Adatkezelési szabályzat

Budapest Film Zrt. (a továbbiakban: Társaság)

az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló – és 2018. május 25. napjától alkalmazandó – (EU) 2016/679 rendeletének (a továbbiakban: GDPR),

a GDPR által nem szabályozott körben az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotörvény), valamint

Társasággal kapcsolatba kerülő természetes személy ügyfelek, illetve munkavállalóink, továbbá egyéb személyek személyes adatainak fokozott védelme, illetve ezen személyes adatok jogszerű, tisztességes és átlátható kezelése, valamint felhasználása módjának meghatározása céljából

a változó jogszabályi környezethez alkalmazkodás, és Társaságunk adatvédelem iránti elkötelezettsége, ezzel együtt ügyfeleink és üzleti partnereink irányába fennálló bizalom fenntartása érdekében

AZ ALÁBBI SZABÁLYZATOT ALKOTJA:

I. Adatkezelő adatai

Adatkezelő cégneve: Budapest Fim Forgalmazó és Moziüzemi Zártkörűen Működő Részvénytársaság

Adatkezelő székhelye: 1082 Budapest, Corvin köz 1.

Adatkezelő cégjegyzékszáma: Cg: 01-10-042453

Adatkezelő adószáma: 10906110-2-42

Adatkezelő telefonszáma: +36 1 224 5600

Adatkezelő elektronikus elérhetősége: office@bpfilm.hu

II. Fogalom-meghatározások

A jelen Szabályzat alkalmazásában:

  1. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet (pl. gyűjtés, rögzítés, rendszerezés, lekérdezés, felhasználás, továbbítás, törlés), amelyet a Társaság üzletszerű gazdasági tevékenysége keretében végez;
  2. „adatkezelő”: a GDPR 4. cikk 7. pontjában meghatározott körben a Társaság;
  3. ”adatfeldolgozó”: az a természetes vagy jogi személy, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
  4. „adatvédelmi incidens”: a GDPR 4. cikk 12. pontjában meghatározott körülmény;
  5. „Hatóság”: a Nemzeti Adatvédelmi és Információszabadság Hatóság;
  6. „személyes adat”: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ, amelynek eredményeként a természetes személy közvetlen vagy közvetett módon, különösen valamely azonosító, így név, személyazonosításra alkalmas igazolvány adatai, helyadatok alapján egyedileg beazonosítható;
  7. „ügyfél”: a Társasággal üzletszerű gazdasági tevékenysége keretében végzett tevékenységére vonatkozóan kötelmi jogviszonyt létesítő természetes személy;

III. Szabályzat célja és hatálya

  • A jelen Szabályzat célja, hogy a Társaság valamennyi vezető tisztségviselője, illetve munkavállalója, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy tevékenysége során megtartsa az adatvédelemre vonatkozó mindenkor hatályos jogszabályi rendelkezéseket. A Társaság vezető tisztségviselői, munkavállalói, valamint a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek a Társasággal kapcsolatba kerülő természetes személy ügyfelek és egyéb természetes személyek személyes adatainak kezelése alkalmával kötelesek a GDPR, az Infotörvény, valamint a jelen Szabályzat rendelkezéseinek mindenek felett álló megtartására.
  • A Társaság a személyes adatok kezelése során köteles megtartani az adatkezelésre vonatkozó jogszabályokban meghatározott alábbi elveket (GDPR 5. cikk (1) bekezdés):
  • jogszerűség, tisztességes eljárás és átláthatóság;
  • célhoz kötöttség;
  • adattakarékosság;
  • pontosság;
  • korlátozott tárolhatóság;
  • integritás és bizalmas jelleg;
  • elszámoltathatóság.
  1. A Társaság a beépített és alapértelmezett adatvédelem kívánalmának megfelelően valamennyi adatkezelési tevékenysége során az adatvédelem elveit, illetve az adatvédelemre vonatkozó mindenkor hatályos jogszabályi követelményeket megtartva jár el az elszámoltathatóság és a személyes adatok jogosultjai jogainak és szabadságainak védelme érdekében.

