Oszkar.com Adatkezelési Tájékoztató és Adatvédelmi Szabályzat


Hiv. szám: OSZATASz/2018-1

Jelen Adatkezelési Tájékoztató és Szabályzat azért készült, hogy információval lássunk el az “Oszkár” telekocsi rendszer (Szolgáltatás) használata során kezelt adataidról és tisztában légy ezekkel kapcsolatos jogaiddal.

Az Adatkezelési Tájékoztatóban Oszkár-specifikusan tájékoztatunk a Téged érintő személyes adatkezelésekről. Ebben tegeződő formát használunk, egyrészt mert az Oszkár közösségen belül ez a megszokott, másrészt, hogy könnyebben érthető legyen a tájékoztatás. Bízunk benne, hogy ezt nem veszed tiszteletlenségnek! Az Adatvédelmi Szabályzat sokkal általánosabban és részletesen ad betekintést a személyes adatokkal kapcsolatos jogi keretekbe.

Ez az Adatkezelési tájékoztató és Adatvédelmi Szabályzat (ATASz), valamint a benne hivatkozott Cookie Szabályzat az Oszkár Általános Felhasználási Feltételeinek (ÁFF) részét képezi, az ezekben használt (nagy kezdőbetűvel írt) fogalmak magyarázatát az ÁFF-ben találod, amennyiben nem lenne egyértelmű számodra. Az ÁFF elérhetősége: https://www.oszkar.com/misc/policy.php A Cookie Szabályzat elérhetősége: https://www.oszkar.com/login/cookie_policy.php.

Fontos, hogy a Szolgáltatás használatának előfeltétele, hogy ezen Adatkezelési Tájékoztatóban és Adatvédelmi Szabályzatban foglaltakat elolvasd, megértsd és elfogadd.

Ha jelen Adatkezelési Tájékoztatónk és Adatkezelési Szabályzatunk tartalmát megváltoztatjuk, értesítünk Téged, mielőtt a változás érintene!

I. Adatkezelési Tájékoztató

Ki kezeli a személyes adataid?
Az “Oszkár” Rendszerben, mely magába foglalja a WEB-oldalt, az Android és iOS mobilapplikációkat, az adataid az Oszkar.com telekocsi Kft. (Szolgáltató) kezeli, tehát mi vagyunk az Adatkezelők. Te pedig vagy az Érintett, akinek az adatait kezeljük.

Minket az alábbi elérhetőségeken érhetsz el:

Székhelyünk: 1133 Budapest, Hegedűs Gy. u. 67. 5/4.
E-mail címünk: info@oszkar.com
Telefon (munkaidőben): (+36) 1 / 6 333 696
WEB oldalunk: https://www.oszkar.com

Adatvédelemmel kapcsolatban Prácser Attila (társalapító) illetékes nálunk.


Milyen személyes adataid kezeljük és milyen jogalapon?
Attól függően kérünk (le) Tőled adatokat, hogy milyen terjedelemben veszed igénybe a Szolgáltatás funkcióit.

Az oldal látogatása (első kapcsolatfelvétel) során tájékoztatunk arról, hogy a Weboldal ún. “sütiket” (cookie-kat) használ. Ezek egy része az oldal funkcionális működéséhez szükséges, másik része a szolgáltatás nyújtásától eltérő célokat szolgál, és ezért használatuk a hozzájárulásodtól függ. A sütikkel kapcsolatban részletesen a Cookie Szabályzatban tájékoztatunk.

A látogatásod során a Cookie-kben tárolt adatokon túl a szerveren ideiglenesen tárolásra került az IP címed, melyről a látogatásod kezdeményezted.

