Adatvédemi szabályzat

 

A Dobossy Aukciósház Kft. (a továbbiakban: „Társaság”) az érintettek jogainak biztosítása céljából az alábbi adatvédelmi szabályzatot teszi közzé:

Adatkezelő megnevezése:             Dobossy Aukciósház Kft.

Adatkezelő cégjegyzékszáma:       Cg. 13-09-190381

Adatkezelő székhelye:                  2094 Nagykovácsi, Nagykovácsi út 6.

Adatkezelő elektronikus elérhetősége:      info@dobossyaukcio.hu

Adatkezelő képviselője:                Kováts Nóra ügyvezető

A Társaságnál az adatkezelésért felelős személy: Kováts Dávid

Jelen tájékoztató előírásait a Társaság adatvédelmi és adatbiztonsági szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent jelen rendelkezések és a bármely más, jelen tájékoztató közzététele előtt hatályba lépett szabályzat előírásai között, úgy abban az esetben jelen tájékoztató rendelkezései az irányadóak.

A jelen tájékoztatóban használatos rövidítések jegyzéke:

GDPR – AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet/general data protection regulation)

Infotv. – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv.

Szvtv. – a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. tv.

Ptk. – a Polgári Törvénykönyvről szóló 2013. évi V. tv.

Mt. – a munka törvénykönyvéről szóló 2012. évi I. tv.

Mvt. – a munkavédelemről szóló 1993. évi XCIII. tv.

 

  1. A tájékoztató célja és hatálya

A Társaság jelen tájékoztató elérhetővé tételével biztosítani kívánja a GDPR és az Infotv. rendelkezéseinek való megfelelést és az érintettek adatvédelmi jogainak érvényesülését.

A tájékoztató 2020. május 17-től kerül közzétételre.

 

  1. Fogalmak

A jelen tájékoztató fogalmi rendszerében jogszabály alatt Magyarország területén alkalmazandó jogszabályok értendők, különösen a GDPR és az Infotv. A GDPR és az Infotv. esetleges ütközése esetén a GDPR rendelkezései irányadók.

A jelen tájékoztatóban használt fogalmak jelentése megegyezik a GDPR-ban és az Infotv.-ben használt fogalmak jelentésével.

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség, vagy bármely egyéb szerv, amely a személyes adatok kezelésének célját és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség, vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik;

Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az adatokhoz való jogosulatlan hozzáférést eredményezi.

 

  1. Az adatkezelés alapvető szabályai

A Társaság eljárása során kizárólag az adatvédelmi jogszabályok rendelkezéseivel összhangban végez adatkezelést, illetve adattovábbítást. Minden a Társaság nevében eljáró személy kizárólag a feladatköre ellátása érdekében ismerheti meg és használhatja fel a személyes adatokat, és csak a feladatkörének ellátásához szükséges személyes adatokhoz kaphat hozzáférést.

  • Az adatkezelés alapelvei

A személyes adatok kezelése során a Társaság köteles betartani a GDPR 5. cikkében rögzített adatkezelési elveket, amelyek az alábbiak:

  • az adatkezelést jogszerűen, tisztességesen és az érintett számára átláthatóan kell végezni;
  • az adatok gyűjtése csak előre meghatározott, egyértelmű és jogszerű célból történhet és az adatkezelésnek a teljes folyamat során meg kell felelnie e célnak;
  • csak a cél szempontjából megfelelő, releváns adatok kezelhetők és csak a szükséges körben;
  • az adatoknak pontosnak és naprakésznek kell lenniük;
  • az adatokat tárolni csak a cél eléréséhez szükséges ideig lehet;
  • technikai és szervezeti szempontból biztosítani kell az adatok biztonságát, a jogosulatlan hozzáféréssel, a véletlen elvesztéssel vagy megsemmisítéssel, károsodásával szembeni védelmet is ideértve; és
  • a fenti elveknek való megfelelést bizonyítani kell tudni.
  • Az adatkezelés jogalapjai

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben

  • az adatkezelést jogszabály írja elő kötelezően;
  • az érintett hozzájárulását adta; vagy
  • jogszabály felhatalmazást ad az adatkezelésre, amelynek esetei a GDPR 6. cikke alapján:
    • az adatkezelés az érintettel kötött szerződés teljesítéséhez vagy kötendő szerződés kapcsán az érintett által kívánt lépések megtételéhez szükséges;
    • az adatkezelés Társaság jogi kötelezettségének teljesítéséhez szükséges;
    • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
    • az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai, amelyek személyes adatok védelmét teszik szükségessé.

