban előírt kötelezettségeinek ellátásával kapcsolatban;
  11. ellenőrzi az adatvédelmi jogszabályoknak, valamint a Társaság belső szabályzatainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő személyek tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
  12. kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
  13. együttműködik a NAIH-val;
  14. az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint bármely egyéb kérdésben konzultációt folytat le.  

Az informatikáért felelős vezető (a továbbiakban: IT vezető) adatvédelemmel kapcsolatos feladatai:

  1. ellátja a munkaköri leírásában meghatározott rendszergazdai feladatokat;
  2. ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására;
  3. összeállítja az informatikai beszerzések, beruházások, fejlesztések tervezetét;
  4. szervezi és koordinálja az informatikusok munkáját;
  5. hozzájárulását adja valamennyi munkavállaló szerverhozzáférési jogosultságához. 

Az informatikus adatvédelemmel kapcsolatos feladatai:

  1. ellátja a munkaköri leírásában meghatározott rendszergazdai feladatokat,
  2. a szervezeti egység vezetőjének írásos kérelme alapján közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik;
  3. használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását);
  4.  a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról;
  5. igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban;
  6. elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását;
  7. vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését;
  8. szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről;
  9. ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül;
  10. üzemzavar esetén elvégzi az informatikai rendszerek újraindítását, a hálózat alkalmazásainak és adatainak a visszatöltését;
  11. folyamatosan üzemelteti a számítógépes hálózatot;
  12. igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél.

Adatvédelmi incidens kezelése

Adatvédelmi incidens észlelése és jelentése

A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst haladéktalanul jelenteni a szervezeti egysége vezetőjének, valamint az adatvédelmi tisztviselőnek. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, szervezeti egységének megnevezését, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.

Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor a bejelentést az IT vezetőnek is meg kell küldeni.

A bejelentés adatvédelmi tisztviselőhöz érkezését követően az adatvédelmi tisztviselő haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

Adatvédelmi incidens kivizsgálása, értékelése

Az adatvédelmi tisztviselő – informatikai rendszert érintő incidens esetén az IT vezetővel együttműködve – megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér az incidensre vonatkozóan. Az adatvédelmi tisztviselő felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének időpontját és helyét, az adatvédelmi incidens egyéb körülményeit, az adatvédelmi incidens által érintett adatok körét, mennyiségét, az adatvédelmi incidenssel érintett személyek körét és számát, az adatvédelmi incidens várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.

A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 24 órán belül teljesíti az adatvédelmi tisztviselő részére.

Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel az adatvédelmi tisztviselő az IT vezetővel, valamint egyéb, a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot.

A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és kötelezettségeire, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.

A vizsgálat eredményeként az adatvédelmi tisztviselő javaslatot tesz az adatvédelmi incidenssel érintett szervezeti egység vezetőjének az incidenskezeléshez szükséges intézkedések megtételére. 

A javaslat alapján a megvalósítandó további intézkedésekről az adatok kezelését vagy feldolgozását végző szakterület vezetője – informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az IT vezető egyetértésével – dönt.

 A vizsgálatot legkésőbb a bejelentésnek az adatvédelmi tisztviselőhöz érkezésétől számított 72 órán belül be kell fejezni és a vizsgálat eredményéről a Társaság vezető tisztségviselőjét az adatvédelmi tisztviselő tájékoztatja.

Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről a vezető tisztségviselő nyilvántartást vezet.

A nyilvántartás tartalmazza:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit, hatásait,
  • az elhárítására megtett intézkedéseket és
  • egyéb jogszabályban előírt adatokat.

Az adatvédelmi incidensnyilvántartás (jelen szabályzat melléklete) pontos vezetéséről, aktualizálásáról a vezető tisztségviselő gondoskodik. 

Az adatvédelmi incidens bejelentése a Hatóság részére

A vezető tisztségviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, a vezető tisztségviselő köteles ennek okát igazolni a Hatóság részére.