Adatkezelés célja Típus Adatkezelés jogalapja Kezelt személyes adatok típusa Kezelési idő Adat továbbítás
Technikai hibaelhárításban potenciális felhasználás nem opcionális Adatkezelő jogos érdekeinek érvényesítése (GDPR 6. cikk (1) bek. f) pont): Rendszer működésbiztonságának szavatolása IP cím Látogatást követő 14 nap Linode LLC (szerverszolgáltató)

Regisztrációhoz kötött funkciók elérése érdekében vagy használatuk közben megadandó/megadható adataid kezelése:

Adatkezelés célja Típus Adatkezelés jogalapja Kezelt személyes adatok típusa Kezelési idő Adat továbbítás
Regisztráció lehetővé tétele Nem opcionális (regisztrációs előfeltétel) szerződés megkötésének előkészítése – GDPR 6. cikk (1) bek. b) pont vezetéknév, keresztnév, e-mail cím, felhasználói név, jelszó (nem visszafejthető formában kerül tárolásra) A Regisztráció befejezéséig, azaz a Szerződés létrejöttéig. Annak meghiúsulása esetén 3 napot követően törlésre kerülnek. Szerverszolgáltatók
Belépés során felhasználói azonosítás Nem opcionális (regisztrációs előfeltétel) szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont felhasználói név, e-mail cím, jelszó (nem visszafejthető formában kerül tárolásra) Az Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont) Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók, Google LLC (csak a felhasználói név)
Kapcsolattartás a Felhasználókkal: - rendszer működéséhez szükséges értesítések kézbesítése - hibaelhárításban segítség kérése Nem opcionális (regisztrációs előfeltétel) szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont vezetéknév, keresztnév, e-mail cím, telefonszám, Facebook-azonosító, okostelefon készülék-azonosító Szerződés felmondása. Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók, Facebook Ireland Ltd. (e-mail cím)
Útitárskeresési folyamat során autós és utas elérhetőségék cseréjének biztosítása Nem opcionális (regisztrációs előfeltétel) szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont felhasználói név, vezetéknév és keresztnév, nem, telefonszám. Autóskénti használat esetén gépjármű rendszáma, márkája, típusa, gyártási éve, színe Szerződés felmondása. Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók, Címzett: Utas adatai kapcsán azon autós, akinél helyet foglalt. Autós adatai kapcsán azon utas, aki helyet foglalt az Autós hirdetésen.
SMS értesítés lehetőségének biztosítása beállított eseményekről, illetve telefonszám valódiságának ellenőrzése Nem opcionális (regisztrációs előfeltétel) szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont telefonszám, felhasználói név, foglalás hely- és időadatai Szerződés felmondása. Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók, DigiCom Media Kft. Dream Interactive Kft.
Útitárskeresési folyamat során potenciális útitársban bizalom felépítése opcionális az Érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bek. a) pont) születési dátum, regisztráció dátuma, foglalkozás, személyes bemutatkozó szöveg, profilkép. Az Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont) Tehát ha törlöd ezen adatokat vagy a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók
Szolgáltatás alapfunkcionalitásának használatához szükséges autóskénti felhasználás esetén, azaz a szabad helyek rendelkezésre állásának a potenciális utastársak tudomására juttatásához opcionális (autóskénti használathoz előfeltétel) szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont hirdetett utak adatai: Indulás, érkezés, köztes megállók helyszín- és időpontadatai. Hirdetéshez kapcsolódó járműadatok, megjegyzés. Szerződés felmondása. Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók
Szolgáltatás alapfunkcionalitásának használatához szükséges utaskénti felhasználás esetén, azaz autós hirdetésén való helyfoglalás lehetővé tételéhez opcionális (utaskénti használathoz előfeltétel) szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont helyfoglalás adatai: Lefoglalt helyek száma, a foglalásban érintett hirdetés helyszín- és időpontadatai Szerződés felmondása. Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók
Számla kiállításához szükséges adatok a törvényi kötelezettség betartásának céljából nem opcionális (fizetős szolgáltatás igénybe vételét követően) jogi kötelezettség teljesítése (mindenkor hatályos adóügyi és számviteli törvények) számlázási név, számlázási cím, a gazdasági tevékenység megvalósulását alátámasztó adatok: utazás napja, viszonylata és utasok száma A vonatkozó törvényekben meghatározott időintervallum. Szerverszolgáltatók, Vision-Software Kft.
Számla kiállításához szükséges adatok a számlakiállítás folyamatának egyszerűsítése céljából (ne kelljen újból és újból megadni az adatokat) opcionális Az Érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bek. a) pont) számlázási név, számlázási cím Az érintett hozzájárulásának visszavonása (30 napos határidővel) Szerverszolgáltatók, Vision-Software Kft.
Online elektronikus fizetési lehetőség biztosítása opcionális az Érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bek. a) pont) vezetéknév, keresztnév, számlázási név és cím, telefonszám, e-mail cím Az Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont) Tehát ha törlöd a regisztrációd, töröljük vagy visszafejthetetlenül átalakítjuk ezen adataid 30 napos határidővel. Szerverszolgáltatók, OTP Mobil Kft.
Online elektronikus fizetés elfogadásának lehetővé tétele opcionális az Érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bek. a) pont) számlázási név, cím, bankszámlaszám, számlavezető bank neve Az Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont) Ha az online fizetés elfogadás és az ehhez kapcsolódó adatok törlését kéred, vagy törlöd a regisztrációd, a megadott adatokat 30 napos határidővel töröljük Szerverszolgáltatók, OTP Mobil Kft.
GPS alapú valós idejű útitárskeresés biztosítása, “Hol a sofőröm” funkció igénybe vételének lehetővé tétele opcionális az Érintett önkéntes és kifejezett hozzájárulása (GDPR 6. cikk (1) bek. a) pont)

