Elállási nyilatkozat
A hozzáférés joga
Jogosult vagy arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy
személyes adataid kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van,
jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz
hozzáférést kapj.
A helyesbítéshez való jog
Jogosult vagy arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse az
rád vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, jogosult
arra, hogy kérd a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján
történő – kiegészítését.
A törléshez való jog
Jogosult vagy arra, hogy kérésedre az adatkezelő indokolatlan késedelem nélkül törölje a
vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy a rád vonatkozó
személyes adatokat indokolatlan késedelem nélkül törölje meghatározott feltételek esetén.
Az elfeledtetéshez való jog
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető
technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen
elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa
az adatokat kezelő adatkezelőket, hogy kérelmezted a szóban forgó személyes adatokra
mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Az adatkezelés korlátozásához való jog
Jogosult vagy arra, hogy kérésedre az adatkezelő korlátozza az adatkezelést, ha az alábbi
feltételek valamelyike teljesül:
Vitatod a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra
vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok
pontosságát;
az adatkezelés jogellenes, és ellenzed az adatok törlését, és ehelyett kéri azok
felhasználásának korlátozását;
az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de igényled
azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
tiltakozol az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg
megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e a te jogos
indokaiddal szemben.
Az adathordozhatósághoz való jog
Jogosult vagy arra, hogy az rád vonatkozó, által egy adatkezelő rendelkezésére bocsátott
személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapd,
továbbá jogosult vagy arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsd
anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a
rendelkezésére bocsátotta (…)
A tiltakozáshoz való jog
Jogosult vagy arra, hogy a saját helyzeteddel kapcsolatos okokból bármikor tiltakozz
személyes adatainak a (…) kezelése ellen, ideértve az említett rendelkezéseken alapuló
profilalkotást is.
Tiltakozás közvetlen üzletszerzés estén
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, jogosult vagy arra,
hogy bármikor tiltakozz az rád vonatkozó személyes adatok e célból történő kezelése ellen,
ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha
tiltakozol a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a
személyes adatok a továbbiakban e célból nem kezelhetők.
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
Jogosult vagy arra, hogy ne terjedjen ki rád az olyan, kizárólag automatizált adatkezelésen –
ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt
hasonlóképpen jelentős mértékben érintené.
Az előző bekezdés nem alkalmazandó abban az esetben, ha a döntés:
Te és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé,
amely a te jogaidnak és szabadságaidnak, valamint jogos érdekeidnek védelmét szolgáló
megfelelő intézkedéseket is megállapít; vagy
Te kifejezett hozzájárulásodon alapul.
Intézkedési határidő
Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől
számított 1 hónapon belül tájékoztat a fenti kérelmek nyomán hozott intézkedésekről.
Szükség esetén ez 2 hónappal meghosszabbítható. A határidő meghosszabbításáról az
adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 1
hónapon belül tájékoztat.
Ha az adatkezelő nem tesz intézkedéseket kérelmed nyomán, késedelem nélkül, de legkésőbb
a kérelem beérkezésétől számított egy hónapon belül tájékoztat az intézkedés elmaradásának
okairól, valamint arról, hogy panaszt nyújthatsz be valamely felügyeleti hatóságnál, és élhetsz
bírósági jogorvoslati jogával.
Az adatkezelés biztonsága
Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás
költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a
természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú
kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre
annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja,
ideértve, többek között, adott esetben:
a személyes adatok álnevesítését és titkosítását;
a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas
jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz
való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések
hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek
jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az
érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az
adatvédelmi incidens jellegét, és közölni kell az adatvédelmi tisztviselő vagy a további
tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell az
adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az
adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket,
beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények
enyhítését célzó intézkedéseket.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és
ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében
alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –,
amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek
számára értelmezhetetlenné teszik az adatokat;
az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek
biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban
valószínűsíthetően nem valósul meg;
a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket
nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell
hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti
hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas
kockázattal jár-e, elrendelheti az érintett tájékoztatását.
Adatvédelmi incidens bejelentése a hatóságnak
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges,
legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55.
cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens
valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira
nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem
igazolására szolgáló indokokat is.
Felülvizsgálat kötelező adatkezelés esetén
Ha a kötelező adatkezelés időtartamát, vagy szükségessége időszakos felülvizsgálatát törvény,
helyi önkormányzat rendelete, vagy az Európai Unió kötelező jogi aktusa nem határozza meg,
az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az
általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt
személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e
dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti
Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság
rendelkezésére bocsátja.