A Hatósági bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
  • az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
  • az adatvédelmi incidens jellegét, körülményeit, 
  • az adatvédelemért felelős személy nevét és elérhetőségét,
  • az adatvédelmi incidens valószínűsíthető következményeit és
  • az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

Az érintettek tájékoztatása az adatvédelmi incidensről 

Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, a vezető  tisztségviselő haladéktalanul értesíti az érintetteket és erről a Társaság másik vezető tisztségviselőjét is értesíti.  Az értesítendők listáját a 1-es számú melléklet tartalmazza.

Nem kell az érintetteket tájékoztatni:

  • ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét.
  • ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg.
  • ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

Rendszeres tréningek

A vezető tisztségviselő jelen szabályzatban foglaltak szerint gondoskodik az adatvédelmi tudatosság növelése céljából adatvédelmi incidensekkel kapcsolatos oktatásról, mely során a múltban bekövetkezett adatvédelmi incidensek tapasztalatait, vagy a lehetséges adatvédelmi incidensek veszélyeit ismerteti, elemzi, a kockázatok csökkentésével, megelőzésével kapcsolatosan tájékoztatást ad, illetve az ismereteket ellenőrzi.

Hatásvizsgálat

Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően a Társaság hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlen egy hatásvizsgálat keretében is elvégezhetők.

A hatásvizsgálatot főszabály szerint a vezető tisztségviselő végzi. Amennyiben nem ő végzi, úgy a Társaság köteles kikérni egy adatvédelmi tisztviselő szakmai tanácsát.

A Társaság jelen szabályzat előre rögzített szempontrendszer figyelembevételével elvégzi a hatásvizsgálatot.

A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente el kell végezni. 

A személyes adatok kezelésével kapcsolatosan az Adatkezelő kötelezettsége továbbá a kockázatelemzés, amelynek lépései a következők:

  • a személyes adatok kezelésével kapcsolatos kockázatok azonosítása,
  • kockázati lista felállítása,
  • az egyes kockázatok valószínűsíthető fő okainak és várható negatív hatásainak meghatározása és
  • ezek alapján a preventív és a korrektív kockázatkezelési folyamatok kidolgozása.

Szükséges a kockázatforrások feltárása, melyen belül meg kell határozni a kockázati preventív és korrektív célkezelés elemeit, az erőforrás-kezelés rendszerét és el kell különíteni az objektív és szubjektív kockázati elemeket.

Az elemzés során el kell jutni a teljes kockázatértékelési rendszer kialakításáig, amelyben teljes kockázatpotenciál és kockázat prioritási sorrend (nem az intézkedési rendszerrel azonos) megállapítása kell, hogy megtörténjen. Az elemzés menetét és eredményeit írásba kell foglalni.

A kockázatpotenciálnál meg kell határozni a valószínűség szempontjából

  • kicsi 
  • közepes 
  • és nagy bekövetkezésű kockázatokat,

illetve horderő szempontjából 

  • kicsi 
  • közepes 
  • és nagy horderejű kockázatokat.

Ez a meghatározás alapozza meg a későbbi kockázatkezelési eljárás módját mind a preventív, mind a korrektív eljárás tekintetében. A kockázatelemzés végrehajtásáért az adatvédelmi tisztviselő felel.

Előzetes konzultáció

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor a Társaság az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció kezdeményezése során a Társaság csatolja:

  • az elvégzett hatástanulmányt,
  • a vezető tisztségviselő, mint adatvédelemért felelős nevét, elérhetőségét,
  • az adatkezelési folyamatban részt vevő adatkezelő(k), adatfeldolgozó(k) feladatköreinek felsorolását,
  • az adatkezelés célját, módját és
  • az érintettek jogainak, szabadságainak biztosításának védelmében hozott intézkedéseket, garanciákat.

Érdekmérlegelés

Az Infotv. rendelkezései szerint lehetőség van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az Adatkezelő eleget tesz tájékoztatási kötelezettségének. Az adatkezelés jogalapjának vizsgálata során a GDPR 6. cikk (1) bekezdése a)-f) pontjai az irányadók.

