A FestiPay Készpénzmentes Fizetési Szolgáltatások Zártkörűen Működő Részvénytársaság adatkezelési tájékoztatója

 

Hatályos 2019. június 1. napjától

 

  1. Bevezetés, az adatkezelési tájékoztató célja, hatálya, irányadó jogszabályok

A FestiPay Készpénzmentes Fizetési Szolgáltatások Zártkörűen Működő Részvénytársaság (továbbiakban: FestiPay Zrt. vagy Társaság vagy Adatkezelő) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (továbbiakban: Info tv.), valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendeletében (továbbiakban: GDPR) foglaltakkal és a további vonatkozó jogszabályokkal összhangban megalkotta a jelen adatkezelési tájékoztatót („Adatkezelési tájékoztató”).

Jelen adatkezelési tájékoztató hatálya a FestiPay Zrt. valamennyi személyes adatkezeléseire kiterjed. A FestiPay Zrt. elkötelezett a Látogatók és az Ügyfelek személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását, a személyes adatokat bizalmasan kezeli és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, amely az adatok biztonságát garantálja.

A FestiPay Zrt. fenntartja a jogot az Adatkezelési tájékoztató mindenkori egyoldalú módosítására. A jelenleg hatályos szövegezés érvényességének kezdete az Adatkezelési tájékoztató elején található.

A FestiPay Zrt. elérhetőségei

  • Név: FestiPay Készpénzmentes Fizetési Szolgáltatások Zártkörűen Működő Részvénytársaság
  • Székhely: 1135 Budapest, Reitter Ferenc utca 46-48.
  • Cégjegyzékszám: 01-10-048644
  • Adószám: 25405983-2-41
  • E-mail: info@festipay.hu
  • Honlap: http://www.festipay.hu/ és festipay.com

A Festipay Zrt. Közép-Európa legjelentősebb integrált rendezvénymenedzsment szolgáltatója, mely többek között teljeskörű készpénzmentes fizetési rendszerekkel, mobil fizetési szolgáltatással, jegykezeléssel és beléptetésekkel, valamint márka-kommunikációhoz kapcsolódó aktivitásokkal foglalkozik.

A FestiPay Zrt. nem rendelkezik kijelölt adatvédelmi tisztviselővel.

Az Adatkezelési tájékoztatóban használt kifejezések és hivatkozott cikkek a GDPR-ban meghatározott jelentéssel és tartalommal bírnak.

 

  1. Az adatkezelések módja

A FestiPay Zrt. biztosítja, hogy a személyes adatok

  1. kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végezzék („jogszerűség, tisztességes eljárás és átláthatóság”);
  2. gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezelje ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
  3. az adatkezelés céljai szempontjából megfelelőek és relevánsak legyenek, és a szükségesre korlátozódjanak („adattakarékosság”);
  4. pontosak és szükség esetén naprakésznek legyenek; a Festipay Zrt. minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse („pontosság”);
  5. tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerül sor, ha a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor („korlátozott tárolhatóság”);
  6. kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

 

  1. Az adatkezelések lehetséges jogalapjai

A FestiPay Zrt. tevékenysége során kizárólag abban az esetben kezel személyes adatot, ha legalább az alábbiak valamelyike megvalósul:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés a FestiPay Zrt.-re vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy a FestiPay Zrt.-re ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés a FestiPay Zrt. vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A FestiPay Zrt. elsődlegesen az érintett hozzájárulása alapján kezel személyes adatot.

Amennyiben egy harmadik fél közöl személyes adatot a FestiPay Zrt.-vel, a személyes adatot közlő harmadik fél felelőssége az érintett hozzájárulásának beszerzése és a FestiPay Zrt. semmilyen mértékben nem tartozik felelősséggel az ilyen hozzájárulás hiányáért és az abból eredő igényekért.

A Festipay Zrt. üzleti tevékenységének folytatása során, valamint az általa biztosított technilógia és know-how alapján gyakori partnere olyan rendezvényszervező cégeknek, melyek magánszemélyeket érintő ügyféladatbázissal rendelkezhetnek. Ezen esetek többségében a Festipay Zrt. az egyes rendezvények szervezői – mint adatkezelők – megbízásából adatfeldolgozói tevékenységet végez, melyre minden esetben egyedi megállapodással rendelkezik. Ennek során teljes mértékben megfelel a jelen tájékoztató 2. pontjában felsorolt adatkezelési alapelveknek, valamint a GDPR erre vonatkozó szabályozásainak, különös tekintettel a rendelet 28. cikkében foglalt adatfeldolgozói feladatokra és a 32. cikkében foglalt, az adatkezelések biztonságát érintő kötelezettségekre.