Ha az adatkezelés az érintett hozzájárulásán alapul, a hozzájárulás megfelelő, ha az érintett írásban, elektronikusan vagy szóban hozzájárulást ad. A hozzájárulás megtörténtét a Társaság köteles a hatóság kérésére igazolni. A Társaság kötelezi a nevében adatkezelést végző személyeket, hogy a hozzájárulást papír alapon aláírva szerezzék be és őrizzék meg, vagy a hozzájárulás úgy is beszerezhető, hogy az érintett e-mailen küldi meg a hozzájárulását, szkennelt aláírt nyilatkozatban vagy az e-mail szövegében írva, valamint úgy is, hogy a Társaság e-mail üzenetben küld egy link-et, ahol az érintett egy négyzet elektronikus úton való kipipálásával megadja a hozzájárulását. Az e-mailen adott hozzájárulásokat ki kell nyomtatni és meg kell őrizni. A szóban adott hozzájárulást hangfelvétel nélkül nehéz bizonyítani, így a Társaság a hozzájárulás szóban történő beszerzését kizárja. Kivételes esetekben, ha a hozzájárulás másként nem szerezhető be, az ügyvezető írásbeli engedélyével történhet szóbeli hozzájárulás alapján adatkezelés. Ennek feltétele, hogy a hozzájárulás megadása igazolható. A hallgatás, az előre kipipált négyzet vagy inaktivitás semmilyen esetben nem minősülhet hozzájárulásnak.

A különleges adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben

  • az adatkezelést jogszabály írja elő kötelezően;
  • az érintett kifejezett hozzájárulását adta; vagy
  • jogszabály felhatalmazást ad az adatkezelésre, amelynek esetei a GDPR 9. cikke alapján:
    • az adatkezelés a munkajog vagy társadalombiztosítás területén fennálló kötelezettség teljesítéséhez vagy jog gyakorlásához szükséges;
    • az érintett az adatot bizonyíthatóan közzétette;
    • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges és az érintett hozzájárulást fizikai vagy jogi okból nem tud adni;
    • az adatkezelés jogos igények megalapozásához, érvényesítéséhez vagy ellene való védekezéshez szükséges;
    • az adatkezelés a megelőző vagy foglalkozás-egészségügy céljából, a munkavállaló munkaalkalmasságának felmérése, orvosi diagnózis vagy egészségügyi vagy szociális szolgáltatásnyújtás céljából szükséges;
    • vagy egyéb – a Társaságnál fel nem merülő – okból szükséges, mint pl. alapítványok és egyéb non-profit szervezetek tevékenységéhez, alapvető közérdekből, közegészségügyi közérdekből, közérdekű, tudományos vagy történeti célú archiválás céljából.

A Társaság személyes adatot kizárólag jogszabályi előírás vagy a fenti jogalapok valamelyikének fennállása esetén, a tevékenység végzéséhez szükséges célból kezel, a cél eléréséhez szükséges minimális mértékben és időtartamig. Az adatkezelés minden szakaszában meg kell, hogy feleljen az adatkezelés céljának és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. Az adatkezelés jogalapjának minden adatkezelési cél tekintetében fenn kell állnia, így pl. az érintetti hozzájárulást minden egyes cél tekintetében külön-külön be kell szerezni.