IV.  Társaság által végzett adatkezelések

  1. A Társaság által végzett valamennyi adatkezelés adatvédelem hatálya alá tartozik. A Társaság személyes adatok vonatkozásában adatkezelésre csak akkor jogosult, ha arra jogcímmel rendelkezik.
  1. A Társaság személyes adatokon végzett adatkezelést, személyes adatok megismerését, gyűjtését vagy felhasználását csak abban az esetben jogosult végezni (akkor rendelkezik jogcímmel),
  2. ha ahhoz a személyes adat jogosultja kifejezett hozzájárulását adta a személyes adatainak egy vagy több konkrét célból történő megismeréséhez és kezeléséhez;
  3. amennyiben az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  4. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a személyes adatok jogosultja az egyik fél, vagy az a szerződés megkötését megelőzően a személyes adatok jogosultjának kérésére történő lépések megtételéhez szükséges;
  5. amennyiben az adatkezelés a személyes adat jogosultjának vagy egy másik természetes személy létfontosságú érdekének védelme miatt szükséges, illetve a Társaság (vagy egy harmadik fél) jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha a Társasággal szemben elsőbbséget élveznek a személyes adat jogosultjának olyan érdekei és alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
  1. A Társaság adatkezelési tevékenysége során adatfeldolgozót igénybe vehet, ilyen az online fizetési rendszer üzemeltetője OTP Simple (aki a részére megadott többletadatok tekintetében önálló adatkezelő), a Társaság https://film.artmozi.hu cím alatti honlapjának üzemeltetője a Nethely Kft , az elektronikus számla és nyugta kiállításáról a Számmlázz.hu gondoskodik, a marketing eszköz üzemeltetője a Google Ireland Limited a Google Analytics szolgáltatás keretében.

IV/A. [Ügyfelekkel kapcsolatban végzett adatkezelés]

  1. A jelen alfejezet szerinti adatkezelés célja:
    1. a Társaság és a személyes adat jogosultja közötti, a Társaság üzletszerű gazdasági tevékenységével összefüggésben kötelmi jogviszony (pl. megbízási szerződés, adásvételi szerződés, klubkártya rendszer igénybevétele, online jegyvásárlás) létrehozása, fenntartása, e kötelmi jogviszonyból eredő jogok gyakorlása (pl. ellenérték követelése) és kötelezettségek teljesítése (pl. szerződésben vállalt szolgáltatás teljesítése);
    1. a Társaság ügyféllel kapcsolatos jogos érdekének érvényesítése és védelme; továbbá
    1. a Társaságot a kötelmi jogviszonnyal kapcsolatban – esetlegesen – terhelő jogi kötelezettség teljesítése.
  1. A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat jogosultja részéről megadott hozzájárulás megadásától kezdődően a kötelmi jogviszony megszűnését követő 5 év. Minden olyan hozzájárulás alapján kezelt személyes adat esetén, amelyik a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 56-57. § rendelkezéseinek hatálya alá tartozik, az adatkezelés időtartama: a kötelmi jogviszony megszűnését követő 8 év.
  1. A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy elektronikus művelet.
  1. A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz a Társaság megfelelő jogcímmel rendelkezik. Amennyiben ez a jogcím a hozzájáruláson alapuló adatkezelés (12. a) pont), úgy az adatkezelés jogszerűségének feltétele, hogy a Társaság a jelen alfejezetben meghatározott rendelkezések figyelembevételével jár el. Az ügyfél a hozzájáruló nyilatkozat megtételével kifejezetten hozzájárul ahhoz, hogy a Társaság az ügyfél – kötelmi jogviszony létesítéséhez szükséges és elengedhetetlen – személyes adatait tartalmazó okmányról, illetve egyéb iratról fénymásolatot vagy elektronikus másolatot készítsen, és a személyes adatok megőrzését e másolat megőrzésén keresztül teljesítse. A Társaság az így készült másolatot az ügyfélre vonatkozó egyéb iratokkal együtt olyan helyen köteles megőrizni, ahol azokhoz illetéktelen személy nem férhet hozzá.
  1. A Társaság az ügyfél – hozzájáruláson alapuló adatkezelés keretében – alábbi adatainak megismerésére és kezelésére jogosult:
  2. a természetes személy személyazonosító adatait, így a személyes adat jogosultja személyazonosító igazolványának, lakcímet igazoló hatósági igazolványának, adóazonosító jelet igazoló hatósági igazolványának adattartalmát;
  3. a szerződéses jogviszony jellegétől függően a személyes adat jogosultjának bankszámlaszáma, illetve bankszámláját vezető pénzintézet neve, amennyiben azt a szerződés tartalmazza;
  4. személyes adat jogosultjának elérhetősége (telefonszáma, email címe);
  5. jogi személy fél esetén a jogi személy azonosító adatai, úgy mint a székhely, a cégjegyzékszám (ennek hiányában más hatósági, bírósági nyilvántartási szám), az adószám, és a jogi személy képviseletére jogosult természetes személy családi és utóneve; tisztsége; születési helye és ideje; anyja születési családi és utóneve; állandó lakcíme, ennek hiányában tartózkodási címe.
  1. A hozzájáruláson alapuló adatkezelés során a személyes adat jogosultját (ügyfelet) a Társaság a személyes adat jogosultjával létrehozandó kötelmi jogviszony létesítését megelőzően – az ügyféllel való első kapcsolatfelvétellel egyidőben – köteles tájékoztatni
  2. a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
  3. arról, hogy a kötelmi jogviszony csak abban az esetben jöhet létre, ha az ahhoz szükséges személyes adatainak Társaság általi ismeréséhez és kezeléséhez hozzájárul, illetve e hozzájárulás visszavonhatóságáról;
  4. az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
  5. a személyes adatok címzettjeiről, illetve kategóriáiról;
  6. a személyes adat tárolásának tervezett idejéről;
  7. a személyes adat jogosultját megillető jogokról;
  8. a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.