Módja: Mobilapplikációban “Pozíció megosztás” engedélyezése adott úttal kapcsolatban.
mobilkészülék GPS koordinátája Az út indulásától számított 7 nap, vagy azt megelőzően az Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont) Szerverszolgáltatók
Értékelési rendszer hatékony működésének biztosítása opcionális szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont utazás kapcsán írt értékelés szövege Az értékelési rendszerben megadatott határidőig (lásd ÁFF) az Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont), azaz törölheted a leadott értékelést.

Azt követően az értékelt regisztrációjának törléséig elérhetőek az adatok.
Szerverszolgáltatók
Visszaélés, újra regisztráció megakadályozása azon felhasználók kapcsán, akik a Rendszer használata során pozitívtől eltérő értékelést szereztek vagy visszaélés miatt az ÁFF valamely pontja alapján figyelmeztetést kaptak vagy fiókjuk felfüggesztésre került vagy megkeresés alapú közvetítési díjrendszerbe kerültek nem opcionális szerződés teljesítése – GDPR 6. cikk (1) bek. b) pont és jogos érdek érvényesítése– GDPR 6. cikk (1) bek. f) pont E-mail cím, telefonszám, IP cím, eszközazonosító, vezetéknév és keresztnév, autó adatok, utazási adatok Az utolsó pozitívtól eltérő értékelés időpontja vagy a felfüggesztés, figyelmeztetés időpontja, átsorolás időpontja (ha ezek közül több is fennáll, közülük a legkésőbbi) után 3 év Szerverszolgáltatók
Releváns időpontban és módon a rendszer használatára ösztönző értesítés küldése opcionális az Érintett önkéntes és kifejezett hozzájárulása (GDPR 6. cikk (1) bek. a) pont) Utazási adatok (utazásban vállalt szerep, utazás időpontja és viszonylata), e-mail cím Érintett hozzájárulásának visszavonása (GDPR 17. cikk (1) bek. b) pont) Szerverszolgáltatók
Ügyfélszolgálati panaszok kivizsgálásának és visszakereshetőségének biztosítása nem opcionális (ügyfélszolgálati megkeresés esetén) jogi kötelezettség teljesítése - fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (5) és 17/B. § (3) Elektronikus csatornán vagy telefonon benyújtott fogyasztói panasz, észrevétel és a hozzá köthető elérhetőség (e-mail cím, telefonszám vagy facebook-azonosító) jogi kötelezettség teljesítése - fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (5) és 17/B. § (3) Freshworks Inc (elektornikus megkeresések) vagy Fonio Kft. (telefonos megkeresések), Google LLC
Rendelt matricák kézbesítése és a rendelés állapotának követése opcionális szerződés teljesítése– GDPR 6. cikk (1) bek. b) pont Név, postázási cím A rendelt matrica postázását követő 60 nap Szerverszolgáltatók

Kiknek továbbítunk személyes adatokat?
A fenti táblázatban is hivatkozott, alábbi szervezeteknek továbbíthatjuk adataid, akik adatfeldolgozó szerepkört látnak el:

Szerverszolgáltatók:

Adatfeldolgozó neve: Linode LLC
Széhely: 329 E. Jimmie Leeds Road, Suite A Galloway, NJ 08205, Amerikai Egyesült Államok
Továbbított adatok köre: Teljes
Adatok kezelésének helye: Unit 1, Volt Avenue, NW10 6PW London, Egyesült Királyság (Telecity Powergate Data Center)
Adattovábbítás célja: A Szolgáltató (Oszkár) által bérlet szerverek a Linode LCC fenti címen elérhető szerverparkjában helyezkednek el, itt történik
minden adat tárolása, kezelése.
Adatkezelési szabályzet: https://www.linode.com/privacy

Adatfeldolgozó neve: Vision-Software Kft.
Székhely: 1149 Budapest, Pósa Lajos utca 51.
Továbbított adatok köre: vezetéknév, keresztnév, számlázási név, számlázási cím (vállalatirányítási rendszer kapcsán) és minden kezelt adat (szerverszolgáltatás kapcsán)
Adattovábbítás célja: Vállalatirányítási rendszer üzemeltetésének biztosítása és szerverszolgáltatás nyújtása riportálási célból
Biztonságos adatkezelés külön szerződés alapján szabályozva.


Egyéb adatfeldolgozók:

Adatfeldolgozó neve: OTP Mobil Szolgáltató Kft.
Székhely: 1093 Budapest, Közraktár u. 30-32.
Továbbított adatok köre: név, cím, telefonszám, e-mail cím, bankszámlaszám
Adattovábbítás célja: az online fizetés során a felhasználók részére történő ügyfélszolgálati segítségnyújtás, a tranzakciók visszaigazolása és a felhasználók védelme érdekében végzett fraud-monitoring. Az online fizetés-elfogadás esetén tranzakció-biztonsági (fraud) ellenőrzés és kifizetések kezelése.
Adatkezelési szabályzat: http://simplepay.hu/vasarlo-aff

Adatfeldolgozó neve: Facebook Ireland Ltd.
Székhely: 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Írország
Továbbított adatok köre: e-mail cím, telefonszám
Adattovábbítás célja: Releváns hirdetések megjelenítése
Adatkezelési szabályzat: https://www.facebook.com/about/privacy/update/printable

Adatfeldolgozó neve: Google LLC.
Székhely: 1600 Amphitheatre Parkway, Mountain View, CA 94043 Amerikai Egyesült Államok
Továbbított adatok köre: Vállalati felhőtárhelyben elhelyezett adatok: felhasználói név (kimutatásokban), nyereményjátékok nyerteseinek adatai
Adattovábbítás célja: Szolgáltató (Oszkár) belső riportok készítése, nyilvántartások vezetése “Google Drive” szolgáltatással
Adatkezelési szabályzat: https://policies.google.com/privacy?hl=hu

Adatfeldolgozó neve: Fonio-Voip Kft.
Székhely: 6900 Makó, Bajcsy-Zsilinszky lakótelep A/4 lépcsőház B épület 4. emelet 13.
Továbbított adatok köre: Ügyfélszolgálati telefonhívások rögzített hanganyaga, telefonszám
Adattovábbítás célja: Telefonon ügyfélszolgálat biztosítása
Adatkezelési szabályzat: http://fonio.hu/documents/tac

Adatfeldolgozó neve: Freshworks, Inc.
Székhely: 1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, Amerikai Egyesült Államok
Továbbított adatok köre: Ügyfélszolgálati megkeresések, e-mail cím, felhasználói név, Facebook azonosító
Adattovábbítás célja: Elektronikus ügyfélszolgálat biztosítása
Adatkezelési szabályzat: https://www.freshworks.com/privacy/

Adatfeldolgozó neve: DigiCom Media Kft.
Székhely: 6724 Szeged, Nádas u. 15/A.
Továbbított adatok köre: Telefonszám, felhasználói név
Adattovábbítás célja: SMS értesítés küldésének biztosítása, telefonszám valódiságának ellenérzése SMS visszaigazolással
Biztonságos adatkezelés külön szerződés alapján szabályozva.