  • Tájékoztatási kötelezettség az adat felvétele előtt

Amennyiben a személyes adatokat közvetlenül az érintettől gyűjtik, a Társaság az adat felvétele előtt közli az érintettel a GDPR 13. cikk (1) bekezdésében meghatározott információkat, amelyek az alábbiak:

  • a Társaságnak mint adatkezelőnek és képviselőjének a személye és elérhetőségei;
  • a tervezett adatkezelés célja
  • a tervezett adatkezelés jogalapja
  • ha az adatkezelés a Társaság vagy harmadik személy jogos érdeke alapján történik, az érdek megnevezése
  • személyes adatok címzettjei (kik ismerhetik meg az adatokat)
  • a tervezett adattovábbítás EU-n kívüli országba annak megjelölésével, hogy az Európai Unió Bizottságának határozata alapján ezen országban megfelelő-e a személyes adatok védelme, a GDPR 46. cikkében, a 47. cikkében vagy a 49. cikke (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;
  • az adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  • az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, valamint az érintett adathordozhatósághoz való joga;
  • az érintett azon joga, hogy tiltakozhat személyes adatai kezelése ellen, ezt a tájékoztatást az első kapcsolatfelvételkor kell megtenni, más információktól elkülönítetten megjelenítve;
  • ha az adatkezelés hozzájáruláson alapul, akkor tájékoztatás a hozzájárulás visszavonásának jogáról;
  • a felügyeleti hatósághoz címzett panasz benyújtásának joga;
  • az adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.

Amennyiben a személyes adatokat a Társaság nem közvetlenül az érintettől szerezte meg, köteles ésszerű határidőn, de legkésőbb egy hónapon belül vagy ha ez korábbi, akkor az érintettel való első kapcsolatfelvételkor vagy ha mással is közlik az adatokat, akkor az első közléskor, az érintett rendelkezésére bocsátani a fent felsorolt információkat, valamint az adatok forrását és azt megnevezni, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.

Az érintett részére a tájékoztatást mindig tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani. Az információkat írásban vagy más bizonyítható módon, pl. e-mail útján kell megadni.

  • Adattovábbítás az EU-n kívülre

Személyes adatok EU-n kívüli országba való továbbítása előtt, valamint az érintett részére a továbbításról szóló tájékoztatás nyújtása előtt az eljáró személy köteles az adattovábbításhoz és a tájékoztatás nyújtásához a Társaságnál az adatvédelemért felelős személy jóváhagyását beszerezni. Az adatvédelemért felelős személy köteles az adattovábbítás tekintetében a GDPR V. Fejezetében foglaltakat maradéktalanul betartani és az adatkezelésben résztvevő személyekkel betartatni. Az adatvédelemért felelős személy az adattovábbításokat bevezeti a szabályzat 1. sz. mellékletét képező adattovábbítási nyilvántartásba.

  • Titoktartási kötelezettség

A Társaság adatkezelést végző munkavállalói és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző adatfeldolgozók és munkavállalóik, valamint mindazon személyek, akik az adatokhoz hozzáférési joggal rendelkeznek, kötelesek a megismert személyes adatokat megőrizni és szabályzat 2. sz. mellékletében meghatározott tartalommal titoktartási nyilatkozatot tenni.

  • Az adatok kijavítása és törlése

Ha a Társaságnál bármely személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt haladéktalanul jelezni a Társaságnál az adatvédelemért felelős személynek, aki köteles a bejelentést megvizsgálni és a vizsgálat eredményétől függően az adatkezelést végző munkavállalónak utasítást adni az adat kijavítására vagy törlésére.

Ha a Társaságnál bármely személy tudomást szerez arról, hogy az adatkezelés célja megvalósult vagy az adatkezelés határideje letelt, köteles azt haladéktalanul jelezni a Társaságnál az adatvédelemért felelős személynek, aki köteles a bejelentést megvizsgálni és a vizsgálat eredményétől függően az adatkezelést végző munkavállalónak utasítást adni az adat törlésére. A törlés az adatot tartalmazó irat visszaállíthatatlan megsemmisítésével vagy az ilyen file visszaállíthatatlan törlésével történik, úgy hogy az adat ne legyen újra visszanyerhető.

  • Adatfeldolgozók igénybevétele

A Társaság bizonyos személyes adatok kezelésére, adatfeldolgozót vehet igénybe, pl. bérszámfejtés külső könyvelő által. A Társaság megbízásából adatfeldolgozói tevékenységet végző személyekre vonatkozó adatvédelmi kötelezettségeket az adatfeldolgozóval kötött megbízási szerződésben kell előírni. Az adatfeldolgozóval a Társaság olyan adatfeldolgozói megállapodást köt, amely tartalmazza legalább a szabályzat 3. sz. mellékletében meghatározott rendelkezéseket.