Amennyiben a Festipay Zrt-hez megkeresés érkezik valamely általa adatfeldolgozóként üzemeltetett technológiai rendszer Érintettje részéről a kezelt adatokhoz kapcsolódó kérés, észrevétel, bejelentés vagy felszólítás fomájában, akkor a Festipay Zrt. ezen megkeresést további intézkedés, és a GDPR adatkezelési elveinek való megfelelés céljából továbbítja az adott rendszer ügyében illetékes adatkezelő partnerének az Érintett egyidejű értesítése és tájékoztatása mellett.

         3.1 SimplePay adattovábbítási nyilatkozat

Tudomásul veszem, hogy a Festipay Zrt. (1135 Budapest, Reitter Ferenc utca 46-48) adatkezelő által a http://festipay.hu Festipay app felhasználói adatbázisában tárolt alábbi személyes adataim átadásra kerülnek az OTP Mobil Kft., mint adatfeldolgozó részére. Az adatkezelő által továbbított adatok köre az alábbi: Név, Email cím, Bankkártya adatok
Az adatfeldolgozó által végzett adatfeldolgozási tevékenység jellege és célja a SimplePay Adatkezelési tájékoztatóban, az alábbi linken tekinthető meg: http://simplepay.hu/vasarlo-aff

 

  1. Adatkezelések

 

4.1. ügyféllevelezés

A Festipay Zrt. megkeresése a jelen tájékoztatóban megadott, illetve a Társaság központi honlapján elhelyezett elérhetőségeken keresztül lehetséges.

A Festipay Zrt. minden hozzá beérkezett e-mailt a küldő nevével, az e-mail címmel, a dátum, időpont adatokkal és más, az üzenetben esetlegesen megadott egyéb személyes adatokkal együtt az adatközléstől számított legfeljebb öt év elteltével töröl.

Az adatkezelés célja: kapcsolatfelvétel, információnyújtás, szerződés előkészítés.

Az adatkezelés jogalapja: önkéntes hozzájárulás.

A Festipay Zrt. a Google Workspace szolgáltatást használja e-mailek küldésére és fogadására, az elektronikus üzenetek a Google szerverein keresztül érkeznek a Festipay Zrt-hez.

Adatfeldolgozó adatkezelési tájékoztatója elérhető: https://policies.google.com/privacy?hl=hu)

 

4.2. honlap és cookie kezelés

A Festipay Zrt. a honlapjára Látogatók még teljesebb kiszolgálása érdekében ún. anonim Látogató-azonosítókat alkalmazhat a vele kapcsolatba kerülő Látogatók számítógépére elhelyezve.

Az anonim Látogató-azonosító (cookie) egy olyan egyedi azonosításra, illetve profilinformációk tárolására alkalmas jelsorozat, melyet a szolgáltatók a Látogató számítógépére helyeznek el. Az ilyen jelsorozat önmagában semmilyen módon nem képes a Látogató azonosítani, csak a Látogató számítógépének felismerésére alkalmas. Az internet hálózati világában a személyhez kötődő információkat, a testreszabott kiszolgálást csak akkor lehet biztosítani, ha a szolgáltatók egyedileg azonosítani tudják ügyfeleik szokásait, igényeit.

Amennyiben a Látogató nem szeretné, hogy ilyen azonosító jel kerüljön a számítógépére, módja van a böngészőjét úgy beállítani, hogy az ne engedje meg az egyedi azonosító jel elhelyezését, ebben az esetben azonban lehetséges, hogy a szolgáltatásokat nem vagy nem olyan formában éri majd el a Látogató, mintha engedélyezte volna az azonosítók elhelyezését.

Az adatkezelés célja: a Látogatók egymástól való megkülönböztetése, a Látogatók aktuális munkamenetének azonosítása, az annak során megadott adatok tárolása, az adatvesztés megakadályozása, a felhasználók azonosítása, nyomon követése, webanalitikai mérések.

