Adatkezelési tájékoztató
ADATKEZELÉSI TÁJÉKOZTATÓ
/A www.mvm-dome.hu honlap látogatói számára /
Adatkezelő kiemelt figyelmet fordít arra, hogy adatkezelése során a rendszerében található személyes adatok kezelése tekintetében a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 Rendelet („Rendelet”) rendelkezéseinek megfelelően kezelje, tárolja, felhasználja.
Az adatok kezelésével összefüggésben Adatkezelő ezúton tájékoztatja a honlap látogatóit (a továbbiakban: Felhasználó) az általa kezelt személyes adatokról, a személyes adatok kezelése körében követett elveiről és gyakorlatáról, valamint Felhasználó jogai gyakorlásának módjáról és lehetőségeiről.
Felhasználó jogosult az Adatkezelőhöz intézett írásos bejelentés útján az adatkezeléshez adott hozzájárulását részlegesen vagy teljesen visszavonni, illetve az adatai törlését kérni a tájékoztatóban meghatározott módon.
ADATKEZELŐ MEGNEVEZÉSE
Az adatok kezelését a Ferencvárosi Torna Club végzi.
Adatkezelő adatai
Név: Ferencvárosi Torna Club
Székhely: 1091 Budapest, Üllői út 129.
Cégjegyzékszám: 00 19 709893
E-mail: adatvedelem@fradi.hu
Honlap: https:///www.fradi.hu
Adatvédelmi Tisztviselő elérhetőségei
Név: Dr. Malich Adrienn
Levelezési cím: 1091 Budapest, Üllői út 129. Email: adatvedelem@fradi.hu
Az adatkezelés alapjául szolgáló jogszabályok
-
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.)
-
a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 Rendelet („Rendelet”),
-
a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény
-
a Polgári Törvénykönyvről 2013. évi V. törvény (a továbbiakban: Ptk.).
ADATKEZELÉSI ESETEK
1.Honlapon történő regisztráció
A regisztráció során megadott e-mail cím esetében nem szükséges, hogy az személyes adatot tartalmazzon, ezért például nem szükséges, hogy az e-mail cím a Felhasználó nevét tartalmazza. A Felhasználó szabadon dönthet arról, hogy olyan létező e-mail címet ad-e meg, amely a kilétére utaló információt tartalmaz.
A Honlapon bizonyos szolgáltatások (pl. parkolójegy vásárlása) kizárólag regisztrációt követően vehetők igénybe, más szolgáltatáshoz nem szükséges regisztráció. A Regisztráció előnye egyfajta kényelmi funkció biztosítása azzal, hogy a későbbiekben a vásárlás teljesítéséhez szükséges adatok újbóli megadása nem szükséges a Felhasználó részéről.
1.1.Regisztráció a „Regisztráció” gomb használatával
Kezelt adatok köre, adatkezelés célja:
Kezelt adat
Név
Jelszó
Adatkezelés célja
felhasználó azonosítása
kapcsolattartás és jelszóküldés
biztonságos belépés biztosítása
Opcionálisan kezelt adat
születési idő
nem (nő/férfi)
Adatkezelés célja
felhasználó azonosítása
felhasználó azonosítása
Adatkezelés célja: regisztrációhoz kötött szolgáltatás igénybevételének biztosítása. Olyan szolgáltatás, funkció használata során, mely nem kötött regisztrációhoz a regisztráció a Felhasználó döntésétől függ.
Adatkezelés időtartama: a regisztráció során kötelezően megadott személyes adatok kezelése a regisztrációval kezdődik és annak kérelemre történő törléséig tart. Ha a Felhasználó nem kéri regisztrációjának törlését, úgy Adatkezelő a Honlap megszűnését követő legkésőbb 30 nap elteltével törli rendszeréből a Felhasználó személyes adatait.
Adatkezelés jogalapja: Rendelet 6. cikk (1) bekezdés a) pontja alapján a Felhasználó önkéntes hozzájárulása. Abban az esetben, ha valamely szolgáltatás igénybevételéhez a regisztráció kötelező, úgy az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja alapján jogos érdek.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatkezelés elmaradásának következménye: a Felhasználó nem tudja a regisztrációval együtt járó kényelmi funkciót igénybe venni, nem jogosult felhasználói fiók létrehozására, használatára, illetve nem jogosult regisztrációhoz kötött szolgáltatást igénybe venni.
1.2 Belépés/regisztráció Google fiókkal
Amennyiben a Felhasználó rendelkezik Google fiókkal, úgy a „Bejelentkezés Google-al” gombra kattintva be tud jelentkezni vagy a „Regisztráció Google-el” gombra kattintva regisztrálni tud.
Kezelt adatok köre, adatkezelés célja:
Google fiókkal történő belépés esetén az Adatkezelő az alábbi adatokat veszi át:
Kezelt adat
felhasználó egyedi azonosítója
Adatkezelés célja
felhasználó azonosítása
kapcsolattartás és jelszóküldés
Felhasználó átirányítódik a külső szolgáltató belépési adatbekérő oldalára, ahol a korábban megadott (Google oldalon) regisztrált adatokkal tud belépni az Adatkezelő oldalára. A beírt jelszóadatokhoz az Adatkezelő nem fér hozzá és nem is tárolja.
Adatkezelés további célja: a honlap látogató számára annak biztosítása, hogy az MVM Dome regisztrációs felületére a Felhasználó a már meglévő Google fiókjának adataival regisztráljon
/jelentkezzen be.
Az adatkezelés jogalapja: Rendelet 6. cikk (1) bekezdés a) pontja alapján a Felhasználó önkéntes hozzájárulása. Abban az esetben, ha valamely szolgáltatás igénybevételéhez a regisztráció kötelező, úgy az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja alapján jogos érdek.
Adatkezelés időtartama: a regisztráció során kötelezően megadott személyes adatok kezelése a regisztrációval kezdődik és annak kérelemre történő törléséig tart. Ha a Felhasználó nem kéri regisztrációjának törlését, úgy Adatkezelő a Honlap megszűnését követő legkésőbb 30 nap elteltével törli rendszeréből a Felhasználó személyes adatait.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatkezelés elmaradásának következménye: a Felhasználó kimaradhat a regisztrációval kapcsolatos kényelmi szolgáltatásokból és parkolójegyet sem tud vásárolni.
1.2.Belépés/regisztráció Facebook fiókkal
Amennyiben a Felhasználó rendelkezik Facebook fiókkal, úgy a „Regisztráció Facebookkal” gombra kattintva regisztrálni tud, illetve „Belépés Facebookkal” gombra kattintva be tud jelentkezni a Honlapra. Felhasználó ez esetben átirányítódik a külső szolgáltató belépési adatbekérő oldalára, ahol a korábban megadott (Facebook oldalon) regisztrált adatokkal tud belépni az Adatkezelő oldalára. A beírt jelszóadatokhoz az Adatkezelő nem fér hozzá és nem is tárolja.
Kezelt adatok köre, adatkezelés célja:
Facebook fiókkal történő belépés/regisztráció esetén az Adatkezelő az alábbi adatokat veszi át:
Kezelt adat
felhasználó neve
felhasználó egyedi azonosítója
Adatkezelés célja
felhasználó azonosítása
felhasználó azonosítása
kapcsolattartás és jelszóküldés
Adatkezelés további célja: a honlap látogató számára annak biztosítása, hogy az MVM Dome regisztrációs felületére a Felhasználó a már meglévő Facebook fiókjának adataival regisztráljon
/jelentkezzen be.
Az adatkezelés jogalapja: Rendelet 6. cikk (1) bekezdés a) pontja alapján a Felhasználó önkéntes hozzájárulása. Abban az esetben, ha valamely szolgáltatás igénybevételéhez a regisztráció kötelező, úgy az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés f) pontja alapján jogos érdek.
Adatkezelés időtartama: a regisztráció során kötelezően megadott személyes adatok kezelése a regisztrációval kezdődik és annak kérelemre történő törléséig tart. Ha a Felhasználó nem kéri regisztrációjának törlését, úgy Adatkezelő a Honlap megszűnését követő legkésőbb 30 nap elteltével törli rendszeréből a Felhasználó személyes adatait.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatkezelés elmaradásának következménye: a Felhasználó kimaradhat a regisztrációval kapcsolatos kényelmi szolgáltatásokból és parkolójegyet sem tud vásárolni.
1.3.Regisztráció törlése
A regisztráció törlésére az Adatkezelőnek küldött törlési kérelemmel van lehetőség. A törlési kérelem beérkezése esetén Adatkezelő haladéktalanul törli a Felhasználó felhasználói fiókját valamennyi személyes adatával együtt. A törlés azonban nem érinti a már esetlegesen leadott rendelésekhez kapcsolódó számla megsemmisítését, vagy olyan adatok törlését, amely az Adatkezelő tekintetében jogi kötelezettség teljesítéséhez szükséges (pl. panasz megőrzése 3 évig).
A regisztráció törlése esetén az adatok visszaállítására többé nincs mód.