  • Adatvédelmi hatásvizsgálat

Ha a Társaság tevékenysége során olyan új adatkezelési művelet merül fel, amelyet jelen szabályzat 7. pontja nem tartalmaz és az annak jellegére, hatókörére, körülményére és céljaira figyelemmel valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság a tervezett adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

 

  1. Az érintettek jogai és a jogok érvényesítése a Társaságnál

Az érintett a Társasággal szemben a Társaság általi adatkezeléssel összefüggő jogai érvényesítésével kapcsolatos kérelmeit az info@dobossyaukcio.hu e-mail címre vagy más módon is eljuttathatja a Társaság részére.

  • Az érintett jogai

A tájékoztatáshoz való jog

Az érintett kérésére a Társaság köteles tájékoztatást adni az érintettnek arról, hogy kezel-e vele kapcsolatban személyes adatot, ha igen, akkor köteles az érintettet az alábbiakról is tájékoztatni:

  1. az adatkezelés célja;
  2. az érintett személyes adatok kategóriái;
  3. azon címzettek vagy címzettek csoportjai, akikkel a személyes adatokat közölték vagy közölni fogják;
  4. a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen;
  6. a NAIH-hoz címzett panasz benyújtásának joga;
  7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  8. ha harmadik országba, vagy nemzetközi szervezethez történő adattovábbításra kerül sor.

A Társaság a Társaságnál az adatvédelemért felelős személy útján a kérelem beérkezését követő 30 napon belül ingyenesen látja el az érintettet a szükséges tájékoztatással. A Társaság a személyes adatok másolatát kérelemre az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmét, a fenti információkat elektronikus formában kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. Ha a Társaság nem tesz intézkedést az érintett kérelme nyomán, haladéktalanul, de legkésőbb a kérelem beérkezésétől számított 30 napon belül, tájékoztatja az érintettet az intézkedés elmaradásának okáról, valamint arról, hogy az érintett panaszt nyújthat be a NAIH-nál, és élhet bírósági jogorvoslati jogával.

A helyesbítéshez való jog

Az érintett kérésére a Társaság indokolatlan késedelem nélkül köteles az érintettre vonatkozó pontatlan személyes adatokat helyesbíteni vagy, ha az az adatkezelés célja indokolja, a hiányos személyes adatokat az érintett kiegészítő nyilatkozata alapján kiegészíteni.

A törléshez való jog

Az érintett jogosult arra, hogy a GDPR 17. cikk (1) bekezdésében rögzített esetekben kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat. Ha a Társaság nyilvánosságra hozta a személyes adatot és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével köteles megtenni az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő egyéb adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy a GDPR 18. cikk (1) bekezdésében rögzített esetekben kérésére a Társaság korlátozza az adatkezelést. A Társaság az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

A Társaság minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, vagy amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Társaság kérésre az érintettet is tájékoztatja e címzettekről.

Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a GDPR 20. cikk. (1) bekezdésében rögzített esetekben a rá vonatkozó, általa a Társaság rendelkezésére bocsátott személyes adatokat a Társaságtól tagolt, számítógéppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa. A Társaság – amennyiben ez technikailag megvalósítható – az érintett kérelmére a személyes adatokat közvetlenül továbbítja az érintett által megjelölt adatkezelő részére.

A tiltakozáshoz való jog

Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen. Ebben az esetben a Társaság csak akkor kezelheti tovább a személyes adatokat, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