Az adatkezelés jogalapja: az érintett hozzájárulása.

A kezelt adatok köre: azonosítószám (IP cím), dátum, időpont.

Az adatkezelés időtartama: 180 nap

A sütit a Látogató képes törölni a saját számítógépéről, illetve letilthatja böngészőjében a sütik alkalmazását. A sütik kezelésére általában a böngészők Eszközök/Beállítások menüjében az Adatvédelem/Előzmények/Egyéni beállítások menü alatt, cookie, süti vagy nyomkövetés megnevezéssel van lehetőség.

Az adatszolgáltatás elmaradásának lehetséges következményei: a honlap szolgáltatásainak nem teljes körű igénybevehetősége, analitikai mérések pontatlansága.

 

4.3. a Társaság által kezelt internetes közösségi média oldalak

Az adatkezelés célja: A Festipay Zrt. üzleti tevékenységének fokozása, a szolgáltatásait és technológiai megoldásait használó magánszemélyek ügyfélélményének erősítése, továbbá munkavállalóinak elköteleződése és/vagy új érdeklődő munkavállalók jelentkezésének megkönnyítése.

Ennek érdekében a Társaság használja a modern, és széles körben ismert internetes technológiák olyan lehetőségeit, melyet a:

  • Facebook
  • Linkedin
  • Instagram

biztosítanak. Ezen oldalak használata esetén a látogató/felhasználó elfogadja az adott oldal üzemeletőjének adatkezelési irányelveit is.

Az adatkezelés jogalapja: minden esetben az érintett önkéntes hozzájárulása, valamint esetleges tömegfelvételek feltüntetése esetén az erre vonatkozó egyéb szabályozások is. Amennyiben bármely látogató/felhasználó kifogást emel az adott oldalon látható valamely kép tartalma vagy feltüntetése okán, azt a sales@festipay.com email címre írt levélben, indoklással együtt is megteheti.

Ezen oldalak használatával a felhasználók üzeneteket is küldhetnek a Társaság részére. Ilyen esetben a kezelt adatok köre:

  • az ügyfélmegkeresést indító felhasználó adott platformon belüli – önkéntesen megadott – profiladatai,
  • valamint az általa írt üzenetben foglalt esetleges egyéb adatok.

Az adatkezelés időtartama: az adatok az ügy kivizsgálása és lezárása után max. 5 éven belül törlésre kerülnek.

Adatfeldolgozók ezen közösségi média oldalak használata esetén:

  • Facebook Ireland Ltd.
    4 Grand Canal Square
    Grand Canal Harbour
    Dublin 2 Ireland
  • LinkedIn Ireland Unlimited Company
    Wilton Plaza
    Wilton Place, Dublin 2
    Ireland

 

4.4. elektronikus megfigyelő rendszer

A Festipay Zrt. a székhelyén video megfigyelő- és rögzítőrendszert működtet. Kamerák irányulnak az iroda területére belépő ügyfelekre és munkavállalókra.

Ezen személyes adatok kezelője: Festipay Zrt.

Az adatkezelés célja: elektronikus megfigyelő- és rögzítőrendszer üzemeltetése a személy -és vagyonbiztonság, az esetleges bűncselekmények megelőzése, felderítése érdekében

Az adatkezelés jogalapja: az ügyfelek esetében az érintett hozzájárulása a Társaság területére való belépéssel, munkavállalók esetében a 2012. évi I. tv.( Mt.) 11.§-a, továbbá a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény 25. §-a.

A kezelt adatok köre: A Társaság területére belépő személyeknek a képfelvételen látszódó arcképmása és egyéb, a megfigyelőrendszer által rögzített személyes adatai.

Az adatkezelés időtartama: felhasználás hiányában a felvétel rögzítését követő 72 óra.

Adatfeldolgozó: Cardnet Zrt. (székhely: 1135 Budapest, Reitter Ferenc u. 46-48.).

Az adatok tárolásával kapcsolatos információk: a felvételeket a Festipay Zrt. a megfigyelőrendszert üzemeltető adatfeldolgozó székhelyén található szervereken, fokozott adatbiztonsági intézkedések mellett tároltatja, így biztosítva, hogy illetéktelen személyek ne tekinthessék meg és másolhassák ki a felvételeket.