Adatfeldolgozó neve: Dream Interactive Kft.
Székhely: 1027 Budapest, Medve utca 24.
Továbbított adatok köre: Telefonszám, felhasználói név
Adattovábbítás célja: SMS értesítés küldésének biztosítása, telefonszám valódiságának ellenérzése SMS visszaigazolással
Adatkezelési szabályzat: https://seeme.hu/szerzodesi-feltetelek

A fenti partnereink kizárólag Adatfeldolgozóként járnak el, azaz a személyes adataid felhasználásával kapcsolatos jogokat és kötelezettségeket Adatkezelőként mi határozzuk meg számukra. Tehát az Adatfeldolgozók az adatkezelést érintő döntést nem hozhatnak, személyes adatot saját célra nem dolgozhatják fel, továbbá azokat az Adatkezelő, azaz a mi rendelkezéseink szerint kötelesek tárolni és megőrizni.

Hatóságok részére
Amennyiben az arra feljogosított hatóságok (pl. rendőrség, ügyészség, bíróság, NAV, NAIH) a vonatkozó jogszabályokban előírt módon az Adatkezelőtől általa kezelt személyes adatot kérnek, az Adatkezelő törvényi kötelezettségének eleget téve adja át a kért személyes adatokat.


Automatikus és manuális moderálás
Az ÁFF-ben meghatározott feltételek betartásának biztosítása miatt (különösen az elérhetőségek közzétételének tilalma kapcsán) bizonyos adatokat automatikus módon, illetve szükség szerint emberi beavatkozással moderáljuk. Az érintett adatok köre:

  • Belső üzenetek szövege. A moderáció célja kizárólag az, hogy helyfoglalást vagy a csomagszállítási ajánlat elfogadását megelőzően ne legyen lehetőség elérhetőség átadására. Ezzel védünk Téged, nehogy a foglalás elmaradása miatt később ne tudjunk segíteni esetleges probléma esetén, illetve saját érdekeinket, hogy a rendszert kikerülését megakadályozzuk. Ennek megfelelően a foglalást követően küldött üzenetek nem kerülnek moderálásra.

  • Bemutatkozó szöveg

  • Úttal kapcsolatban megadott minden adat, beleértve a megjegyzés rovat tartalmát


Profilalkotás
A Rendszerben több helyen is alkalmazunk automata profilalkotást, melyet a megbízhatósághoz és mozgáshoz kapcsolódó jellemzők elemzésére és előrejelzésére használunk. Ezekkel kapcsolatban Téged, mint érintettet tájékoztatunk és kifejezett hozzájárulásod kérjük, mielőtt olyan funkciókat vennél igénybe, melyek következtében Rád is kiterjedne a profilalkotási tevékenységünk.

Autós hirdetést feladókat (autósokat) érintő profilalkotás:

  • A feladott hirdetések adatai alapján személyre szabott kommunikációt folytatunk, melynek célja a hirdetésfeladásra ösztönzés. Például ha szoktál utazni nagyobb ünnepek előtt, akkor ezen információ birtokában személyre szabottan hirdetés feladására emlékeztetünk egy újabb nagyobb ünnep előtt, amennyiben az adott ünnep kapcsán még nem adtál fel hirdetést.
  • A feladott hirdetéseken való helyfoglalás-megvalósulási arány alapján másfajta elszámolási rendszerbe sorolhatunk. Ha egy autósnál kiemelkedően gyenge arányban teljesülnek csak a helyfoglalások, Megkeresési alapú közvetítési díjrendszerbe sorolással (lásd ÁFF 9.2) motiváljuk olyan hirdetési gyakorlatra, hogy a nála foglalók el is tudjanak vele utazni. Tartósan és kiemelkedően gyenge statisztika esetében felfüggesztéssel élünk.
  • A hirdetések jellege alapján üzleti csomag vásárlására kötelezhetünk (lásd ÁFF 7. pont)
Autós hirdetésen helyet foglalókat (utasokat) érintő profilalkotás:

  • A helyfoglalással érintett hirdetések adatai alapján személyre szabott kommunikációt folytatunk, melynek célja a további sikeres helyfogalások ösztönzése
  • Tartósan és kiemelkedően gyenge helyfoglalás-lemondási arány esetén felfüggesztéssel élünk.

Fontos, hogy ha úgy érzed, hogy az automata döntéshozatal számodra káros hatással jár(t), kifejezheted álláspontod, a döntéssel szemben kifogást nyújthatsz be vagy emberi beavatkozást kérhetsz elérhetőségeinken.