Amennyiben a jogalapot a GDPR 6. cikk (1) bekezdés f) pontja jelenti, az adatkezelési folyamat, akkor és annyiban lesz jogszerű, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

Az adatkezelés jogszerűségének vizsgálatához a Társaság elvégez egy érdekmérlegelési tesztet, mely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja és megfelelően alátámasztja.

Az érdekmérlegelési teszt során a Társaság azonosítja jogos érdekét az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel vizsgálja a Társaság. A Társaság a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát, stb. 

Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is elvégzi a Társaság, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére.

A súlyozás elvégzése alapján a Társaság megállapítja, hogy kezelhető-e a személyes adat. 

A teszt eredményéről az érintettek tájékoztatást kapnak, melyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, hogy a Társaság az érintett beleegyezése nélkül kezeli a személyes adatot, tehát a Társaság adatkezeléséhez fűződő jogos érdeke miért múlja felül az érintett érdekeit, illetve jogait. A Társaság tájékoztatja az érintetteket a hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciákról és az adatkezelés elleni tiltakozás lehetőségeiről. 

Nem írható elő az ellentétes érdekek és jogok közötti súlyozás eredménye anélkül, hogy eltérő eredményt tenne lehetővé a Társaság az adott eset sajátos körülményeire tekintettel, ezért a Társaság minden egyes esetben külön érdekmérlegelési tesztet végez el.

Lehetséges forgatókönyv, melytől való eltérés jogát a Társaság fenntartja:

1. lépés: a Társaság a tervezett adatkezelés megkezdése előtt áttekinti, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése: rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél. 

2. lépés: a Társaság a jogos érdekét a lehető legpontosabban meghatározza.

3. lépés: a Társaság meghatározza, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek. 

4. lépés: a Társaság meghatározza, hogy az érintetteknek mik lehetnek az érdekeik az adott adatkezelés vonatkozásában (például azok a szempontok, amelyeket az érintettek felhozhatnának az adatkezeléssel szemben). 

5. lépés: a Társaság elvégzi jogos érdekeinek és az érintettek érdekeinek, alapjogainak súlyozását és ez alapján megállapítja, hogy a személyes adat kezelhető-e. A Társaság meghatározza, hogy miért korlátozza arányosan a Társaság jogos érdeke – és az ennek alapján végzett adatkezelés – a 4. lépésben meghatározott érdekelti jogokat, várakozásokat.

6. lépés: a Társaság meghatározza, mely garanciák biztosíthatják az adatkezelés szükségességét-arányosságát (természetesen más garanciális intézkedések is alkalmazhatók).

A Társaság jelen szabályzat alapján készített, előre rögzített szempontrendszer figyelembevételével végzi el az érdekmérlegelést.

  1. Adatfeldolgozók

Az Adatkezelő a tevékenysége során hatóságokkal tartja a kapcsolatot, illetve tevékenységéhez harmadik fél által nyújtott szolgáltatásokat, könyvelési, IT-, illetve banki szolgáltatásokat vesz igénybe. Az Adatkezelőnek a jogszabályi kötelezettségei betartása, illetve az egyes szolgáltatókkal létrejött szerződései alapján a személyes adatok meghatározott köre a jogszabályi kötelezettség, illetve a szolgáltatás jellegéből kifolyóan ezen hatóságok, illetve szolgáltatók részére adatkezelés céljából átadásra kerülhet, illetve hozzáférhetővé válhat.

Az Adatkezelő által igénybe vett szolgáltatások és a szolgáltatók, akik az Adatkezelő részére nyújtott szolgáltatással kapcsolatban adatfeldolgozást végeznek:

 Könyvelési szolgáltatások:

Cégnév: MB Tax Consulting Kft.

Székhely 1062 Budapest, Andrássy út 76. I. em. 1.

Cégjegyzékszám: 01-09-946522

Banki szolgáltatások:

Cégnév: MBH Bank Zrt.

Székhely: 1056 Budapest, Váci utca 38.