1.4.Érdekmérlegelési teszt eredménye – kötelező regisztráció esetére
Adatkezelő a jogos érdek mint jogalap miatt érdekmérlegelési tesztet készített, melynek eredménye – elérhető Adatkezelőnél - során Adatkezelő úgy értékelte, hogy a társaság a kötelező regisztráció során megvalósított adatkezelési tevékenysége szorosan kapcsolódik a később megkötött szerződés teljesítéséhez fűződő jogi igények teljesítéséhez, mely mind az Adatkezelő, mind pedig az érintett Felhasználó jogos érdekét szolgálja és megfelel a GDPR 6. cikk (1) bekezdés f) pontjában foglalt jogos érdeknek, illetve az Adatkezelő által nyújtott, érintettek jogait biztosító intézkedések következtében nem sérülnek az érintettek érdekei vagy alapvető jogai és szabadságai oly módon, hogy felülírnák Adatkezelő jogos érdekét. Adatkezelő kezelheti tehát a kötelező regisztráció során megadott személyes adatokat Adatkezelő és az érintettek vásárlási lehetőségének biztosítása, illetve a megkötött szerződés teljesítését követő jogi igények érvényesítése érdekében, mert jogalap tekintetében megfelel a GDPR 6. cikk (1) bekezdés f) pontjának.
2.Parkolójegy vásárlása
Kezelt adatok köre, adatkezelés célja:
Kezelt adat
Név
Parkolójegy vásárlásának időpontja
Cím adatok (irányítószám, város, utca, házszám)
Rendszám
Adatkezelés célja
felhasználó azonosítása, megrendelésének teljesítése
kapcsolattartás, illetőleg a megvásárolt parkolójegy rendelkezésre bocsátása emailben.
A megvásárolt parkolójegy adott időpontban történő használatának biztosítása.
Számlázáshoz szükséges adat.
Autó beléptetéséhez szükséges azonosítás
Parkolójegy vásárlására kizárólag regisztrációt követően van lehetőség. Regisztráció nélkül a Felhasználó parkolójegyet vásárolni nem tud.
Az adatkezelés jogalapja: Rendelet 6. cikk (1) bekezdés b) pontja alapján szerződés teljesítése.
Adatkezelés időtartama: A parkolójegy vásárlással kapcsolatos adatok kezelésére mindaddig sor kerül, amíg a Felhasználó a regisztrációját nem törli, hiszen felhasználói fiókjában a parkolójeggyel összefüggő valamennyi információ mindaddig elérhető, amíg a regisztrációja él. Ha a Felhasználó kéri a regisztrációjának törlését, úgy a 1.4. pontban meghatározott rendelkezések irányadóak.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatkezelés elmaradásának következménye: a Felhasználó parkolójegyet nem tud vásárolni.
3.Online étel- és italrendelés
Kezelt adatok köre, adatkezelés célja:
Kezelt adat
Név
Vásárlásának időpontja
Cím adatok (irányítószám, város, utca, házszám)
Adatkezelés célja
felhasználó azonosítása, megrendelésének teljesítése, számla kötelező tartalmi eleme.
kapcsolattartás, visszaigazolás küldése a leadott megrendeléssel összefüggésben
Az MVM Dome területén meghatározott időpontban megrendezésre kerülő rendezvényeken annak bizosítása, hogy a Felhasználó a megvásárolt ételt/italt megkaphassa.
Megvásárolt termékek köre
A Felhasználó által kért termék rendelkezésre bocsátása.
Számlázáshoz szükséges adat.
A regisztráció nem kötelező, a Felhasználó regisztráció nélkül is tud az MVM Dome területén megrendezésre kerülő eseményeken online módon ételt és italt rendelni.
Adatkezelés jogalapja: Ha a Felhasználó ételt és/vagy italt rendel, úgy a Rendelet 6. cikk (1) bekezdés b) pontja alapján szerződés teljesítése.
Adatkezelés ideje: Ha a Felhasználó rendelkezik felhasználói fiókkal, úgy az étel/ital vásárlással kapcsolatos adatok kezelésére mindaddig sor kerül, amíg a Felhasználó a regisztrációját nem törli, hiszen felhasználói fiókjában a vásárlásával összefüggő valamennyi információ mindaddig elérhető, amíg a regisztrációja él. Ha a Felhasználó kéri a regisztrációjának törlését, úgy a 1.4. pontban meghatározott rendelkezések irányadóak. Ha a Felhasználó nem rendelkezik regisztrációval és a vásárlást ilyen minőségben hajtotta végre, úgy a vásárlással összefüggő adatainak kezelésére a 4. pontban meghatározott ideig kerül megőrzésre a számviteli törvény rendelkezésének megfelelően.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatkezelés elmaradásának következménye: Felhasználó személyes adat megadása nélkül nem tud vásárlás végrehajtani.
4.Számla kiállítása a megrendelésről
Kezelt adatok köre, adatkezelés célja:
Személyes adat
Adatkezelés célja
Név (vezetéknév, keresztnév)
felhasználó azonosítása, számla kötelező tartalmi eleme.
Cím adatok (irányítószám, város, utca, házszám)
számla kötelező tartalmi eleme.
Cégek esetén adószám
számla kötelező tartalmi eleme.
Adatkezelés célja: számlázási kötelezettség teljesítése és számviteli alapelveknek való megfelelés, könyvelés előkészítése, nyilvántartása.
Adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés c) pontja értelmében jogi kötelezettség teljesítése. ( Áfa tv. / 2007. évi CXXVII. törvény az általános forgalmi adóról)
Adatkezelés időtartama: a számla megőrzésére 8 évig kerül sor.
A személyes adatok címzettjeinek kategóriái: adóhatóság, szükség esetén és megkeresés esetén egyéb hatóságok, bíróságok.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatkezelés elmaradásának következménye: Adatkezelő a hatályos magyar jogszabályokban meghatározott jogi kötelezettségét nem tudja teljesíteni.
EU-n kívüli országba nem történik adattovábbítás.
5.Ügyféllevelezés, kapcsolattartás, kapcsolatfelvétel
Kezelt adatok köre, adatkezelés célja: kapcsolatfelvételi platformtól függően:
Személyes adat
Adatkezelés célja
Név (vezetéknév, keresztnév)
felhasználó azonosítása
Email cím
kapcsolatfelvétel, kapcsolattartás a felmerült kérdéssel összefüggésben
Telefonszám
a Felhasználó által megadott egyéb (nem kötelező) adat.
a Felhasználó által megadott egyéb adat, amely szükséges lehet a kérdés megválaszolása során. Nem kötelező megadni egyéb adatot.
Adatkezelés célja továbbá: ha a Felhasználónak a Honlappal, az Adatkezelő szolgáltatásával kapcsolatos kérdése merül fel, a jelen Tájékoztatóban és a Honlap felületén elhelyezett kapcsolatfelvételi űrlapon vagy egyéb elérhetőségeken keresztül kapcsolatba léphet Adatkezelővel. Adatkezelő és a Felhasználó közötti kapcsolattartás és kapcsolatfelvétel lehetővé tételét szolgálja a felmerült kérdéssel összefüggésben.
Adatkezelés ideje: Adatkezelő a hozzá beérkezett e-maileket, postai leveleket a küldő nevével, e- mail címével és más, az üzenetben megadott egyéb személyes adatokkal együtt, az adatközléstől számítva addig kezeli, amíg a Felhasználó kérdését, észrevételét nem sikerült megoldania, megválaszolnia.
Adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja alapján a Felhasználó önkéntes hozzájárulása.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatszolgáltatás elmaradásának lehetséges következményei: ügyféllevelezésen keresztüli kapcsolattartás elmaradása.
EU-n kívüli országba nem történik adattovábbítás.
6.Panasz ügyintézés
Kezelt adatok köre, adatkezelés célja: kapcsolatfelvételi platformtól függően
Személyes adat
Adatkezelés célja
Név (vezetéknév, keresztnév)
felhasználó azonosítása
Email cím
kapcsolatfelvétel, kapcsolattartás a felmerült panasszal összefüggésben
Telefonszám
a Felhasználó által megadott egyéb (nem kötelező) adat.
A panaszban a Felhasználó által megadott egyéb adat, amely szükséges lehet a panasz
kivizsgálása során.
Adatkezelés célja továbbá: ha az Adatkezelő a nyújtott szolgáltatással összefüggésben a Felhasználó panaszát kezeli, úgy az ügyintézés során személyes adatok kezelését is megvalósítja. Az adatkezelés célja a jogszabályi előírásoknak megfelelően panasz ügyintézés megvalósítása, továbbá az Adatkezelő és a Felhasználó közötti kapcsolatfelvétel, kapcsolattartás a felmerült panasszal összefüggésben.
Adatkezelés ideje: a fogyasztóvédelemről szóló 1997. évi CLV. törvényben meghatározott szabályok értelmében Adatkezelő a panaszt 3 évig köteles megőrizni.
Adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés c) pontja alapján a fogyasztóvédelmi törvényben és a Ptk.-ban előírt jogi kötelezettségek teljesítése.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatszolgáltatás elmaradásának lehetséges következményei: panasz intézésének elmaradása, tekintettel arra, hogy személyes adatok megadása nélkül Adatkezelő nem tudja a Felhasználóval az adott ügy kapcsán a kapcsolatot felvenni, tartani és a problémát orvosolni.