A tájékoztatást a Társaság az 1. sz. melléklet felhasználásával és a személyes adat jogosultjának történő megküldésével, illetve részére történő hozzáférhetővé tétellel köteles teljesíteni.

  • A Társaság a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A tájékoztatás megadása mellett a Társaság köteles a jelen Szabályzatot az ügyfél részére hozzáférhetővé tenni, kérésére elektronikus formában ügyfél elektronikus kézbesítési címére megküldeni.
  • A személyes adat jogosulja a tájékoztatást követően önként jogosult eldönteni, hogy a Társasággal kíván-e kötelmi jogviszonyt létrehozni. Az ügyfél hozzájárulása akkor jogszerű, ha az
  • önkéntes;
  • konkrét adatkezelésre (meghatározott – egy vagy több – kötelmi jogviszonnyal kapcsolatban) vonatkozik;
  • megfelelő tájékoztatáson alapul; és
  • egyértelmű akaratnyilatkozat.
  • A személyes adat jogosultjának hozzájárulásán alapuló adatkezelés feltétele, hogy a személyes adat jogosultja a személyes adatok kezeléséhez a Társasággal létrejövő jogviszonyát megelőzően a Társaság adatkezelési tájékoztatóját, a Társaság adatkezelésének célját, illetve az adatkezelés tényét, valamint a megismerni és kezelni kívánt adatok körét elismerje és az adatkezeléshez hozzájáruljon a Társaság számára a jelen Szabályzat 2. sz. melléklet tartalmával megegyező nyilatkozat aláírásával.
  • A Társaság szerződéses kapcsolat esetén jogosult az ügyfél, mint személyes adatok jogosulja hozzájáruló nyilatkozatát a Társaság és az ügyfél között kötendő szerződés rendelkezései között megfogalmazni. Az ilyen rendelkezést tartalmazó szerződés aláírásával az ügyfél egyben személyes adatai Társaság általi megismerésére és kezelése vonatkozó hozzájáruló nyilatkozatát is megteszi.
  • Az ügyfél hozzájáruló nyilatkozatában köteles megjegyezni, hogy a hozzájáruláson alapuló adatkezelés mellett kifejezetten megértette a Társaság arra vonatkozó tájékoztatását, hogy adatkezelésre a Társaság az ügyféllel kapcsolatban egyéb jogcímen is jogosult lehet.
  • Amennyiben a személyes adatok jogosultja a személyes adatai kezeléséhez nem járul hozzá, vagy megtagadja az 2. sz. melléklet tartalmával megegyező tartalmú nyilatkozat aláírását, úgy a Társaság kötelmi jogviszonyt az érintett természetes személlyel nem létesíthet. A személyes adat jogosultja hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A személyes adatok kezeléséhez adott hozzájárulás visszavonásával a Társaság köteles a személyes adatkezeléshez mint előfeltételhez kapcsolódó kötelmi jogviszony megszüntetésére.
  • A Társaság köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával kötelmi jogviszonya bármely okból megszűnt, kivéve, amennyiben a személyes adatok további kezeléséhez a jogosult hozzájárult vagy amennyiben a személyes adatok megőrzését a Társaság számára jogszabály (pl. adójogi jogviszony) írja elő.