Különleges kategóriájú személyes adatkezelés kizárása
Bár a Rendszerben kezelünk fényképeket, ez nem minősül különleges adatkezelésnek, mivel a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel nem kezeljük őket. Tehát nem tudjuk meghatározni, hogy a feltöltött fénykép kit ábrázol, és erre nem is törekszünk.

Kapcsolódó honlapok
A Weboldal tartalmaz olyan linkeket, hivatkozásokat, amelyek más internetes honlapokra irányítják a látogatókat. Ezek a honlapok nem a tulajdonunkban vannak, csupán hozzáférést biztosítunk, azonban nem vállalunk semmilyen kötelezettséget, felelősséget e weboldalakért vagy az azokon elhelyezett információkért.

Hozzáférés más csatornákon
Fenntartjuk a lehetőségét annak, hogy meglévő és folyamatosan fejlesztés alatt álló REST API-nkon keresztül hozzáférést biztosítsunk külső partnerek számára a Rendszerhez. Például az Oszkár mobilalkalmazások felé is ezen az API-n keresztül zajlik a kommunikáció a szerverrel. Ezen keresztül kizárólag azon adataidhoz lehet hozzáférni, melyekhez az API használója a weboldalon keresztül is jogosult lenne, tehát tulajdonképpen csak a hozzáférés csatornájában van különbség.

II. Adatvédelmi Szabályzat


1. Szolgáltatói kötelezettségvállalások és kötelezettségek
A Szolgáltató, mint Adatkezelő kötelezettséget vállal arra, hogy

◦ a Szolgáltatásával kapcsolatos adatkezelést mindenkor a vonatkozó jogszabályi előírásokhoz (különösen az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény adatkezelési előírásai, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelete, röviden: GDPR) és a mindenkori biztonsági követelményekhez igazodva végzi;

◦ gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását;

◦ minden olyan harmadik felet, akiknek az adatokat esetlegesen továbbítja vagy átadja, ugyancsak felhívja ez irányú kötelezettségeinek teljesítésére.

A Szolgáltató köteles

• az Adatkezelési Tájékoztatót és Adatvédelmi Szabályzatot a www.oszkar.com Weboldalon folyamatosan és jól látható helyen elérhetővé tenni.

• az általa végzett adatkezelési tevékenységekről és a személyes adatok továbbításáról nyilvántartást vezetni a GDPR 30. cikke szerinti tartalommal,

• a felhasználók és az érintettek személyes adatainak védelme érdekében a személyes adatokat bizalmasan kezelni és minden olyan biztonsági, technikai, szervezeti és szervezési intézkedést megtenni, ami garantálja a kezelt adatok biztonságát.

• gondoskodni arról, hogy az automatikusan rögzített adatok a felhasználói személyes adatokkal – kivéve, ha azt törvény lehetővé teszi – ne legyenek összekapcsolhatók.

• gondoskodni róla, hogy minden Partnere magára nézve kötelezőnek ismerje el jelen Szabályzat tartalmát.

• az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a tudomány és a technológia állására,

• az adatkezelés során megvédeni az információt, hogy csak az férhessen hozzá, aki erre jogosult, továbbá gondoskodni róla, hogy az információk a rögzítés és a feldolgozás során megőrizzék pontosságukat és teljességüket.

• A Szolgáltatónak úgy kell kialakítania a Weboldalt és annak felhasználói felületeit, hogy amikor a jogosult Felhasználónak szüksége van rá, hozzá tudjon férni.

• rendszerét az elvárható módon védetté tenni az érintettek jogaira és szabadságaira jelentett változó valószínűségű kockázatoktól, a számítógéppel támogatott csalás, szabotázs, vandalizmus, kémkedés, tűz és árvíz, számítógépvírusok, a számítógépes betörések, stb. támadások ellen.

• Amennyiben jogszabály vagy jogerős hatósági döntés a Szolgáltatót a rendelkezésére álló személyes adatok továbbítására kötelezi, úgy a Szolgáltató ezt teljesíti. Jogszabály vagy jogerős hatósági döntés alapján megvalósuló adatátadásból származó következmények miatt a Szolgáltató minden felelősségét kizárja.