  • Eljárás az érintett jogai érvényesítésére vonatkozó kérelme esetén
  1. lépés: a munkavállaló, aki kézhez kapja a kérelmet köteles azt haladéktalanul a Társaságnál az adatvédelemért felelős személy részére továbbítani.
  2. lépés: az adatvédelemért felelős személy köteles a kérelmet legkésőbb 3 napon belül – szükség esetén haladéktalanul – megküldeni az ügyvezetőnek,
  3. lépés: az ügyvezető a kérelem hozzá érkezésétől számított 5 napon belül dönt a kérelem megalapozottságáról és végrehajthatóságáról
  4. lépés: az adatvédelemért felelős személy köteles az érintett kérelmének megalapozottsága esetén a kérelem teljesítését végrehajtani legkésőbb kérelem beérkezésétől számított 30 napon belül, szükség esetén haladéktalanul.
  5. lépés: az adatvédelemért felelős személy köteles a kérelem beérkezésétől legkésőbb 30 napon belül a Társaság írásbeli válaszát elkészíteni, amely tartalmazza a kérelem alapján hozott intézkedéseket is és az érintett részére megküldeni. Ha a kérelem nem megalapozott, az elutasító választ megfelelően indokolni köteles és tájékoztatja az érintettet jogorvoslati lehetőségeiről.
  • A Társaság felelőssége a jogellenes adatkezelésért

A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott vagyoni és nem vagyoni kárt megtéríti. A Társaság mentesül az okozott kárért való felelősség megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kár előidéző eseményért őt semmilyen módon nem terheli felelősség. A Társaság szintén nem téríti meg azt a kárt, amennyiben az a károsult szándékos magatartásából származott.

A Társaság szervezetén belül az adatkezelést ténylegesen végző személy felelős az adatok jogszerű kezeléséért, megváltoztatásáért, törléséért, harmadik személy(ek) részére való átadásért, továbbításáért és dokumentálásáért.

  • Panasz

Az érintett a Társaság adatkezelési tevékenységével kapcsolatban panasszal az alábbi szervhez fordulhat:

név: Nemzeti Adatvédelmi és Információszabadság Hatóság

székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C.

honlap: www.naih.hu

 

  1. A Társaság által nyújtott szolgáltatást igénybevevő felhasználók tekintetében megvalósuló adatkezelés

A Társaságnál megvalósuló adatkezelések tekintetében adatkezelő a Társaság és az adatkezelések helye: A Társaság 2094 Nagykovácsi, Nagykovácsi út 6. alatti székhelye. A felhasználók adatai a Tárhely.eu felhőszolgáltató szerverein kerülnek tárolásra, amely szolgáltatóval a Társaság adatfeldolgozói szerződést köt.

A Társaság az általa üzemeltetett https://dobossyaukcio.hu/ honlapon történő regisztráció útján biztosítja a szolgáltatását. Az érdeklődők az „Bejelentkezés / Regisztráció” gombra kattintva regisztrálhatnak a honlapon a kért – alább részletezett adatok megadásával. Regisztrációt követően az adatok a felhasználó által szerkeszthetőek a „Fiókom” menüpont alatt.

A regisztráció nem életkorhoz kötött, de 16. évet be nem töltött személyek esetén adatokat a társaság csak szülői jóváhagyással kezel

Tájékoztatás az adatkezeléssel kapcsolatban
kezelt adatok köre (1)        felhasználó neve, (2) e-mail címe, (3) jelszava; (4) megjelenítendő neve; (5) számlázási címe; (6) szállítási címe; (7) cookie-k; (8) felhasználó IP-címe; (9) felhasználó által önként megadott további információk;
adatkezelés célja (1)-(4) a Társaság által üzemeltetett honlap szolgáltatásának, az online aukciókon való részvételnek biztosítása;

(5)-(6) a fizetés biztosítása

(7)-(8) érdeklődők internetes azonosító adatainak megismerése a szolgáltatás igénybevétele során történő ismételt azonosítás érdekében

kik ismerhetik meg az adatokat az ügyvezető, az IT megbízott, a honlap fejlesztője; Tárhely.eu felhőszolgáltató, kijelölt munkavállalók.
adatkezelés jogalapja a jelentkező hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont)
adatkezelés időtartama –     az adatok a felhasználói fiók megszüntetésétől számított 7 napon belül törlésre kerülnek
adattárolás módja elektronikusan
felhasználó jogai adatkezeléssel kapcsolatban tájékoztatáshoz, helyesbítéshez, törléshez való jog, adatkezelés ellen tiltakozási jog, adathordozhatóság joga, hozzájárulás visszavonásának joga (részletesen ld. jelen tájékoztató 4. pont)

 

 

  1. Adatvédelmi incidens terv
  • Belső eljárás adatvédelmi incidens esetén

Adatvédelmi incidens a biztonság olyan sérülését jelenti, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az adatokhoz való jogosulatlan hozzáférést eredményezi. Ilyenek például egy hackertámadás az informatikai rendszeren, vagy céges laptop vagy mobiltelefon elvesztése, amely az ügyfelek kapcsolattartóinak nevét, telefonszámát, e-mailcímét stb. tartalmazza.