IV/E. [Webshop ügyfelekkel kapcsolatos adatkezelés]

  • A Társaság jelenleg a https://film.artmozi.hu oldalon üzemeltet webshopot, ahol lehetőség van online jegyvásárlásra. Az online vásárlással kapcsolatos adatkezelésre jelen Szabályzat IV/A és IV/F pontjában foglaltak az irányadók azzal, hogy a Társaság a vásárlás során az ügyfél nevét, e-mail címét, illetve számla kiállítása miatt postai címét rögzíti abból a célból, hogy a visszaigazolást, illetve a tranzakcióról készült elektronikus számlát a megadott email címre meg lehessen küldeni.

IV/F. [Online látogatókkal kapcsolatos adatkezelés]

  • A Társaság a https://film.artmozi.hu honlap használatával jogosult – az érintett önkéntesen, előzetesen meghatározott és konkrét adatkezelés (online jegyvásárlás, illetve felhasználó előzmények rögzítése a felhasználó élmény növelése érdekében) céljából történő adatkezeléshez való hozzájárulásával – kezelni a honlapot látogató személyek (jelen alfejezetben a továbbiakban: Felhasználó) egyes személyes adatait.
  • A Társaság kizárólag a Felhasználó előzetes hozzájárulásával jogosult a honlapon keresztül megadott személyes adatainak hírlevél szolgáltatás, mint közvetlen üzletszerzés céljából történő felhasználására. Amennyiben a Felhasználó hozzájárul ahhoz, hogy megadott személyes adatait közvetlen üzletszerzés céljából a Társaság felhasználja, úgy az ilyen adatkezelés a hozzájárulás visszavonásáig érvényes.
  • A Felhasználó hozzájárulása akkor jogszerű, ha az
  • önkéntes;
  • az online helyfoglalás, illetve jegyvásárlás, hírlevélszolgáltatás igénybevételére vonatkozik;
  • megfelelő tájékoztatáson alapul; és
  • egyértelmű akaratnyilatkozat.
  • A Szolgáltató kezelésében álló https://film.artmozi.hu honlapra történő látogatás tényénél fogva a Felhasználó végberendezésében sütik segítségével adattárolást, illetve adatkezelést hajthat végre a Felhasználó azonosítása, a Felhasználó további látogatásainak megkönnyítése, a Felhasználó részére célzott reklám és egyéb célzott tartalom eljuttatása és piackutatás céljából. A sütik használatához a Felhasználónak minden esetben hozzájárulását kell adni a honlapon megjelenő „Ez a weboldal sütiket (cookie-kat) használ” tájékoztató szöveg mellett, e hozzájárulás kinyilvánítására megadott „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon aktiválásával.

32 A Felhasználónak a sütik alkalmazására szóló hozzájárulását nem kötelező megadni ahhoz, hogy a honlapot látogatni tudja, ugyanakkor a hozzájárulás megadásának hiányában előfordulhat, hogy a honlap vagy annak egyes aloldalai nem működnek majd megfelelően, illetve a Felhasználó egyes adatokhoz való hozzáférését a honlap megtagadhatja. A „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon mellett elhelyezett „További információt kérek” ikon aktiválásával a Felhasználót a weboldal az Adatkezelési Szabályzat weboldal használatával kapcsolatos része kivonatát tartalmazó aloldalára irányítja.

  • A honlap használata során bizonyos felhasználói adatok automatikusan a Társaság kezelésébe kerülnek. Ezek a következő adatok:
  • Felhasználó honlappal való nyílt hálózaton keresztüli csatlakozást biztosító eszközének egyes adatai;
  • Felhasználó által használt IP cím.

Ezen adatok kezelésének kizárólagos célja, hogy a Társaság honlap-látogatottsági adatokhoz jusson, illetve a honlappal kapcsolatban felmerülő esetleges hibákat, továbbá támadási kísérleteket megfelelően észlelni és naplózni tudja. Az ilyen adatkezelés jogalapja egyrészt a Felhasználó hozzájárulása, másrészt a Társaság jogos érdekének védelme. A Társaság az adatkezelésre vonatkozó tájékoztatást jelen alfejezet tartalmának honlapon történő közzétételével teljesíti, és a Felhasználó tudomásulvételét és hozzájárulását e körben a honlapra történő látogatásával mint ráutaló magatartással adja meg a Társaság részére.