• Az Internet használata köztudomásúlag – így a Felhasználó számára is ismert módon – nem száz százalékos biztonságú. Az elvárható legnagyobb gondosság mellett sem zárható ki, hogy a támadások esetleg sikerrel járnak és kárt okoznak a Felhasználónak vagy magának a Szolgáltatónak. A Szolgáltató mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos, vagy súlyosan gondatlan magatartásából származott.

2. Fogalmak
A leggyakrabban használt fogalmak magyarázata:

Érintett
Bármely személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

Személyes adat
Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Hozzájárulás
Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Adatkezelő
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. A jelen Szabályzat tekintetében a Szolgáltató adatkezelőnek minősül, mivel a Szolgáltató önállóan határozza meg a személyes adatok kezelésének céljait és eszközeit, az adatkezelésre vonatkozóan meghozza és végrehajtja a döntéseket, vagy az adatfeldolgozóval végrehajtatja.

Adatkezelés
A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatfeldolgozó
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Harmadik fél
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

Címzett
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

Adatvédelmi incidens
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.


Profilalkotás
A természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére, ha az az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti.


3. Adatbiztonság
3.1. Óvintézkedések

Az Adatkezelő és az adatfeldolgozók a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével az alábbi megfelelő technikai és szervezési intézkedéseket hajtják végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot garantálják:

a) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

A Szolgáltató az adatok kezeléséhez használt informatikai eszközöket úgy üzemelteti, hogy a kezelt személyes adatok csak az arra feljogosítottak számára legyen hozzáférhető (adat bizalmassága), de számukra folyamatos legyen az elérhetőség (rendelkezésre állás).

A Szolgáltató az adatok kezeléséhez használt informatikai eszközöket úgy üzemelteti, a rendszer úgy került felépítésre, hogy a kezelt személyes adatok a hitelessége és hitelesítése biztosított legyen (adatkezelés hitelessége), amit széles körű naplózási rendszerrel biztosít, ami megfelelően támogatja és igazolja a személyes adatok szabályozott módosíthatóságát, illetve változatlanságát (adatintegritás);

b) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását legkésőbb 3 munkanapon belül vissza lehessen állítani;

c) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres, legalább félévente esedékes tesztelését, felmérését és értékelésének megvalósítását.


Informatikai rendszerünk és hálózatunk az általános piaci műszaki fejlettség szokásos szintjét alapul véve egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. A biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.

A biztonság megfelelő szintjének meghatározásakor figyelembe vett kockázatok:

• személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából eredő kockázat,
• személyes adat jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázat.

3.2. Incidensek kezelése

Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a GDPR 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az érintett tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

A Felhasználók és érintettek jogai
1. Hozzáférési jog
Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) a személyes adatok másolata (további példányokat plusz költség ellenében),
b) az adatkezelés céljai,
c) az adatok kategóriái,
d) automatizált döntéshozatallal, profilalkotással kapcsolatos adatok,
e) adatátvételnél a forrásra vonatkozó információk,
f) címzettek, akik részére az adatokat közölték vagy közölni fogják,
g) harmadik országba történő adattovábbítással kapcsolatos információk, garanciák,
h) a tárolás időtartama és annak szempontjai,
i) az érintett jogai,
j) hatósághoz fordulás joga.

2. Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

3. Törléshez való jog (az elfeledtetéshez való jog)
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
c) az érintett tiltakozik az adatkezelés ellen (ld. 6. pont) és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
d) a személyes adatokat jogellenesen kezelték,
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,
f) a személyes adatok gyűjtésére a gyermekeknek a személyes adatok kezeléséhez való hozzájárulására vonatkozó feltételek körében említett információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
A törléshez való joggal akkor nem élhet az érintett, amennyiben az adatkezelés szükséges:
a) jogi kötelezettség teljesítéséhez,
b) jogi igények érvényesítéséhez.

4. Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát,
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
Az adatkezelés korlátozásának következményeként az ilyen személyes adatokat a tárolás kivételével csak:
a) az érintett hozzájárulásával,
b) jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
c) más természetes vagy jogi személy jogainak védelme érdekében, vagy
d) az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az adatkezelő az érintettet, akinek kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

5. Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés hozzájáruláson alapul, vagy olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, és
b) az adatkezelés automatizált módon történik.