EU-n kívüli országba nem történik adattovábbítás.
7.Hírlevél, DM tevékenység
Kezelt adatok köre: vezetéknév, keresztnév, e-mail cím.
Adatkezelés célja: a hírlevél adatbázisban a feliratkozó Felhasználó rögzítése és azonosítása. Feliratkozás esetén Adatkezelő személyre szabott direkt marketing tartalmú hírlevelet küld a Felhasználó részére a Felhasználó által igénybe vett szolgáltatások, vásárlások alapján. Feliratkozás esetén a Adatkezelő – eltérő nyilatkozat, kifogás, tiltakozás hiányában – a Felhasználó által megadott személyes adatait felhasználja annak céljából, hogy Adatkezelő a szolgáltatásairól tájékoztató anyagot, akciót, ajánlatot, tájékoztatást juttasson el.
Adatkezelés ideje: mindaddig kezeli Adatkezelő ezen adatokat, ameddig a Felhasználó le nem iratkozik a hírlevélről a hírlevélben található leiratkozás linkre kattintva vagy amíg nem kéri levételét e-mailben vagy postai úton. Leiratkozás esetén Adatkezelő további hírleveleivel, ajánlataival nem keresi meg a Felhasználót. A hírlevélről a Felhasználó bármikor, korlátozás és indokolás nélkül, térítésmentesen leiratkozhat.
Adatkezelés jogalapja: a Rendelet 6. cikk a) pontja alapján a Felhasználó önkéntes hozzájárulása.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatszolgáltatás elmaradásának lehetséges következményei: a Felhasználó nem kap hírlevelet Adatkezelőtől, illetve az abban foglalt információkhoz, kedvezményes ajánlathoz, akcióhoz nem fér hozzá, arról nem értesül.
EU-n kívüli országba nem történik adattovábbítás.
8.Direkt marketing, közvetlen üzletszerzés
Kezelt adatok köre: vezetéknév, keresztnév, email cím, igénybe vett szolgáltatás.
Adatkezelés célja: Adatkezelő a közvetlen megkeresés módszerével direkt marketing tartalmú hírlevelet küld a Felhasználó részére. Adatkezelő a Felhasználó által megadott személyes adatokat használja fel annak céljából, hogy hasonló vagy ugyanolyan szolgáltatásról, - melyet Felhasználó korábban igénybe vett – tájékoztatást, ajánlatot küldhessen vagy visszajelzést kérhessen a Felhasználótól, az igénybe vett szolgáltatásaival kapcsolatban. Jogos érdek alapján csak abban az esetben kerül sor e-DM küldésére, ha releváns és megfelelő kapcsolat áll fenn a Felhasználó és Adatkezelő között, például, ha a Felhasználó az Adatkezelő ügyfele.
A direkt marketing megkeresés ellen Felhasználó bármikor tiltakozhat, mely esetben Adatkezelő e célból a Felhasználó adatait a továbbiakban nem használja fel.
Adatkezelés jogalapja: Rendelet 6. cikk (1) bekezdés f) pontja alapján Adatkezelő jogos érdeke.
Adatkezelés ideje: Mindaddig felhasználja Adatkezelő a személyes adatokat direkt marketing taralmú hírlevél küldésére, amíg a Felhasználó nem tiltakozik ez ellen.
Adatok forrása: közvetlenül a Felhasználótól felvett.
Adatszolgáltatás elmaradásának lehetséges következményei: Amennyiben Felhasználó leiratkozik vagy tiltakozik az adatkezelés ellen, úgy a továbbiakban nem kap direkt marketing tartalmú hírlevelet Adatkezelőtől.
Érdekmérlegelési teszt eredménye – jogos érdeken alapuló direkt marketing
Adatkezelő a jogos érdek mint jogalap miatt érdekmérlegelési tesztet készített, melynek eredménye – elérhető Adatkezelőnél - során Adatkezelő úgy értékelte, hogy az adatkezelő jogos érdeke arányosan korlátozza az érintettek jogos érdekét. Az érintett személyes adatok kezelése az általános marketing üzenetek, promóciós ajánlatok és tájékoztatók küldéséhez, továbbá az érintett Felhasználók kapcsolódó jogainak biztosításához elengedhetetlenül szükséges, annak kivitelezésére pedig alternatív, kevesebb személyes adat kezelésével járó vagy más módszert követő adatkezelési megoldások nem állnak rendelkezésre.
Figyelembe véve, hogy az Adatkezelő a vele szerződéstkötő (honlapon vásárló) Felhasználó részére küld marketing üzeneteket, így az érintett Felhasználók, mint egyben az Adatkezelő ügyfelei ésszerűen számíthatnak a marketing üzenetek, promóciós ajánlatok, tájékoztatások megküldésének lehetőségére – figyelemmel a GDPR (47) preambulum-bekezdésében írtakra, mely szerint a személyes adatok közvetlen üzletszerzési célú kezelése jogos érdeken alapulónak tekinthető.
I.AZ ADATOKHOZ VALÓ HOZZÁFÉRÉS ÉS AZ ADATBIZTONSÁGI INTÉZKEDÉSEK, ADATTOVÁBBÍTÁS
1.Adatokhoz való hozzáférés, adattovábbítás
-
Adattovábbítás hatóságok részére
A személyes adatokhoz Adatkezelő és az Adatkezelő Adatfeldolgozójának alkalmazottai férhetnek hozzá a feladataik ellátása érdekében.
Adatkezelő csak jogszabályban meghatározott módon és célból adja át az általa kezelt személyes adatokat más szervek, illetve állami szervek számára.
Adatkezelő tájékoztatja a Felhasználót, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az adatkezelőt.
Adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
1.2.Adattovábbítás fizetési szolgáltató részére
Ha a Felhasználó bankkártyás fizetést választ, úgy a Honlapról átirányításra kerül a OTP Mobil Kft. által üzemeltett SimplePay fizetési rendszerébe. Adatkezelő a következő adatokat továbbítja az OTP Mobil Kft. mint adatkezelő részére: fizetendő összeg. Az OTP Mobil Kft. a fizetési folyamat során tudomására jutott, bankkártyás fizetéshez szükséges és a Felhasználó által megadott személyes adatokat nem továbbítja az Adatkezelő részére. Adatkezelőt kizárólag a fizetési tranzakció lezárásáról vagy annak sikertelenségéről tájékoztatja. Az OTP Mobil Kft. csak azon adatok esetében minősül adatfeldolgozónak, mely adatokat az Adatkezelő ad meg a részére. A fizetési oldalon megadott adatok tekintetében az OTP Mobil Kft. adatkezelőként jár el, tekintettel arra, hogy Adatkezelő az ott megadott adatokat nem kapja meg semmilyen formában.
Adattovábbítás célja: a bankkártyás fizetés lebonyolítása, a tranzakció sikeréről vagy sikertelenségéről e-mailben a Felhasználó tájékoztatása, továbbá a Felhasználó védelme érdekében végzett fraud-monitoring (az elektronikus úton kezdeményezett banki tranzakciók kontrollját támogató, csalás felderítő rendszer).
Adattovábbítás jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja alapján a Felhasználó önkéntes hozzájárulása, tekintettel arra, hogy online fizetésre csak abban az esetben van lehetőség, ha a Felhasználó az adatait önként megadja.
A SimplePay fizetési rendszer részletes adatkezelési szabályait az adatvédelmi tájékoztatója tartalmazzal, amely megtalálható a következő linken: https://simple.hu/adatkezelesi-tajekoztato
1.3.Adattovábbítás számla kiállításához
Adattovábbítás történik a számlakiállítás során a számlázóprogram (szamlazz.hu) használatával a KBOSS.hu Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (KBOSS.hu Kft.) részére, amikor Adatkezelő a vásárlásról készült számlát elektronikus úton (email-ben) a szamlazz.hu rendszeréből automatikusan küldi ki.
A számlázóprogramban megadott adatok: Név, cím, cégek esetén adószám. Adattovábbítás célja: Számla kiállítása.
Adattovábbítás jogalapja: a Rendelet 6. cikk (1) bekezdés c) pontja alapján jogi kötelezettség teljesítése.
1.4. Automatizált döntéshozatal
Adatkezelő az adatkezelés során automatizált döntéshozatali eljárást nem alkalmaz.
2.Adatbiztonsági intézkedések
Adatkezelő minden tőle elvárható szükséges intézkedést megtesz az adatok biztonsága érdekében, gondoskodik azok megfelelő szintű védelméről különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Adatkezelő az adatok biztonságáról megfelelő technikai és szervezési intézkedésekkel gondoskodik.
A honlap számítástechnikai rendszere az Adatkezelő Adatfeldolgozójánál, a Sportfive MPA Kft. (székhely: 1091 Budapest, Üllői út 133-135.) szerverein találhatóak meg.