  • Felhasználó kizárólagos felelősséggel tartozik azért, hogy a Társaság által üzemeltetett honlapon belépéshez használt felhasználó nevét és jelszavát jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel azt ne közölje, ne semmisítse meg, ne veszítse el. A Társaság nem vállal felelősséget azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott egyéb adatait a jelen Szabályzat, valamint az adatvédelemre vonatkozó mindenkor hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti, elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik számára.
  • A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat Társaság általi rögzítésétől számított 10 év.

V. A személyes adatok jogosultjainak jogai

  • Azokat a természetes személyeket, akinek a személyes adatait a Társaság – bármely oknál fogva – kezeli, a Társaság adatkezelését illetően a következő jogosultságok illetik:
  • tájékoztatáshoz való jog;
  • helyesbítéshez való jog;
  • elfeledtetéshez való jog;
  • adatkezelés korlátozásához való jog;
  • adathordozhatósághoz való jog;
  • tiltakozáshoz való jog.
  • A személyes adat jogosultja a jelen fejezetben meghatározott jogát a Társasághoz eljuttatott kérelmével gyakorolhatja. A személyes adat jogosultja kérelmét az I. pontban megjelölt címre elektronikusan, papír alapon egyetemes postai szolgáltatás igénybevételével, vagy papír alapon a Társaság székhelyén a Társaság képviseletére jogosult vezető tisztségviselőjének, munkavállalójának vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személynek történő átadással terjesztheti elő.
  • A kérelem átvételére jogosult személy a kérelmet a beérkezését következően haladéktalanul köteles továbbítani a Társaság adatkezelési felelősének ügyintézés céljából. A Társaság adatkezelési felelőse a kérelmet – annak kézhezvételét követően haladéktalanul megvizsgálja – és amennyiben azt állapítja meg, hogy az nyilvánvalóan alaptalan vagy jogosulatlan személytől érkezett, úgy annak érdemi megvizsgálását elutasítja. Amennyiben a kérelem nem nyilvánvalóan alaptalan, illetve jogosult személy terjesztette elő, az adatvédelem felelős a kérelmet érdemben megvizsgálja. Az adatkezelési felelős a kérelem kézhezvételétől számított legkésőbb 30 napon belül értesíti a kérelmet előterjesztőt a kérelem elbírálásáról (a kérelem elutasításáról vagy a kérelem teljesítéséről), illetve a megtett, illetve kezdeményezett intézkedésekről.

VI. Adatbiztonság és az adatok tárolásának rendje

  • A Társaság az adatkezelést úgy hajtja végre, hogy a GDPR, valamint egyéb adatvédelmi jogszabályok megtartása mellett tiszteletben tartsa a személyes adat jogosultjának családi és magánélethez való alapvető jogát, egyéb jogait és szabadságait.
  • A személyes adatok tárolására vonatkozó jelen Szabályzatban meghatározott rendelkezések egyaránt vonatkoznak a papír alapon, illetve elektronikus formában tárolt olyan személyes adatra, amelyek nyilvántartási rendszerét részét képezik, illetve amelyeket a Társaság részben vagy egészben automatizált módon kezel. A Társaság személyes adatok elektronikus tárolására a Társaság tulajdonában álló Eszközöket használ; a papír alapú nyilvántartásokat a Társaság tulajdonában vagy használatában álló olyan ingatlanokban vezeti, amelyeket a Társaság székhelyként, telephelyként vagy fióktelepként használ.
  • A Társaság által adatkezelés érdekében gyűjtött és tárolt személyes adatok kizárólag a jelen Szabályzatban, illetve jogszabályban meghatározott célból, megfelelő jogcímmel kezelhetők.
  • A Társaság által gyűjtött és tárolt személyes adatot olyan módon kell a Társaságnak megőrizni az adatkezelés idején, hogy illetéktelen személy azokhoz ne tudjon hozzáférni. A Társaság köteles biztosítani, hogy a gyűjtött és tárolt személyes adatot
  • illetéktelen harmadik személy nem ismerheti meg, férhet hozzá;
  • nem vetik alá jogosulatlan adatkezelésnek;
  • illetéktelen személy nem változtathatja meg, továbbíthatja, hozhatja nyilvánosságra, törölheti;
  • nem továbbítják a jelen Szabályzat VII. pontjától eltérően;
  • jogosulatlanul nem módosítják, illetve véletlenül vagy jogosulatlanul megsemmisítik, törlik, teszik hozzáférhetetlenné;
  • elvesztéstől, sérüléstől megóvja.
  • A Társaság az adatkezelési, valamint ezzel kapcsolatos szervezési tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot garantáló technológiát alkalmazza a természetes személyek jogainak és szabadságainak védelme érdekében.
  • A Társaság adatkezelési tevékenységéről nyilvántartást köteles vezetni (Adatkezelési Nyilvántartás) a jelen Szabályzat 13. számú mellékletében meghatározott minta felhasználásával és a GDPR 30. cikkében meghatározott rendelkezések tiszteletben tartásával. A Társaság az Adatkezelési Nyilvántartást elektronikus formában köteles elkészíteni és papír alapon köteles tárolni olyan helyen, ahol illetéktelen személy ahhoz nem férhet hozzá.