Az incidens észlelése és bejelentése

Valamennyi a szabályzat hatálya alá tartozó személy köteles azonnal igazolható módon jelezni, ha a kezelésében lévő, vagy rá vonatkozó személyes adat vonatkozásában olyan körülmény jut a tudomására, amely adatvédelmi incidens felmerülését jelenti vagy jelentheti. Kit kell értesíteni:

  1. az adatvédelemért felelős személyt

Az incidens@dobossyaukcio.hu külön e célra létrehozott e-mail címhez hozzáfér az ügyvezető, az adatvédelemért felelős személy és az aktuális IT megbízott. Ezen e-mail címet a jogosultak okostelefonján is aktiválni kell, hogy szükség esetén értesüljenek az incidensről. Az e-mail cím egyéb kommunikációra nem használható.

Adatvédelmi incidens bekövetkezése esetén az adatvédelemért felelős személy haladéktalanul értesíti az IT megbízottat, ha szükséges.

Amennyiben az incidens az értesítés időpontjában is fennáll és annak elhárítása haladéktalan intézkedést igényel, az adatvédelemért felelős személy ezt külön jelzi az IT-megbízott részére.

Vizsgálat

Az adatvédelemért felelős személy, és amennyiben az incidens elektronikus adatot érintett, az IT-megbízott az incidensről való tudomásszerzést követően haladéktalanul kivizsgálja az adatvédelmi incidenst. Ennek során az adatvédelemért felelős személy és amennyiben az incidens elektronikus adatot érintett, az IT-megbízott jogosult valamennyi szabályzat hatálya alá tartozó személy részére kérdéseket feltenni, valamennyi a Társaság tulajdonában vagy használatában lévő informatikai eszközhöz hozzáférni.

Az incidenssel érintett adatokat kezelő munkavállalók és megbízottak kötelesek ilyen esetben a felhasználónevüket és jelszavukat az IT-megbízott részére haladéktalanul megadni. Amennyiben az incidens vagy annak következményei az informatikai eszköz lefoglalása nélkül nem háríthatóak el, az IT-megbízott és az adatvédelemért felelős személy haladéktalanul kezdeményezi az érintett eszköz lefoglalását az ügyvezetőnél. A lefoglalás az incidens, vagy annak következményei elhárításának időtartamáig tarthat. A lefoglalásról jegyzőkönyvet kell felvenni.

Az adatvédelemért felelős személy és az IT-megbízott köteles 48 órán belül megvizsgálni a bekövetkezett adatvédelmi incidenshez vezető okokat és körülményeket, és az eredményről az ügyvezetőt haladéktalanul tájékoztatni. Az IT megbízott és az adatvédelemért felelős személy végrehajtja az ügyvezetővel egyeztetett szükséges és arányos intézkedéseket, hogy a bekövetkezett incidenst által okozott hátrányokat elhárítsa és hogy hasonló incidens ne ismétlődhessen meg.

Az adatvédelemért felelős személy és amennyiben az incidens elektronikus adatot érintett, az IT megbízott az adatvédelmi incidens azonosítását követően haladéktalanul megteszi a szükséges lépéseket annak érdekében, hogy az incidens bekövetkezése előtti helyzet visszaállításra kerüljön. Ennek körében például a legutolsó mentésből megkísérli visszaállítani az adatvédelmi incidens bekövetkezése előtti adatállapotot.

Az ügyvezető az adatvédelmi incidens bekövetkeztét követően köteles haladéktalanul elrendelni az incidenssel érintett valamennyi informatikai eszköznél használt valamennyi felhasználói név és jelszó kötelező cseréjét.