Adatkezelő a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
-
az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
-
hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
-
változatlansága igazolható (adatintegritás);
-
a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
Adatkezelő az adatkezelés során megőrzi
-
a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
-
a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
-
a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
II.ADATFELDOLGOZÁS
Tevékenysége végzése során az Adatkezelő egyes esetekben adatfeldolgozókat vesz igénybe. Az adatfeldolgozók a részükre az Adatkezelő által továbbított és általuk kezelt vagy feldolgozott személyes adatokat a Rendelettel összhangban rögzítik, kezelik, illetve dolgozzák fel, és erről nyilatkozatot tesznek az Adatkezelő részére. Az adatfeldolgozó csak az Adatkezelő utasításának, döntéseinek végrehajtására jogosult.
Az Adatkezelő adatfeldolgozói szerződések alapján, az ott megjelölt módon adja át a szükséges adatokat. Az Adatkezelő adatfeldolgozói Magyarországon rendelkeznek tevékenységi hellyel.
SPORTFIVE MPA Korlátolt Felelősségű Társaság
cím: 1091 Budapest, Üllői út 133-135.
Email: mvm-dome@sportfive.com
Web: https://groupamaarena.com
Adatfeldolgozó tevékenysége: adatbázis üzemeltetése, adatrögzítés, honlap üzemeltetés, hírlevélküldés
Canecom Korlátolt Felelősségű Társaság
cím: 1037 Budapest, Montevideo utca 7.
Email: tamas.ritter@canecom.com
Web: https://canecom.com/
Adatfeldolgozó tevékenysége: informatikai fejlesztő szolgáltatások, adatrögzítés
Kboss Kft.
cím: 1031 Budapest, Záhony utca 7/D.
Email: info@szamlazz.hu
Tel: +36-30-35-44-789
Web: www.szamlazz.hu
Adatfeldolgozó tevékenysége: www.szamlazz.hu számlázó program üzemeltetője
Data Talks AB
cím: Kungsbroplan 3A, 11226 Stockholm, Svédország
Email: info@datatalks.se
Web: www.datatalks.se
Adatbázis üzemeltetés, adatrögzítés, elemzőrendszer, személyreszabott marketingkommunikáció
OTP Mobil Korlátolt Felelősségű Társaság
cím: 1143 Budapest, Hungária krt. 17-19.
Email: informacio@otpbank.hu
Web: https://otpmobil.hu/
Adatfeldolgozó tevékenysége: SimplePay fizetési rendszer üzemeltetője
III.FELHASZNÁLÓT MEGILLETŐ JOGOK
1.Tájékoztatás és a személyes adatokhoz való hozzáférés
Felhasználó a fent megadott elérhetőségeken keresztül, írásban tájékoztatást kérhet Adatkezelőtől, hogy Adatkezelő tájékoztassa:
-
milyen személyes adatait,
-
milyen jogalapon,
-
milyen adatkezelési cél miatt,
-
milyen forrásból,
-
mennyi ideig kezeli,
Adatkezelő kinek, mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait.
Adatkezelő az információkat széles körben használt elektronikus formátumban adja meg Felhasználó részére, kivéve, ha a Felhasználó azt nem írásban, papíralapon kéri. Szóbeli tájékoztatást telefonon keresztül Adatkezelő nem ad.
Adatkezelő a személyes adatok másolatát (személyesen az ügyfélszolgálaton) első alkalommal ingyenesen biztosítja Felhasználó részére. Adatkezelő által kért további másolatokért Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha a Adatkezelő elektronikus úton kéri a másolat kiadást úgy, az információkat e-mailben, széles körben használt elektronikus formátumban bocsátja Adatkezelő rendelkezésére.
Felhasználó a tájékoztatást követően, amennyiben az adatkezeléssel, a kezelt adatok helyességével nem ért egyet úgy a IV. pontban meghatározottak szerint kérelmezheti a rá vonatkozó személyes adatok helyesbítését, kiegészítését, törlését, kezelésének korlátozását, tiltakozhat az ilyen személyes adatok kezelése ellen, illetve a IV. pontban meghatározott eljárást kezdeményezhet.
2.Kezelt személyes adatok helyesbítéséhez, kiegészítéséhez való jog
Felhasználó írásbeli kérelmére Adatkezelő indokolatlan késedelem nélkül helyesbíti Felhasználó által, írásban megjelölt pontatlan személyes adatokat, illetve a hiányos adatok kiegészítését elvégzi Felhasználó által megjelölt tartalommal. Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, kiegészítésről, akivel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Felhasználó e címzettek adatairól tájékoztatja, ha ezt írásban kérelmezi.
3.Adatkezelés korlátozáshoz való jog
Felhasználó írásbeli kérelem útján kérheti Adatkezelőtől adatai kezelésének korlátozását, ha a
-
Felhasználó vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy Adatkezelő ellenőrizze a személyes adatok pontosságát,
-
az adatkezelés jogellenes, és a Felhasználó ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
-
Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de a
Felhasználó igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
-
Felhasználó tiltakozik az adatkezelés ellen: ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy Adatkezelő jogos indokai elsőbbséget élveznek-e a Felhasználó jogos indokaival szemben.
Korlátozással Felhasználó személyes adatokat a tárolás kivételével csak Felhasználó hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet ez idő alatt kezelni. Adatkezelő a Felhasználót, akinek kérelmére korlátozta az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
4.Törléshez (elfeledtetéshez) való jog
Felhasználó kérésére Adatkezelő indokolatlan késedelem nélkül törli az Felhasználóra vonatkozó személyes adatokat, ha a meghatározott indokok valamelyike fennáll:
-
a személyes adatokra már nincs szükség abból a célból, amelyből azokat Adatkezelő gyűjtötte vagy más módon kezelte;
-
Felhasználó visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
-
Felhasználó saját helyzetével kapcsolatos okokból tiltakozik az adatkezelés ellen, és nincs jogszerű ok az adatkezelésre,
-
Felhasználó tiltakozik a rá vonatkozó személyes adatok közvetlen üzletszerzés célból történő adatainak kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik,
-
a személyes adatokat Adatkezelő jogellenesen kezeli;
-
a személyes adatok gyűjtésére közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Felhasználó a törléshez, elfeledtetéshez való jogával nem élhet, ha az adatkezelés szükséges
-
a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
-
népegészségügy területét érintő közérdek alapján;
-
a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog gyakorlása lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést;
-
jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.Adathordozhatósághoz való jog
Ha az adatkezelés szerződés teljesítéséhez szükséges, vagy az adatkezelés a Felhasználó önkéntes hozzájárulásán alapul, a Felhasználónak joga van arra, hogy kérje, hogy a Felhasználó által az Adatkezelő részére megadott adatokat gépileg értelmezhető formában megkapja. Ha technikailag megvalósítható, akkor kérheti, hogy az adatokat más adatkezelő számára továbbítsuk. Minden esetben a Felhasználó által átadott adatokra korlátozódik a jogosultság, egyéb adatok hordozhatóságára lehetőség nincs. (pl. statisztika stb.)
A Felhasználó a rá vonatkozó, Adatkezelő rendszerében megtalálható (pl. hírlevél feliratkozás során) személyes adatokat:
-
tagolt, széles körben használt, géppel olvasható formátumban megkapja,
-
jogosult más adatkezelőhöz továbbítani,
-
kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz – ha ez technikailag megvalósítható Adatkezelő rendszerében.
Adatkezelő az adathordozhatóságra vonatkozó kérelmet kizárólag emailben vagy postai úton írt írásbeli kérelem alapján teljesíti. A kérelem teljesítéséhez szükséges, hogy Adatkezelő meggyőződjön arról, hogy valóban az arra jogosult a Felhasználó kíván élni e jogával. Felhasználó e jog keretében azon adatok hordozhatóságát igényelheti, melyet saját maga adott meg Adatkezelő részére. A jog gyakorlása nem jár automatikusan az adatnak Adatkezelő rendszereiből való törlésével, ezért a Felhasználó e jogának gyakorlását követően is Adatkezelő rendszereiben nyilvántartásra kerül, kivéve, ha kéri adatainak törlését is.
6.Tiltakozás személyes adatok kezelése ellen
A Felhasználó az Adatkezelőhöz intézett nyilatkozatával tiltakozhat személyes adatai kezelése ellen, ha az adatkezelés jogalapja
-
a GDPR 6. cikk. (1) bekezdés e) pontja szerinti közérdek vagy
-
a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek.
Tiltakozási jog gyakorlása esetén Adatkezelő nem kezelheti tovább a személyes adatokat, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Felhasználó érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Annak megállapítása kapcsán, hogy az adatkezelést kényszerítő erejű jogos okok indokolják, Adatkezelő dönt. Az ezzel kapcsolatos álláspontjáról véleményben tájékoztatja a Felhasználót.
A Felhasználó tiltakozni írásban (e-mailben vagy postai úton) illetve hírlevél esetén a hírlevélben található leiratkozás linkre kattintva is tud.
7.Az elhunyt érintett Felhasználót megillető jogok más által történő érvényesítése
Az érintett Felhasználó halálát követő öt éven belül az elhaltat életében megillető jogokat, mint a hozzáféréshez, helyesbítéshez, törléshez, az adatkezelés korlátozásához, adathordozhatósághoz és tiltakozáshoz való jogát az elhunyt által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az Adatkezelővel tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. Ha az elhunyt az Adatkezelőnél több ilyen nyilatkozatot tett, a későbbi időpontban tett nyilatkozatban megnevezett személy érvényesítheti e jogokat.