Hozzáférés a képekhez: a felvételek megtekintésére, a felvételek adathordozóra rögzítésére kizárólag a Festipay Zrt. vezérigazgatója – vagy akadályoztatása esetén az erre egyedileg felhatalmazott munkavállalója – jogosult, a jelen tájékoztatóban megjelölt adatkezelési célok megvalósulása érdekében.

Naplózás: a rögzített felvételekbe történő betekintéseket és adathordozóra rögzítéseket az azt végző személy nevével, az adatok megismerésének okával és időpontjával jegyzőkönyvben rögzíti a Társaság.

Az adatszolgáltatás elmaradásának lehetséges következményei: a Társaságnál történő személyes ügyintézés és munkavégzés lehetséges elmaradása.

 

Azon érintett, akinek jogát vagy jogos érdekét a képfelvétel rögzítése érinti, jogának vagy jogos érdekének igazolásával kérheti, hogy a felvételt az adatkezelő ne semmisítse meg, illetve ne törölje a bíróság vagy a hatóság megkereséséig, de legfeljebb 30 napig. A felvételen szereplő személy kérheti továbbá, hogy az adatkezelő írásban tájékoztassa arról, hogy mi látható az őt tartalmazó felvételen. Az érintett csak olyan felvételről kaphat másolatot, amin más személy nem, vagy csak felismerhetetlen módon szerepel. Ha a fentiek nem teljesíthetők, az adatkezelő biztosítja az érintett számára, hogy megtekinthesse az őt is tartalmazó felvételt.

 

4.5. Festipay mobil applikáció

Az adatkezelés célja: a Festipay mobiltelefon applikáción keresztül történő elektronikus, mobil fizetési szolgáltatás nyújtásával összefüggő adatkezelések, vagyis

  • az elektronikus mobil tranzakciós/fizetési szolgáltatás végfelhasználó részére történő biztosítása,
  • tranzakciók lebonyolítása,
  • a FestiPay Zrt. és a fizetési szolgáltatók általi nyomon követése.

A FestiPay Zrt. az érintett által megadott, alábbiakban meghatározott személyes adatokat (A) kezeli (adatkezelői minőségében), és (B) továbbítja a kereskedők és bankok vagy hitelintézetek számára, amelyek részt vesznek a Festipay mobiltelefon applikáción keresztül az érintett (végfelhasználó) által indított mobil fizetési tranzakció lebonyolításában:

  • mobiltelefonszám;
  • a bankkártya száma, biztonsági kódja, érvényességi ideje;
  • az érintett neve;
  • e-mail cím, kiszállítási cím és számlázási cím.
  • Facebook azonosító (az applikációba való belépéshez vehető igénybe)

Az adatkezelés időtartama: a FestiPay Zrt. a személyes adatokat addig kezeli, amíg az érintett törli a Festipay mobiltelefon applikációban megadott személyes adatait, vagy a megadott bankkártya érvényességi ideje lejár. Ezen esetekben a személyes adatok haladéktalanul törlésre kerülnek. A számviteli célú adatkezelés idejére a számvitelről szóló 2000. évi C. törvény rendelkezései irányadók.

Adatfeldolgozó: az applikációt lefejlesztő és üzemeltető Cardnet Zrt. (székhely: 1135 Budapest, Reitter Ferenc u. 46-48.).

 

A speciálisan a Festipay mobil applikációra vonatkozó teljes és részletes adatkezelési tájékoztató jelen általános adatkezelési tájékoztatótól függetlenül is folyamatosan elérhető a http://www.festipay.hu/szabalyzat/ internetes oldalon.

4.6. egyéb adatkezelések és hatósági megkeresések

Az e tájékoztatóban fel nem sorolt esetleges, időszakos adatkezelésekről az adat felvételekor ad tájékoztatást a Festipay Zrt.

A kezelt adatok átadásra kerülhetnek a Festipay Zrt. megbízása alapján az adatfeldolgozást, számlázást, könyvelést, a követelések kezelését, a kézbesítést, az ügyfélszolgálatot végző személyek, illetve a jogviták rendezésére jogszabály alapján jogosult szervek részére. A személyes adatokat a fentiek szerint átvevők a Festipay Zrt-nek biztosítanak szolgáltatásokat és elsősorban Magyarországon vagy az Európai Gazdasági Térségben működnek helyileg. Ezek a személyek a Festipay Zrt. utasításai szerint járnak el az adatokkal, és nem használhatják fel ettől eltérő célra az adatokat, illetve őket titoktartási és adatvédelmi kötelezettség terheli.