Amennyiben a legutolsó rendelkezésre álló mentésből az adatvédelmi incidens bekövetkezése előtti adatállapottal azonos állapot nem állítható helyre, a Társaság valamennyi munkavállalója és megbízottja felszólításra kerülhet, hogy írásban nyilatkozzon egy munkanapon belül, hogy a legutolsó mentés időpontjától az adatvédelmi incidens bekövetkeztének időpontjáig milyen adatkezelési tevékenységet folytatott. A nyilatkozatokat a Társaságnál az adatvédelemért felelős személy részére kell leadni, aki azokat megvizsgálva – az ügyvezetővel és szükség esetén az IT megbízottal egyeztetve – tájékoztatást ad az incidenssel érintett adatokat kezelő munkavállaló vagy megbízott számára, hogy az incidens következményeit milyen módon orvosolja. Az incidenssel érintett adatokat kezelő személy köteles az adatvédelemért felelős személy által javasoltakat végrehajtani és dokumentálni.

Amennyiben az adatvédelmi incidens hatósági intézkedést (pl. büntetőfeljelentés) igénylő cselekményt valósít meg, a Társaságnál az adatvédelemért felelős személy köteles a hatóság intézkedését legkésőbb 15 napon belül kezdeményezni.

Amennyiben az adatvédelmi incidens érinti az adatfeldolgozók tevékenységét is, a Társaságnál az adatvédelemért felelős személy az adatvédelmi incidensről haladéktalanul értesíti az adatfeldolgozókat, akik kötelesek az adatvédelemért felelős személy által javasoltakat végrehajtani és dokumentálni.

A Társaságnál az adatvédelemért felelős személy köteles az adatvédelmi incidens anyagi vonzatairól (az esetlegesen bekövetkezett kár mértékéről és az elhárítás költségeinek várható mértékéről) 8 napon belül jelentést tenni az ügyvezetőnek. Amennyiben az adatvédelmi incidens a szabályzat hatálya alatt álló személynek felróható, a Társaságnál az adatvédelemért felelős személy jelentésében jelzi ezt a körülményt az ügyvezetőnek és javaslatot tesz ezen személlyel szembeni hátrányos jogkövetkezmény alkalmazására. Az ügyvezető az incidensért felelős személyt felelősségre vonja és az alábbi jogkövetkezmények valamelyikét alkalmazza:

  • munkajogi szankció: figyelmeztetés, kártérítés, azonnali hatályú felmondás
  • polgári jogi jogkövetkezmények: kártérítés, szerződés felmondása.

Az ügyvezető az adatvédelemért felelős személlyel közösen tájékoztatja a szabályzat hatálya alatt állókat a megfelelő időben történő felismerés és megfelelő időben történő reagálás érdekében a leggyakoribb adatvédelmi incidensekről és két évente egy alkalommal belső tájékoztatást tart az adatvédelmi incidensekről.

 

6.2. Az adatvédelmi incidens bejelentése a NAIH részére

A Társaságnál az adatvédelemért felelős személy haladéktalanul megvizsgálja a hozzá érkezett bejelentést és amennyiben úgy minősíti, hogy adatvédelmi incidens következett be és az az érintettek jogaira valószínűsíthetően kockázattal jár, köteles haladéktalanul, azonban legkésőbb az incidensről való tudomásszerzést követő 72 órán belül a NAIH által megkövetelt formában, igazolhatóan bejelenteni azt a NAIH részére. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Nem kötelező az olyan adatvédelmi incidenst bejelenteni, amely valószínűsíthetően nem jár kockázattal a természetes személyek jogaira nézve.

A bejelentésnek legalább az alábbiakat kell tartalmaznia:

  • (a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • (b) közölni kell az adatvédelemért felelős személy nevét és elérhetőségeit;
  • (c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • (d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

A Társaság az adatvédelemért felelős személy útján nyilvántartást vezet az adatvédelmi incidensekről a szabályzat külön mellékletében meghatározott adattartalommal, külön feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslásra tett intézkedéseket.

 

6.3. Az érintettek tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül igazolhatóan tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a bejelentés tartalmának (b)-(d) pontjait.