Ha az elhunyt nem tett ilyen tartalmú nyilatkozatot, akkor az elhaltat életében megillető és előző bekezdésben meghatározott jogokat az érintett Polgári Törvénykönyv szerinti közeli hozzátartozója érvényesítheti az érintett halálát követő öt éven belül (több közeli hozzátartozó esetén az a közeli hozzátartozó jogosult érvényesíteni a fenti jogokat, aki ezen jogosultságát elsőként gyakorolja).
Közeli hozzátartozónak a Ptk. 8:1. § (1) 1. pontja szerint a házastárs, az egyeneságbeli rokon, az örökbefogadott, a mostoha- és a nevelt gyermek, az örökbefogadó-, a mostoha- és a nevelőszülő és a testvér. Az elhunyt közeli hozzátartozója igazolni köteles:
-
az elhunyt érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint
-
saját személyazonosságát – valamint amennyiben szükséges közeli hozzátartozói minőségét – közokirattal igazolja.
Az elhunyt jogait érvényesítő személyt e jogok érvényesítése – így különösen az Adatkezelővel szembeni, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetve bíróság előtti eljárás során - az Infotv. és a Rendelet szerinti, - az elhunytat életében megillető jogok illetik meg és kötelezettségek terhelik.
Adatkezelő írásbeli kérelemre köteles tájékoztatni a közeli hozzátartozót a megtett intézkedésről, kivéve, ha azt az elhunyt nyilatkozatában ezt kifejezetten megtiltotta.
8.Kérelem teljesítésének határideje
Adatkezelő indokolatlan késedelem nélkül, de mindenképp a kérelem beérkezésétől számított egy hónapon belül tájékoztatja a Felhasználót a hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható, de ez esetben a késedelem okainak megjelölésével Adatkezelő a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja a Felhasználót, valamint arról, hogy a Felhasználó panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Ha a Felhasználó kérelme egyértelműen megalapozatlan vagy túlzó (különösen az ismétlődő jellegre figyelemmel) Adatkezelő a kérelem teljesítéséért észszerű mértékű díjat számíthat fel vagy megtagadhatja kérelem alapján történő az intézkedést. Ennek bizonyítása Adatkezelőt terheli.
Ha a Felhasználó elektronikus úton nyújtotta be a kérelmet, a tájékoztatást Adatkezelő elektronikus úton adja meg, kivéve, ha azt a Felhasználó másként kéri.
Az Adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Felhasználót kérésére az Adatkezelő tájékoztatja e címzettekről.
9.Kártérítés és sérelemdíj
Minden olyan személy, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az Adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Az Adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
IV.JOGÉRVÉNYESÍTÉSI LEHETŐSÉGEK
Felhasználó jogait e-mailben vagy postai úton küldött írásbeli kérelemben gyakorolhatja.
Felhasználó jogait érvényesíteni nem tudja, ha Adatkezelő bizonyítja, hogy nincs abban a helyzetben, hogy azonosítsa Felhasználót. Ha Felhasználó kérelme egyértelműen megalapozatlan vagy túlzó (különösen az ismétlődő jellegre figyelemmel) Adatkezelő a kérelem teljesítéséért észszerű mértékű díjat számíthat fel vagy megtagadhatja az intézkedést. Ennek bizonyítása Adatkezelőt terheli. Ha Adatkezelő részéről kétség merül fel a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, a kérelmező személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
Felhasználó az Info.tv., a Rendelet, valamint a Ptk. alapján
-
Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1055 Budapest, Falk Miksa utca 9-11.; www.naih.hu) fordulhat vagy
-
Bíróság előtt érvényesítheti jogait. A per – a Felhasználó választása szerint – a lakóhelye szerinti törvényszék előtt is megindítható (a törvényszékek felsorolását és elérhetőségét az alábbi linken keresztül tekintheti meg: http://birosag.hu/torvenyszekek).
V.ADATVÉDELMI INCIDENSEK KEZELÉSE
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, a felügyeleti hatóság tájékoztatása, valamint Felhasználó tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az incidenssel érintett személyes adatok körét, az érintettek körét és számát, az incidens időpontját, körülményeit, hatásait, az elhárítására megtett intézkedéseket. Adatkezelő incidens bekövetkezése esetén – kivéve, ha nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve - indokolatlan késedelem nélkül, de legfeljebb 72 órán belül tájékoztatja Felhasználót és a felügyeleti hatóságot az adatvédelmi incidensről.
VI.BIZTONSÁGI MENTÉSEK KEZELÉSÉNEK RENDJE
Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (biztonsági mentés).
Ennek megfelelően Adatfeldolgozó - az elektronikusan tárolt adatok elvesztésének megakadályozása érdekében – a személyes adatokat tartalmazó adatbázisának adataiból rendszeresen, naponta háromszor külön adathordozóra biztonsági mentést készít.
A honlap szerverről készült biztonsági mentések tárolásának helye az Adatkezelő székhelye. A biztonsági mentések tárolásának időtartama: 5 év.
A biztonsági mentések törlésének rendje: anonimizált nyilvántartásban az egyedi törlések nyomon követhetőek, az automatikus törlések pedig beállítás alapján zajlanak.
A biztonsági mentéshez való hozzáférés: A biztonsági mentésekhez való hozzáférés korlátozott, csak meghatározott jogosultsággal rendelkező személyek férhetnek hozzá. Az adatokhoz kizárólag megfelelő személyazonosítás után lehet hozzáférni (legalább felhasználónév és jelszó).
VII.EGYÉB RENDELKEZÉSEK
Adtakezelő fenntartja a jogot, hogy jelen Adatkezelési Tájékoztatót a honlapot használó Felhasználók honlapján keresztül történő előzetes értesítése mellett, egyoldalúan módosítsa. A módosítások az értesítésben megjelölt napon lépnek hatályba a Felhasználóval szemben, kivéve, ha a módosítások ellen a Felhasználó tiltakozik.
Amennyiben a Felhasználó a szolgáltatás igénybevételéhez a hírlevélre történő feliratkozás vagy egyéb célból megadott adatai során harmadik fél adatait adta meg, vagy a honlap használata során bármilyen módon kárt okozott, Adtakezelő jogosult a Felhasználóval szembeni kártérítés érvényesítésére.
Adatkezelő a neki megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó személy felel. Bármely Felhasználó személyes adatainak megadásakor egyben felelősséget vállal azért, hogy a megadott adatok a valóságnak megfelelnek, saját személyes adatai és ezek felhasználásával kizárólag ő vesz igénybe szolgáltatást.
Jelen Adatkezelési Tájékoztató hatályba lépésének időpontja: 2022. április 19.
PRIVACY POLICY
For the visitors of the www.mvm-dome.hu website
The Controller shall pay particular attention to processing personal data in accordance with the provisions of Regulation (EU) 2016/679 of the EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (“Regulation” or "GDPR").
In connection with the processing of data, the Controller hereby informs the visitors of the above referred website (“Website”) (the visitors of the Website are hereinafter referred to as "User(s)" or "Data Subject(s)") about the personal data processed by the Controller, the principles and practices followed in the course of processing of personal data, and the ways and means of exercising the User's rights.
The User shall have the right to withdraw his or her consent to data processing or to request the erasure of his or her data by written notice to the Controller and to exercise his or her other data processing rights and remedies as set out in this Policy.
CONTACT DETAILS OF THE CONTROLLER
The personal data are processed by Ferencvárosi Torna Club
Contact details of the Controller
Name: Ferencvárosi Torna Club
Seat: 1091 Budapest, Üllői út 129.
Registration number: 00 19 709893
E-mail address: adatvedelem@fradi.hu
Site: https://www.fradi.hu
Contact details of data protection officer
Name: Dr. Malich Adrienn
Postal address: 1091 Budapest, Üllői út 129. E-mail address: adatvedelem@fradi.hu
Laws particularly relevant for the data processing
-
Act Nr. CXII on Informational Self-Determination and the Freedom of Information („Hungarian Data Protection Act”),
-
Regulation (EU) 2016/679 of the EUROPEAN PARLIAMENT AND OF THE
COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation; GDPR),
-
Act Nr. XLVIII of 2008 on the Basic Conditions and Certain Limitations of Commercial Advertising Activities,
-
Act Nr. V of 2013 on the Hungarian Civil Code (“Hungarian Civil Code” or “Civil Code”),
-
Act CLV of 1997 on Consumer Protection (“Consumer Protection Act”).
I.DATA PROCESSING OPERATIONS
1.Registration on the Website
The e-mail address provided during registration does not need to contain any personal data, for example, it is not necessary that the e-mail address contains the name of the User. The User is free to choose whether or not to provide an existing e-mail address that contains information indicating his/her identity.
On the Website, certain services (e.g. purchase of parking tickets) are only available after registration, other services do not require registration. The advantage of registration is to provide a convenience feature by not requiring the User to re-enter the data necessary to complete the purchase at a later stage.