Az adathordozhatósághoz való jog gyakorlása során az érintett jogosult arra, hogy kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

6. A tiltakozáshoz való jog
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett ily módon tiltakozik a személyes adatok kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
A Szolgáltató a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

7. Automatizált döntéshozatallal és a profilalkotással kapcsolatos jogok
A Szolgáltató a profilalkotási tevékenység keretében elemzi az Érintettek rendszerhasználati szokásait. Részletesebben lásd Adatkezelési Tájékoztató Profilakotás rész.

Az érintettnek joga van emberi beavatkozást kérni, álláspontját kifejezni és a döntéssel szemben kifogást benyújtani.

8. E jogokat gyakorolni a Szolgáltató központi e-mail címén, Rendszeren belüli üzenetben vagy postai levélben lehetséges. Felhasználó adatkezeléssel kapcsolatos kérdés, kifogás vagy észrevétel esetén a Szolgáltató munkatársaival az adatvedelem@oszkar.com e-mail címen léphet kapcsolatba vagy írásban keresheti meg a Szolgáltatót annak székhelyére címzett ajánlott vagy tértivevényes-ajánlott levélküldeménnyel.

9. A Felhasználói tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet a Szolgáltatóhoz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

10. Az érintett tájékoztatását a Szolgáltató csak törvényi okokra hivatkozva tagadhatja meg. A tájékoztatás megtagadása esetén a Szolgáltató írásban közli az érintettel, hogy a felvilágosítás megtagadására az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a Szolgáltató tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről. Az elutasított kérelmekről a Szolgáltató a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente a tárgyévet követő év január 31-éig értesíti.

11. A Szolgáltató az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az esetleges adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

5. Bírósági és egyéb jogérvényesítési lehetőségek
1. A Felhasználó a jogainak megsértése esetén, valamint az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény 21. §-ban meghatározott esetekben az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.

2. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, a Szolgáltató köteles bizonyítani. Az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény 21. § (5) és (6) bekezdése szerinti esetben a részére történő adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.

3. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Nemzeti Adatvédelmi és Információszabadság Hatóság az érintett pernyertessége érdekében beavatkozhat.

4. Ha a bíróság a kérelemnek helyt ad, a Szolgáltatót a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény 21. §-ban meghatározott adatátvevő által kért adat kiadására kötelezi.

5. Ha a bíróság az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény 21. §-ban meghatározott esetekben az adatátvevő kérelmét elutasítja, a Szolgáltató köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. A Szolgáltató köteles az adatokat akkor is törölni, ha az adatátvevő az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény 21. § (5), illetve (6) bekezdésében meghatározott határidőn belül nem fordul bírósághoz.

6. A bíróság elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik.

7. Bármilyen személyes adattal kapcsolatos kérdésben kérhető a Nemzeti Adatvédelmi és Információszabadság Hatóság segítsége is.

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
postai cím: 1530 Budapest, Pf.: 5.
cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C
Telefon: 36 (1) 391-1400
Fax: 36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
domain: www.naih.hu

6. Kártérítés és sérelemdíj
1. Ha a Szolgáltató a Felhasználó adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.

2. Ha a Szolgáltató az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.

3. Az érintettel szemben a Szolgáltató felel az adatfeldolgozó által okozott kárért és a Szolgáltató köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. A Szolgáltató mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.

4. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.


7. Záró rendelkezések
1. A Szolgáltató fenntartja magának a jogot, hogy jelen Szabályzatot bármikor, egyoldalúan módosíthassa. A jelen Szabályzat módosításáról a Szolgáltató a Felhasználót a www.oszkar.com Weboldalon történő közzététele útján értesíti.

2. Az egységes szerkezetű Szabályzat a módosítás hatályba lépését megelőzően legalább tizenöt (15) nappal elérhetővé válik a Weboldalon.

3. A Szolgáltató a módosítás hatályba lépését követően a Felhasználótól – a módosulást követő első használatkor - ismételten beszerzi a módosított Adatkezelési Szabályzat elfogadásáról szóló - tevékeny közreműködéssel tett - nyilatkozatát.



Budapest, 2018. május 18. (Hatályos: 2018. május 25-tól)




Az Oszkár ATASz archív vagy hatálybalépésre váró verziói