A bíróság, az ügyészség, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatósága, illetőleg a jogszabály felhatalmazása alapján más szervek (továbbiakban: Hatóság) tájékoztatás adása, adatok közlése, átadása illetőleg iratok rendelkezésre bocsátása végett megkereshetik a Festipay Zrt., mint adatkezelőt vagy adatfeldolgozót.

A Festipay Zrt. a Hatóság részére – amennyiben a Hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

 

 

  1. Biztonsági intézkedések

A FestiPay Zrt. biztosítja a GDPR-ban meghatározott kötelezettségei teljesítését, a személyes adatok megfelelő szintű, a lehetséges kockázatokat figyelembe vevő védelméhez szükséges technikai és szervezési előírások meghozatalát, intézkedések megtételét. Ezek az intézkedések garantálják a személyes adatok megfelelő szintű biztonságát, figyelembe véve a tudomány és technológia állását, a megvalósítás költségeit, továbbá az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint az érintettek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatokat. A FestiPay Zrt. minden esetben megteszi a személyes adatok véletlenszerű vagy jogellenes megsemmisítése, elvesztése, hamisítása, jogtalan hozzáférése vagy továbbítása, vagy más jogellenes kezelése elleni védelméhez szükséges megfelelő intézkedéseket.

 

  1. Adatkezelés, adattovábbítás az EGT-n kívülre

A FestiPay Zrt. a mobil fizetési szolgáltatásai biztosításával összefüggésben a következő szervezetek, személyek részére továbbít adatot:

  • a tranzakciókban résztvevő bankok és hitelintézetek;
  • a FestiPay Zrt. adatfeldolgozói;
  • a tranzakciókban résztvevő kereskedők.

A FestiPay Zrt. nem továbbít semmilyen, az EGT-n belülről származó adatot az Európai Gazdasági Térség országain kívülre.

 

  1. Az érintettek jogai

 

  • Az átláthatósághoz, a tájékoztatáshoz és az intézkedésekhez való jog

A FestiPay Zrt. megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – adja meg. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

  • Az információhoz való jog
    • Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjti, a FestiPay Zrt. a személyes adatok megszerzésének időpontjában az érintettet tájékoztatja a következő információk mindegyikéről:
  • a FestiPay Zrt. kiléte és elérhetőségei;
  • a személyes adatok kezelésének célja, valamint az adatkezelés jogalapja;
  • ha az adatkezelés jogalapja jogos érdek érvényesítése, a FestiPay Zrt. vagy harmadik személy jogos érdeke;
  • a személyes adatok címzettjei, illetve a címzettek kategóriái;
  • adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

A fentieken túl a FestiPay Zrt. annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

  1. a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  2. az érintett azon jogáról, hogy kérelmezheti a FestiPay Zrt.-től a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  3. az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  4. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  5. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  6. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

H a FestiPay Zrt. a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

  • Ha a személyes adatokat nem az érintettektől szerzi, a FestiPay Zrt. az alábbiakról tájékoztatja az érintett rendelkezésére:
  1. a FestiPay Zrt. kiléte és elérhetőségei;
  2. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  3. az érintett személyes adatok kategóriái;
  4. a személyes adatok címzettjei, illetve a címzettek kategóriái;
  5. adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

A fentieken túl a FestiPay Zrt. az érintettet ezúton tájékoztatja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkról:

  1. a személyes adatok tárolásának időtartama;
  2. ha az adatkezelés jogos érdeken alapul, a FestiPay Zrt. vagy harmadik fél jogos érdekeiről;
  3. az érintett azon joga, hogy kérelmezheti a FestiPay Zrt.-től a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
  4. az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  5. a felügyeleti hatósághoz címzett panasz benyújtásának joga;
  6. a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
  7. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

A FestiPay Zrt. a 7.2.2. pont szerintieket a következő módon biztosítja:

  • a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül;
  • ha a személyes adatokat az érintettel való kapcsolattartás céljára használja, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  • ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

Ha a FestiPay Zrt. a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

Az információ biztosítása nem kötelező, ha:

  1. az érintett már rendelkezik azokkal;
  2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelés esetében
  3. az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy magyar jogszabály;
  4. a személyes adatnak bizalmasnak kell maradnia, uniós vagy magyar jogszabályban meghatározott szakmai titoktartási kötelezettség alapján (például banktitok esetén).