1.1.Registration by using the “Registration” button
Scope of data processed, the purpose of processing:
Data processed
Name
E-mail address
Password
Purpose of processing
Identification of the User
Contact and sending out password
Safe login
Optionally processed data
Date of birth
Sex (male/female)
Purpose of processing
Identification of the User
Identification of the User
Purpose of processing: to ensure the use of the service related to registration. When using a service or function that does not require registration, registration is at the User's discretion.
Legal basis of processing: Article 6(1)(a) of the Regulation, the User's voluntary consent. In the case where registration is mandatory for the use of a service, the legal basis for processing is Article 6(1)(f) of the Regulation.
Duration of processing: the processing of personal data provided during registration starts with registration and continues until its deletion upon request. If the User does not request the deletion of his/her registration, the Controller shall delete the User's personal data from its system no later than 30 days after the termination of the Website.
Source of data: directly collected from the User.
Consequence of non-processing: the User is not able to use the convenience function associated with registration, is not entitled to create or use a user account and is not entitled to use a service linked to registration.
1.2.Login/registration with Google account
If you have a Google Account, you can log in by clicking on the "Login with Google" button or register by clicking on the "Register with Google" button.
Scope of data processed, the purpose of processing:
If you log in/register with a Google account, the Controller will receive the following data:
Data processed
Unique identification of the User
E-mail address
Purpose of processing
Identification of the User
Contact and sending out password
The User will be redirected to the login request page of the external service provider, where the previously provided (on Google) registered data can be used to access the Controller's website. The password data entered will not be accessed or stored by the Controller.
Purpose of processing: to ensure that the website visitor can register/login to the MVM Dome registration interface with the data of his/her existing Google account.
Legal basis of processing: pursuant to Article 6(1)(a) GDPR, the voluntary consent of the User. In the case where registration is mandatory for the use of a service, the legal basis for processing is Article 6(1)(f) of the Regulation.
Duration of processing: the processing of personal data provided during registration starts with registration and continues until its deletion upon request. If the User does not request the deletion of his/her registration, the Controller shall delete the User's personal data from its system no later than 30 days after the termination of the Website.
Source of data: directly collected from the User.
Consequence of non-processing: the User may not be able to use the services of convenience related to the registration and may not be able to purchase a parking ticket.
1.3.Login/registration with Facebook account
If the User has a Facebook account, he/she can register by clicking on the "Register with Facebook" button or log in to the Website by clicking on the "Login with Facebook" button. In this case, the User will be redirected to the login request page of the external service provider, where he/she can access the Controller's Website with the previously provided (Facebook page) registered data. The password data entered will not be accessed or stored by the Data Controller.
Scope of data processed, the purpose of processing:
If you log in/register with a Facebook account, the Controller will receive the following data:
Data processed
Username
Unique identification of the User
E-mail address
Purpose of processing
Identification of the User
Identification of the User
Contact and sending out password
Other purpose of processing: to ensure that the Website visitor (User) can register/login to the MVM Dome registration interface with the data of his/her existing Facebook account.
Legal basis of processing: voluntary consent of the User pursuant to Article 6(1)(a) of the Regulation. In the case where registration is mandatory for the use of a service, the legal basis for processing is Article 6(1)(f) of the Regulation.
Duration of processing: the processing of personal data provided as mandatory during registration starts with registration and continues until its deletion upon request. If the User does not request the deletion of his/her registration, the Data Controller shall delete the User's personal data from its system no later than 30 days after the termination of the Website.
Source of data: directly collected from the User.
Consequence of non-processing: the User may not be able to use the services of convenience related to the registration and may not be able to purchase a parking ticket.
1.4.Cancellation of registration
Registration can be cancelled by sending a cancellation request to the Controller. Upon receipt of the cancellation request, the Controller shall immediately delete the User's user account together with all personal data. However, the deletion shall not affect the destruction of any invoice related to orders already placed or the deletion of data necessary for the fulfilment of a legal obligation with regard to the Controller (e.g. retention of a complaint for 3 years).
In case of cancellation of the registration, it is no longer possible to restore the data.
1.5.Results of the interest test - in case of compulsory registration
The Controller carried out an interest balancing test for the legal basis of legitimate interest, with respect to the result of which - available at the Controller - the Controller assessed that the data processing activities of the Controller during the mandatory registration are closely related to the fulfilment of the legal interests concerning the performance of the subsequently concluded contract, which serves as the legitimate interests of both the Controller and the User concerned and complies with Article 6(1)(f) of the GDPR, and the measures taken by the Controller to safeguard the rights of Data Subjects do not adversely affect the interests or fundamental rights and freedoms of Data Subjects in such a way as to override the legitimate interests of the Controller. The Controller may therefore process the personal data provided during the mandatory registration in order to ensure the possibility for the Controller and the Data Subjects to make purchases or to enforce legal claims following the performance of a contract concluded, because it complies with Article 6(1)(f) of the GDPR in terms of the legal basis.
2.Purchase of parking tickets
Scope of data processed, the purpose of processing:
Data processed
Name
E-mail address
Date of purchasing the parking ticket
Address details (postcode, city, street, house number)
License plate
Purpose of processing
Identification of the User, order fulfillment
Contact and providing the purchased parking ticket by email.
Ensuring the use of the purchased parking ticket at a given time.
Data necessary for billing
Identification necessary for car entry
Parking tickets can only be purchased after registration. Without registration, the User cannot purchase a parking ticket.
Legal basis of processing: performance of a contract pursuant to Article 6(1)(b) of the Regulation.
Duration of processing: data relating to the purchase of parking tickets are processed until the User cancels his/her registration, as all information relating to the parking ticket is available in his/her account for as long as his/her registration is active. If the User requests the deletion of his/her registration, the provisions set out in point 1.4 shall apply.
Source of data: directly collected from the User.
Consequence of non-processing: the User will not be able to purchase a parking ticket.
3.Online food and beverage delivery
Scope of data processed, the purpose of processing:
Data processed
Name
E-mail address
Date of purchase
Scope of purchased products
Address data (postal code, city, street, house number)
Purpose of processing
Identification of the User, fulfilment of the order, mandatory content of the invoice.
Contact, sending confirmation of the order placed.
Ensuring that the User can receive the food/drink purchased at events held in the MVM Dome at a specified time.
Provision of the product requested by the User.
Data required for invoicing.
Registration is not compulsory, and the User can order food and beverages online at events in the MVM Dome without registration.
Legal basis of processing: if the User orders food and/or beverages, the legal basis for processing is the performance of a contract pursuant to Article 6(1)(b) of the Regulation.
Duration of processing: if the User has a user account, the data relating to the purchase of food/drinks will be processed until the User cancels his/her registration, as all the information relating to his/her purchase will be available in his/her user account for as long as his/her registration is active. If the User requests the deletion of his/her registration, the provisions set out in point 1.4 shall apply. If the User does not have a registration and has made the purchase in such capacity, the data relating to the purchase will be kept for the period specified in point 4, in accordance with the provisions of the Accounting Act.
Source of data: collected directly from the User.
Consequence of non-processing: the User cannot make a purchase without providing personal data.
4.Issuing an invoice related to the order
Scope of data processed, the purpose of processing:
Data processed
Name (family name, given name)
Address data (postal code, city, street, house number)
Tax number in case of companies
Purpose of processing
Identification of the Usermandatory content of the invoice.
Mandatory content of the invoice.
Mandatory content of the invoice.
Purpose of processing: to fulfil invoicing obligations and to comply with accounting principles, to prepare and keep records.
Legal basis for processing: fulfilment of a legal obligation pursuant to Article 6(1)(c) of the Regulation (VAT Act / Act CXXVII of 2007 on Value Added Tax and Act Nr. C of 2000 on Accounting).
Duration of processing: the invoice is kept for 8 years.
Categories of recipients of personal data: tax authorities, other authorities and courts, if necessary and upon request.
No transfer of data to countries outside the EU. Source of data: collected directly from the User.
Consequences of non-processing: the Controller is unable to fulfil its legal obligations under applicable Hungarian law.
5.Client communication, contacting
Scope of data processed, the purpose of processing:
Data processed
Name (family name, given name)
E-mail address
Telephone number
Other (non-mandatory) data provided by the User
Purpose of processing
Identification of the User.
Contacting, liaising on the issue raised.
Contacting, liaising on the issue raised.
Other information provided by the User which may be necessary to answer the question. You are not obliged to provide any other information.
The other purpose of processing: if the User has a question about the Website or the Controller's services, he/she can contact the Controller through the contact form or other contact details
provided in this Notice and on the Website. The purpose is to enable the Data Controller to contact the User and to contact the User in connection with the issue raised.
Legal basis of processing: voluntary consent of the User pursuant to Article 6(1)(a) of the Regulation.
Period of processing: the Controller shall process the e-mails and postal letters received by it, together with the name and e-mail address of the sender and other personal data provided in the message, from the moment of data disclosure until the User's question or comment has been resolved or answered or until the User withdraws his/her consent.
Source of data: collected directly from the User.
Consequences of non-processing: non-supply of contact via customer correspondence.
No data will be transferred to countries outside the EU.