VII. Adatok továbbításának rendje

  • A Társaság nem jogosult az általa kezelt, őrzött személyes adatot más személynek továbbítani, vagy egyéb formában hozzáférhetővé tenni kivéve
  • amennyiben az adattovábbítást jogszabály írja elő (pl. statisztikai adatgyűjtés; munkáltatót terhelő adatszolgáltatási kötelezettség) és az adattovábbítás címzettjeként bíróság, hatóság vagy egyéb szerv a Társaság felé hivatalos megkeresését eljuttatja;
  • amennyiben az adattovábbításhoz az érintett kifejezett hozzájárulását adta, és az adattovábbítás címzettje a Társasággal kötelmi jogviszonyban lévő személy, továbbá az adattovábbítás a személyes adat jogosultja és a Társaság közötti kötelmi jogviszony teljesítése.
  • A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet a jelen Szabályzat 14. sz. mellékletében meghatározott minta alapján, amely tartalmazza a Társaság által kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályokban meghatározott egyéb adatokat.
  • A Társaság a meghatározott megkeresésre a megkeresésben meghatározott terjedelemben, a megkeresés teljesítéséhez szükséges mértékben biztosítja az általa tárolt személyes adatok továbbítását.
  • A Társaság az adattovábbítás szükségessége esetén köteles tájékoztatni a személyes adat jogosultját
  • az adattovábbítás címzettjének, valamint képviselőjének nevéről, elérhetőségéről;
  • arról, hogy az adattovábbítással kapcsolatos tájékoztatás ismeréséhez és az adattovábbításhoz hozzájárul;
  • az adattovábbítás pontos céljáról, konkrét terjedelméről;
  • a személyes adat jogosultját megillető jogokról;
  • a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.

A személyes adat jogosultja konkrét adattovábbításhoz hozzájáruló nyilatkozatát a 11. a) pontban meghatározott nyilatkozattal egyidőben is megadhatja, amennyiben e nyilatkozat megtétele idején a konkrét adattovábbítás szükségessége már ismert. Adattovábbításra vonatkozó hozzájáruló nyilatkozatát a személyes adat jogosultja a 14. számú mellékletben meghatározott minta alapján köteles megtenni.

  • A Társaság az adattovábbítás teljesítése során kizárólag azon személyes adatok továbbítására jogosult, amely a kötelmi jogviszony teljesítéséhez elengedhetetlenül fontos és amelynek a továbbításához a személyes adat jogosultja kifejezett hozzájárulását megadta.