 

  • A hozzáféréshez való jog

Az érintett jogosult arra, hogy a FestiPay Zrt.-től visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

  1. az adatkezelés céljai;
  2. az érintett személyes adatok kategóriái;
  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az érintett azon joga, hogy kérelmezheti a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  6. a felügyeleti hatósághoz címzett panasz benyújtásának joga;
  7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  8. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

 

  • A helyesbítéshez való jog

Az érintett kérelmezheti a FestiPay Zrt.-nél, hogy helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

  • A törléshez („elfeledtetéshez”) való jog

Az érintett jogosult arra, hogy kérésére a FestiPay Zrt. indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
  4. a személyes adatokat jogellenesen kezelték;
  5. a személyes adatokat a FestiPay Zrt.-re alkalmazandó uniós vagy magyar jogszabályban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha a FestiPay Zrt. nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A törléshez való jog nem kötelező, ha az adatkezelés:

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  2. közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai céljából;
  3. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez;
  4. uniós vagy magyar jogszabályban meghatározott kötelezettség teljesítéséhez szükséges.

 

  • A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű célból vagy jogos érdeken alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben a FestiPay Zrt. a személyes adatokat nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatokat a FestiPay Zrt. a továbbiakban e célból nem kezeli.

  • Az adatkezelés korlátozásához való jog

Az érintett jogosult a FestiPay Zrt.-től kérni az adatkezelés korlátozását, ha:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a FestiPay Zrt. ellenőrizze a személyes adatok pontosságát;
  2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. a FestiPay Zrt .-nek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a FestiPay Zrt jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, a FestiPay Zrt az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az uniós, illetve magyar jogszabályok szerinti fontos közérdekéből kezeli tovább.

  • Az adathordozhatósághoz való jog

Az érintett jogosult a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapni, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek akadályoztatás nélkül továbbítsa, ha:

  1. az adatkezelés az érintett hozzájárulásán alapul vagy olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, és
  2. az adatkezelés automatizáltan történik.

Az érintett jelen pont szerinti joga gyakorlása során jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. A jelen pont szerinti jog gyakorlása nem sértheti a törléshez való jogot, kivéve, ha az adatkezelés közérdekű vagy az a FestiPay Zrt.-re ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges, továbbá nem érintheti hátrányosan mások jogait és szabadságait.

 

  1. Adatvédelmi incidens

Az adatvédelmi incidenst a FestiPay Zrt. indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, a FestiPay Zrt. mellékeli hozzá a késedelem igazolására szolgáló indokokat is. A Festipay Zrt. adatfeldolgozó partnerei a nálak esetlegesen előforduló adatvédelmi incidenst az arról való tudomásszerzésüket követően indokolatlan késedelem nélkül bejelentik a FestiPay Zrt.-nek.

Az adatvédelmi incidens bejelentése a következőket tartalmazza:

  1. az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  2. az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  3. az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  4. az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők. A FestiPay Zrt. nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a FestiPay Zrt. indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét és a fent meghatározottakat.

A FestiPay Zrt. az alábbi esetekben nem köteles tájékoztatni az érintettet:

  1. A FestiPay Zrt. megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. A FestiPay Zrt. az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

  1. Jogorvoslat, Felügyeleti hatóság

Az érintett jogainak megsértése esetén az illetékes bírósághoz fordulhat.

A Felügyeleti hatóság eljárása

Az érintett panasszal élhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, mint felügyeleti hatósághoz, az alábbi elérhetőségeken.

  • neve: Nemzeti Adatvédelmi és Információszabadság Hatóság
  • székhelye:1125 Budapest, Szilágyi Erzsébet fasor 22/C.
  • levelezési címe:1530 Budapest, Pf.: 5.
  • telefonszám:06-1/391-1400 fax:06-1/391-1410
  • e-mail: ugyfelszolgalat@naih.hu
  • honlap: http://naih.hu/index.html