6.Complaint management
Scope of data processed, the purpose of processing:
Data processed
Name (family name, given name)
E-mail address
Telephone number
Other (non-mandatory) data provided by the User
Purpose of processing
Identification of the User.
Contacting, liaising on the complaint raised.
Contacting, liaising on the complaint raised.
Other information provided by the User in the complaint that may be necessary to investigate the complaint.
The other purpose of processing: if the Controller handles the User's complaint in connection with the service provided, it also handles personal data in the course of the administration. The purpose of data processing is to handle complaints in accordance with the legal requirements, and to ensure contact and communication between the Controller and the User in connection with the complaint.
Legal basis of processing: to fulfil legal obligations under Article 6(1)(c) of the Regulation, as provided for in the Consumer Protection Act and the Civil Code.
Duration of processing: according to the rules set out in Act CLV of 1997 on Consumer Protection, the Data Controller is obliged to keep the complaint for 3 years.
Data source: directly collected from the User.
Consequences of non-processing: failure to deal with a complaint, given that without the provision of personal data the Controller is unable to contact the User in relation to the matter in question, to maintain contact and to remedy the problem.
No data will be transferred to a country outside the EU.
7.Newsletter, DM activity
Scope of data processed: family name, given name, e-mail address, the services and purchases made by the User.
Purpose of processing: to record and identify the subscribing User in the newsletter database. In case of subscription, the Controller sends a personalized newsletter with direct marketing content to the User based on the services and purchases made by the User. In the case of subscription, the Controller shall use the personal data provided by the User - unless otherwise stated, objected or objected to - for the purpose of sending information material, promotions, offers and information about its services.
Legal basis of processing: voluntary consent of the User pursuant to Article 6(a) of the Regulation.
Duration of processing: the Controller processes these data until the User unsubscribes from the newsletter by clicking on the unsubscribe link in the newsletter or until the User requests to unsubscribe by e-mail or post. In case of unsubscribing, the Controller will not contact the User with further newsletters or offers. The User may unsubscribe from the newsletter at any time, without restriction and without giving reasons, free of charge.
Source of data: collected directly from the User.
Consequences of non-processing: the User does not receive newsletters from the Controller, or does not have access to the information contained therein, or to discount offers or promotions, or is not informed about them.
No data will be transferred to countries outside the EU.
8.Newsletter, DM activity
Scope of data processed: surname, first name, email address, service used.
Purpose of processing: the Controller uses the personal data provided by the User for the purpose of sending information, offers or feedback on similar or the same services previously used by the User in relation to the services used. On the basis of legitimate interest, an e-DM will only be sent if there is a relevant and appropriate relationship between the User and the Controller, for example, if the User is a customer of the Controller.
The User may object to direct marketing at any time, in which case the Controller will no longer use the User's data for this purpose.
Legal basis of processing: legitimate interest of the Controller pursuant to Article 6(1)(f) of the Regulation.
Duration of processing: the Controller will use the personal data to send direct marketing newsletters until the User objects.
Source of data: collected directly from the User.
Consequences of non-processing: if the User unsubscribes or objects to the processing, he/she will no longer receive direct marketing newsletters from the Controller.
Results of the interest test - direct marketing based on legitimate interest
The Controller has carried out an interest balancing test on the basis of legitimate interest as a legal basis, the result of which, available from the Controller, has led the Controller to assess that
the legitimate interest of the Controller is a proportionate restriction of the legitimate interest of the Data Subjects. The processing of the personal data concerned is indispensable for the sending of general marketing messages, promotional offers and information and for the related rights of the Users concerned, and there are no alternative data processing solutions available that involve the processing of less personal data or that follow a different methodology.
Taking into account that the Controller sends marketing messages to the Users who have entered into a contract with it (who have purchased on the website), the Users concerned, as also customers of the Controller, can reasonably expect the possibility of receiving marketing messages, promotional offers and information, taking into account the provisions of Recital (47) of the GDPR, according to which the processing of personal data for direct marketing purposes can be considered to be based on legitimate interest.
II.DATA TRANSFER
1.Access to data, data transfer
-
Data transfer to authorities
Personal data may be accessed by employees of the Controller and the Processor of the Controller in order to perform their tasks.
The Controller shall only transfer personal data processed by it to other bodies or public authorities in the manner and for the purposes specified by law.
The Controller informs the User that the competent court, the prosecutor, the investigating authority, the law enforcement authority, other administrative authorities acting in a given case, in particular the National Authority for Data Protection and Freedom of Information, or other bodies authorized by law may contact the Controller to provide information, to disclose or transfer data, or to make documents available.
The Controller shall disclose personal data to the competent authority referred to above only to the extent and to the extent strictly necessary for the purpose of fulfilling the purpose of the request or complying with a legal obligation or a binding provision of a judicial or administrative decision, provided that the authority has indicated the precise purpose and scope of the data.
1.2.Data transfer to payment service provider
If the User chooses to pay by credit card, the User will be redirected from the Website to the SimplePay payment system operated by OTP Mobil Kft. The following data is transmitted by the Controller to OTP Mobil Kft. as the data controller: the amount to be paid. OTP Mobil Kft. will not transmit to the Controller any personal data provided by the User and obtained during the payment process, which are necessary for payment by credit card. The Controller is only informed of the completion or failure of the payment transaction. OTP Mobil Kft. shall be considered a data processor only in the case of the data provided to it by the Controller. With regard to the data provided on the payment page, OTP Mobil Kft. acts as a sole controller, given that the Controller does not receive the data provided there in any form.
The purpose of the data transfer is to process the payment by credit card, to inform the User by e-mail of the success or failure of the transaction, and fraud monitoring for the protection of the User.
Legal basis for the transfer of data: the User's voluntary consent pursuant to Article 6(1)(a) of the Regulation, given that online payment is only possible if the User provides his/her data voluntarily.
The detailed data processing rules of the SimplePay payment system are set out in its privacy policy, which can be found at the following link: https://simple.hu/adatkezelesi-tajekoztato
1.3.Data transfer related to the issuance of invoice
Data is transferred during the invoicing process using the invoicing software (szamlazz.hu) to KBOSS.hu Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (KBOSS.hu Kft.), when the Controller sends the invoice for the purchase automatically by electronic means (email) from the szamlazz.hu system.
Data provided in the invoicing software: name, address, tax number in case of companies. Purpose of data transfer: issuing an invoice.
Legal basis of the data transfer: to fulfil a legal obligation pursuant to Article 6(1)(c) of the Regulation.
III.PROCESSORS
In carrying out its activities, the Controller may in some cases use data processors (“Processor(s)”). Processors shall process the personal data transferred to them by the Controller and processed by them in accordance with the GDPR and shall make a declaration to the Controller to that effect. The Processor shall only be entitled to implement the instructions and decisions of the Controller.
The Controller shall provide the necessary data on the basis of data processing contracts and in the manner specified therein. The Processors of the Controller are established in Hungary.
SPORTFIVE MPA Korlátolt Felelősségű Társaság
Address: 1091 Budapest, Üllői út 133-135.
Email: mvm-dome@sportfive.com
Web: https://groupamaarena.com
Processor activities: database operation, data recording, website operation, sending newsletters.
Data Talks AB
Address: Kungsbroplan 3A, 11226 Stockholm, Sweden
Email: info@datatalks.se
Web: www.datatalks.se
Processor activities: Database operations, data capture, analytics, personalised marketing communications
Canecom Korlátolt Felelősségű Társaság
Address: 1037 Budapest, Montevideo utca 7.
Email: tamas.ritter@canecom.com
Web: https://canecom.com/
Processor activity: IT development, data recording.
Kboss Kft.
Address: 1031 Budapest, Záhony utca 7/D.
Email: info@szamlazz.hu
Tel: +36-30-35-44-789
Web: www.szamlazz.hu
Processor activity: operator of the billing software www.szamlazz.hu.
OTP Mobil Korlátolt Felelősségű Társaság
Address: 1143 Budapest, Hungária krt. 17-19.
Email: informacio@otpbank.hu
Web: https://otpmobil.hu/
Processor activity: operator of the SimplePay payment system.
IV.DATA PROTECTION RIGHTS AND REMEDIES
1.Information on data processing and right of access
The User may request information from the Controller through the contact details provided above, in writing (including by e-mail or post) and the Controller shall provide information on the following:
-
the scope of data processed,
-
the legal basis of processing,
-
the purpose of processing,
-
the source of data,
-
the period for which the personal data will be stored,
-
To whom, when, on the basis of which legal provision, what scope of personal data the Controller granted access or to whom the Controller transferred personal data.
The Controller shall provide the information to the User in a commonly used electronic form, unless the User requests it in written form. The Controller does not provide verbal information over the telephone, given that the proper identification of the Data Subjects cannot be ensured in this way.
The Controller will provide the User with a copy of the personal data free of charge for the first time. For any further copies requested by the Data Subject, the Controller may charge a reasonable fee based on administrative costs. Where the Data Subject requests a copy by electronic means, the Controller shall provide the information to the Data Subject by e-mail in a commonly used electronic format.