VIII. Adatvédelmi incidens esetén követendő protokoll

  • Adatvédelmi incidens – a GDPR 4. cikk 12. pontjával összhangban – a biztonság olyan sérülése, amely lehet
  • a bizalmasság sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat jogosulatlan közlése vagy az ahhoz való jogosulatlan hozzáférés;
  • a hozzáférés sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat véletlen vagy jogellenes megsemmisítése, elvesztése;
  • az integritás sérülése, így a továbbított, tárolt vagy más módon kezelt személyes adat megváltoztatása.
  • Amennyiben a Társaság vezető tisztségviselője, munkavállalója, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy azt tapasztalja, hogy a Társaság által gyűjtött, tárolt személyes adatok vonatkozásában fennállhat a biztonság sérülésének a lehetősége, haladéktalanul köteles az Adatvédelmi tisztviselőt erről tájékoztatni (a továbbiakban: Jelzés). Biztonság sérülése minden olyan körülmény, amelynek eredményeként a Társaság adatkezelő rendszerében, nyilvántartásaiban sérülés következik be az adatbiztonsági rendelkezésekkel ellentétes módon. A biztonság sérülése nem jelenti feltétlenül adatvédelmi incidens bekövetkeztének a tényét is.
  • Az Adatvédelmi tisztviselő a Jelzés megtételét követően haladéktalanul köteles megvizsgálni és értékelni a helyzetet. A vizsgálatnak ki kell terjedni a biztonság sérülésének lehetőségeként jelzett körülmény valamennyi elemére, illetve a Jelzéssel érintett valamennyi nyilvántartás, így személyes adatok helyzetének vizsgálatára.
  • Az Adatvédelmi tisztviselő vizsgálata során elsődlegesen azt köteles megállapítani, hogy a biztonság sérülése ténylegesen megtörtént-e. Amennyiben az Adatvédelmi tisztviselőt azt állapítja meg, hogy a biztonság nem sérült, úgy eljárását megszünteti és a vizsgálata eredményéről jelentést készít a Társaság ügyvezetése részére, és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvántartásba bevezeti.
  • Amennyiben az Adatvédelmi tisztviselő azt állapítja meg, hogy a biztonság megsérült, úgy másodsorban köteles megvizsgálni, hogy adatvédelmi incidens történt-e. Amennyiben az Adatvédelmi tisztviselő azt állapítja meg, hogy adatvédelmi incidens nem történt, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít a Társaság ügyvezetése részére, és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvántartásba bevezeti.
  • Amennyiben az Adatvédelmi tisztviselő azt állapítja meg, hogy a biztonság sérülésével egyidőben adatvédelmi incidens is történt, úgy köteles harmadsorban megvizsgálni, hogy az adatvédelmi incidens az érintett személyes adatok jogosultjainak jogaira és szabadságaira kockázatot jelent-e. Amennyiben azt állapítja meg, hogy ilyen kockázatot az adatvédelmi incidens nem jelent, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít a Társaság ügyvezetése részére, és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvántartásba bevezeti.
  • Amennyiben az Adatvédelmi tisztviselő azt állapítja meg, hogy a biztonság sérülésével egyidőben az adatvédelmi incidens kockázatot jelent az érintett személyes adat jogosultjainak jogai és szabadságaira, úgy az Adatvédelmi tisztviselő azt köteles megvizsgálni, hogy ez a kockázat milyen mértékű. Amennyiben az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni a Társaság ügyvezetése részére, és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvántartásba bevezeti, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni.
  • Amennyiben az Adatkezelési felelős jelen fejezetben meghatározott vizsgálata azt állapítja meg, hogy az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira magas kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni a Társaság ügyvezetése részére, és azt a jelen Szabályzat 15. sz. mellékletét képező minta szerinti nyilvántartásba bevezeti, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni, továbbá az érintett személyes adatok jogosultjait az adatvédelmi incidensről tájékoztatni.
  • A Társaság, mint adatkezelő az Adatvédelmi tisztviselő útján a bejelentési kötelezettségét indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens tudomására jutásától számított 72 órán belül köteles teljesíteni. A Társaság, mint adatkezelő akkor jut az adatvédelmi incidens tudomására, amikor az Adatkezelési felelős kellő bizonyossággal meg tudja állapítani a biztonság sérülésének tényét. Az Adatvédelmi tisztviselő a biztonság sérülése ténye megállapítását követően haladéktalanul köteles értékelni a helyzetet
  • Amennyiben az Adatkezelési felelős a 100. pontban jelzett 72 órán belül nem tudja lefolytatni a vizsgálatát, úgy köteles a határidőn belül megtenni a bejelentését, illetve tájékoztatását, és vizsgálatát köteles tovább folytatni. Amennyiben a 98-99. pontokban meghatározott vizsgálat eredménye az Adatvédelmi tisztviselő rendelkezésére áll, úgy arról kiegészítő bejelentést/kiegészítő tájékoztatást vagy módosító bejelentést/módosító tájékoztatást köteles tenni.
  • Az Adatkezelési felelős a meghatározott bejelentési kötelezettség a Hatóság által rendszeresített elektronikus űrlap kitöltésével, illetve Hatóságnak történő megküldésével, vagy egyéb tagállami adatvédelmi hatóság esetén ezen hatóság, illetve tagállami jog által meghatározott ormában köteles teljesíteni. A bejelentésben az Adatvédelmi felelős a Társaság képviseletében a következő adatokat köteles megadni:
  • az adatvédelmi incidens típusa;
  • az adatvédelmi incidenssel érintett személyes adatok jogosultjainak kategóriája;
  • az adatvédelmi incidenssel érintett személyes adatok jogosultjainak (közelítő) száma;
  • az adatvédelmi incidenssel érintett személyes adatok típusa;
  • az adatvédelmi incidenssel érintett személyes adatok (közelítő) száma.
  • Az Adatvédelmi tisztviselő a különböző adattípusban tartozó személyes adatokat érintő adatvédelmi incidensről külön-külön bejelentéseket köteles tenni.
  • Az Adatvédelmi tisztviselő nem köteles bejelentést tenni, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira. A kockázat fennállására vonatkozó értékelést az Adatvédelmi tisztviselő az eset összes körülményének figyelembevételével köteles teljesíteni. Azt a körülményt, hogy az adatvédelmi incidens a természetes személyek jogaira és szabadságaira kockázattal nem jár, bizonyítani és jelentésbe foglalni, valamint a biztonság helyreállítása érdekében szükséges intézkedéseket megtenni köteles.
  • Az Adatkezelési felelős a 99. pontban meghatározott tájékoztatási kötelezettségét indokolatlan késedelem nélkül köteles teljesíteni a 16. számú mellékletben meghatározott minta felhasználásával. A kockázat jellegének értékelésére a 98-99. pontokban meghatározott vizsgálata során – az eset összes körülményére tekintettel – az Adatvédelmi tisztviselő köteles. Ennek keretében az Adatvédelmi tisztviselő köteles figyelembe venni többek között:
  • az adatvédelmi incidens típusát;
  • az adatvédelmi incidenssel érintett személyes adat típusát;
  • az adatvédelmi incidenssel érintett személyes adat érzékenységét;
  • az adatvédelmi incidenssel érintett személyes adatok mértékét;
  • az adatvédelmi incidenssel érintett természetes személy kiszolgáltatottságát.