Cégjegyzékszám: 01-10-040952

  1. A személyes adatok tárolásának módja, az adatkezelés biztonsága

Az Adatkezelő számítástechnikai rendszerei és más adatmegőrzési helyei a székhelyén, illetve az adatfeldolgozóinál találhatók.

Az Adatkezelő az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, vagy az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az Adatkezelő a technika mindenkori fejlettségére tekintettel olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. Az Adatkezelő az általa működtetett adatkezelési rendszereket folyamatosan figyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen.

  1. Adatkezeléshez kapcsolódóan az érintetteket megillető jogok

Akinek az adatait az Adatkezelő kezeli, kérheti az Adatkezelőtől a vonatkozó személyes adatokhoz való hozzáférést, a nyilvántartott adatok helyesbítését és törlését (ún. „elfeledtetéshez való jog”), valamint az adatkezelés korlátozását (különösen, ha az Adatkezelőnek már nincs szüksége az adatokra az adatkezeléshez, vagy az adatkezelés jogellenes), és tiltakozhat meghatározott a személyes adatok kezelése ellen.

Az érintett jogosult továbbá arra, hogy panaszt tegyen az adatkezeléssel kapcsolatos felügyeleti hatóságnál, ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a jogszabályi rendelkezéseket, és bírósághoz fordulhat a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal.

A felügyeleti hatóság, amelyhez a személyes adatok megsértése esetén jogorvoslati lehetőséggel, panasszal lehet fordulni:

Nemzeti Adatvédelmi és Információszabadság Hatóság 

cím: 1055 Budapest, Falk Miksa utca 9-11.

telefon: +36 (1) 391-1400

fax: +36 (1) 391-1410

e-mail: ugyfelszolgalat@naih.hu

Az érintett ezen felül jogosult bírósági jogorvoslatra, ha megítélése szerint a személyes adatainak nem megfelelő kezelése következtében megsértették az adatkezeléssel kapcsolatos alapvető jogait. A per elbírálása törvényszék hatáskörébe tartozik.

  1. Jogszabályi háttér

Az Adatkezelő a jelen tájékoztatóban, mint alapvető jogforrásra az Európai Unió Általános Adatvédelmi Rendeletére – az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) –, a Rendelet angol nyelvű, rövidített elnevezése (GDPR) szerint hivatkozik.

Az adatkezeléssel kapcsolatos további alapvető jogszabályok:

  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény,
  • a Polgári Törvénykönyvről szóló 2013. évi V. törvény.
  1. Az Adatkezelő adatkezelésével kapcsolatos kérdések, észrevételek, kérelmek bejelentése az Adatkezelő részére

Az Adatkezelőnél adatvédelmi tisztviselő kijelölésére nem került sor. Az adatkezeléssel kapcsolatos kérdések, észrevételek, kérelmek közvetlenül info@escapeclub.hu e-mail címre küldhetők meg.

  1. Az adatkezelési tájékoztató hatálya

A jelen adatkezelési tájékoztatás 2024. május 10. napján lép hatályba (és ezzel egyidejűleg hatályon kívül helyezi a 2018. május 24. napján érvénybe lépett korábbi szabályzatát és tájékoztatóját).

Az ESC Club Korlátolt Felelősségű Társaság fenntartja magának a jogot a jelen tájékoztató módosítására, jogszabályi változás esetén annak kiegészítésére, pontosítására, és vállalja, hogy az esetleges változásokról mindenkor megfelelő időben, a weboldalon keresztül is értesíti a címzetteket.

ESC Club Korlátolt Felelősségű Társaság

1-es számú melléklet

Adatvédelmi incidens esetén értesítendők listája

(Esc Club Kft. adatvédelmi szabályzatának,  adatvédelmi tájékoztatójának melléklete)

1., Turbék Gergely – ügyvezető

telefonszám:   +36309709172

emailcím:   info@escapeclub.hu

2., Nagy Zoltán – ügyvezetők

telefonszám:  +36302366567

emailcím:  info@vanscape.hu 

Budapest, 2024. május 10.

Scroll to Top