2.Right to rectification
The User shall have the right to obtain from the Controller without undue delay the rectification of inaccurate personal data concerning him or her (based on the request of the User in writing (including by e-mail or post). The Controller shall inform any recipient to whom the personal data have been disclosed of the rectification or supplement, unless this proves impossible or involves a disproportionate effort. Upon request, the User will be informed of the contact details of these recipients.
3.Right to restriction of processing
The User shall have the right to obtain from the Controller restriction of processing where one of the following applies:
-
the accuracy of the personal data is contested by the User, for a period enabling the Controller to verify the accuracy of the personal data,
-
the processing is unlawful and the User opposes the erasure of the personal data and requests the restriction of their use instead,
The Controller no longer needs the personal data for the purposes of processing, but the User requires it for the establishment, exercise or defence of legal claims,
-
the User objects to the processing: in this case, the restriction applies for the period until it is established whether the legitimate grounds of the Controller prevail over the legitimate grounds of the User.
Where processing has been restricted, such personal data shall, with the exception of storage, only be processed with the User’s consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State. A User who has obtained restriction of processing shall be informed by the Controller before the restriction of processing is lifted.
4.Right to erasure (‘right to be forgotten’)
The User shall have the right to obtain from the Controller the erasure of personal data concerning him or her without undue delay and the Controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:
-
the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
-
the User withdraws the consent on which the processing is based and there is no other legal basis for the processing;
-
the User objects to the processing for reasons relating to his or her particular situation and there are no legitimate grounds for the processing,
-
the User objects to the processing of personal data concerning him or her for direct marketing purposes, including profiling, where it is related to direct marketing,
-
the personal data have been unlawfully processed;
-
personal data were collected in connection with the provision of information society services directly to children.
The User may not exercise his or her right to erasure or blocking if the processing is necessary
-
for exercising the right of freedom of expression and information;
-
for reasons of public interest in the area of public health;
-
for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in so far as the right to erasure is likely to render impossible or seriously impair the achievement of the objectives of that processing;
-
for the establishment, exercise or defence of legal claims.
-
5.Right to data portability
If the processing is necessary for the performance of a contract or if the processing is based on the User's voluntary consent, the User has the right to request to receive the data provided by the User to the Controller in a machine-readable form. If technically feasible, the User may request that we transfer the data to another controller. In any case, the right is limited to the personal data provided by the User, no other data can be carried. (e.g. statistics which do not allow the Data Subject to be identified).
The User shall have the following rights regarding the personal data concerning him/her contained in the Controller's system (e.g. when subscribing to a newsletter):
-
to receive the data in a structured, commonly used and machine-readable format,
-
have such data transferred to another controller,
-
may request the direct transfer of data to another controller - if this is technically feasible within the Controller's system.
Under this right, the User may request the portability of the data that he/she has provided to the Controller. The exercise of this right does not automatically entail the deletion of the data from the Controller's systems, therefore the User will be recorded in the Controller's systems even after exercising this right, unless he/she also requests the deletion of his/her data, and this is possible as described above.
6.Right to object to data processing
The User may object to the processing of his or her personal data by means of a statement addressed to the Controller if the legal basis for the processing is
-
the legitimate interest in accordance with Art. 6(1)(c) of the GDPR.
In case of exercising the right to object, the Controller may no longer process the personal data, unless it proves that the processing is justified by compelling legitimate grounds which override the interests, rights and freedoms of the User or are related to the establishment, exercise or defence of legal claims. The Controller shall decide whether the processing is justified by compelling legitimate grounds. It shall inform the User of its position in this regard in an opinion.
The User may object in writing (by e-mail or by post) or, in the case of a newsletter, by clicking on the unsubscribe link in the newsletter.
7.Enforcement by others of the rights of the deceased affected User
Within five years after the death of the User concerned, the rights of the deceased during his/her lifetime, such as the right of access, rectification, erasure, restriction of processing, data portability and objection, may be exercised by the person authorized by the deceased by means of an administrative order or a declaration in a public or private document of full probative value made to the Controller. If the deceased has made several such declarations to the Controller, the person named in the declaration made at a later date may assert those rights.
If the deceased did not make such a declaration, the rights to which the deceased was entitled during his or her lifetime and set out in the previous paragraph may be exercised by the close relative of the person concerned under the Hungarian Civil Code within five years of the death of the person concerned (in the case of more than one close relative, the first to exercise the rights shall be the closest relative).
A close relative under the Hungarian Civil Code Art. 8:1 (1) of the Hungarian Civil Code is a spouse, a relative in the direct line of marriage, an adopted, step- or foster child, an adoptive, step- or foster parent and a brother or sister. The close relative of the deceased must provide proof of:
-
the fact and date of the death of the person concerned by means of a death certificate or court order, and
-
confirm his or her identity - and, if necessary, the identity of his or her next of kin - by public document.
The person who enforces the rights of the deceased - in particular in proceedings against the Controller and at the National Authority for Data Protection and Freedom of Information and the courts - shall be entitled to the rights and shall be subject to the obligations of the deceased during his or her lifetime under the Hungarian Data Protection Act and the GDPR.
The Controller shall, upon written request, inform the next of kin of the action taken, unless the deceased has expressly prohibited this in a statement.
8.Deadline for fulfilling the request
The Controller shall provide information on action taken on a request to the User without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests, but in this case the Controller shall inform the User within one month of receipt of the request, stating the reasons for the delay, including that the User may lodge a complaint with the supervisory authority and exercise his/her right to judicial remedy.
Where requests from a User are manifestly unfounded or excessive, in particular because of their repetitive character, the Controller may either charge a reasonable fee or refuse to act on requets. The Controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.
If the User has submitted the request by electronic means, the Controller shall provide the information by electronic means, unless the User requests otherwise.
The Controller shall communicate any rectification or erasure of personal data or restriction of processing to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The Controller shall inform the User about those recipients if the User requests it.
9.Damages and compensation
Any person who has suffered pecuniary or non-pecuniary damage as a result of a breach of the GDPR shall be entitled to receive compensation from the Controller or the Processor for the damage suffered. The Processor shall be liable for damage caused by the processing only if it has failed to comply with the obligations expressly imposed on Processors by law or if it has disregarded or acted contrary to lawful instructions from the Controller. The Controller or Processor shall be exempt from liability if it proves that it is not in any way responsible for the event giving rise to the damage.
V.REMEDIES
The User may exercise his/her rights by sending a written request by e-mail or by post to the Controller.
The User's rights cannot be enforced if the Controller proves that it is not in a position to identify the User. If the User's request is manifestly unfounded or excessive (in particular in view of its repetitive nature), the Controller may charge a reasonable fee for complying with the request or refuse to act. The burden of proof shall be on the Controller. If the Controller has doubts about the identity of the natural person making the request, it may request further information necessary to confirm the identity of the applicant.
Based on the Hungarian Data Protection Act, the GDPR and the Hungarian Civil Code, the User may
-
submit a complaint or otherwise contact the National Authority for Data Protection and Freedom of Information (1055 Budapest, Falk Miksa utca 9-11.; 1363 Budapest, Pf.: 9.; ugyfelszolgalat@naih.hu; www.naih.hu) or
-
enforce his or her rights at court. The lawsuit may also be brought, at the User's option, before the court of his/her place of residence or place of abode (for a list of courts and their contact details, please visit http://birosag.hu/torvenyszekek).
VI.PERSONAL DATA BREACH MANAGEMENT
The personal data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed. The Controller shall keep records for the purpose of monitoring the measures taken in relation to the data breach, informing the supervisory authority and informing the User, which shall include the scope of personal data affected by the breach, the number and scope of the Data Subjects, the date of the breach, the circumstances, the effects and the measures taken to remedy the breach. In the event of a breach, the Controller shall inform the User and the supervisory authority of the breach without undue delay and within 72 hours at the latest, unless the breach does not pose a risk to the rights and freedoms of natural persons.
VII.BACKUP MANAGEMENT
The Controller shall ensure, in particular, that measures are taken to ensure the possibility of restoring data files, including regular backups and the separate and secure management of copies (backups).
Accordingly, in order to prevent the loss of electronically stored data, the Controller regularly backs up the data in its database containing personal data to a separate storage medium three times a day.
The place of storage of the backups from the website server is the seat of the Controller. Duration of storage of backups: 5 years.
Deletion of backups: anonymized records: individual deletions are tracked, and automatic deletions are done on a per-option basis.
Access to backups: Access to backups is restricted, only persons with specific rights have access. Access to data is only possible after proper identification (at least username and password).
VIII.MISCELLANEOUS PROVISIONS
The Controller reserves the right to unilaterally modify this Privacy Policy, with prior notice to the Users using the Website. The amendments shall enter into force for the User on the date indicated in the notification, failing which on the date of publication.
If the User has unlawfully provided third party data in order to use the service, subscribe to the newsletter or otherwise, and has caused damage in any way, either in connection with the
use of the website or in any other way, the Controller is entitled to claim damages from the User.
The Controller does not verify the personal data provided to it. The person providing the data is solely responsible for the correctness of the data. Each User, when providing his/her personal data, is also responsible for the accuracy of the data provided, for the personal data being his/her personal data, and for their being used related to a service used by the User himself/herself.
Effective date of this Privacy Policy: 19 April 2022.