Az adatvédelmi incidens révén a természetes személy jogaira és szabadságaira vonatkozó kockázat akkor magas, ha azzal a személyes adat jogosultját fizikai, anyagi és nem anyagi értelemben kár érheti.

  • Az Adatvédelmi tisztviselő a következőkről köteles tájékoztatni a személyes adat jogosultjait:
  • az adatvédelmi incidens ténye, jellege;
  • az Adatvédelmi tisztviselő neve és elérhetőségei;
  • az adatvédelmi incidens lehetséges következményei;
  • az adatvédelmi incidens eredményeként elállt magas kockázat mérséklésére és az incidens előtti állapot helyreállítására a Társaság, mint adatkezelő által igénybe vett eszközök.
  • Az Adatvédelmi tisztviselő a tájékoztatását a személyes adatok jogosultjai által (köz)érthető és egyszerű megfogalmazással, releváns nyelven és késedelem nélkül köteles megtenni olyan kommunikációs csatornán, amelyen az Adatvédelmi tisztviselő értékelése alapján a tájékoztatás a leghamarabb megérkezik a személyes adatok jogosultjaihoz. Az Adatvédelmi tisztviselő egyszerre akár több kommunikációs formát is igénybe vehet a tájékoztatási kötelezettség teljesítése érdekében.
  • Az Adatvédelmi tisztviselő a személyes adatok jogosultjainak szóló tájékoztatást akkor mellőzheti, ha
  • az adatvédelmi incidens a személyes adatok jogosultjainak jogaira és szabadságaira magas kockázatot nem jelent, mert például a jogosulatlan harmadik személlyel közölt személyes adathoz e személy hozzáférni (titkosítás okán) nem tud, és az adatkezelő birtokában van az érintett személyes adatokról másolat;
  • az adatvédelmi incidens lehetőségéről való tudomásszerzést követően haladéktalanul megtett intézkedések eredményeként a magas kockázat lehetősége fel sem került;
  • az adatvédelmi incidens eredményeként előállt kockázat egyéb okból nem tekinthető magasnak.
  • Az Adatvédelmi tisztviselő a 98-99. pontokban meghatározott bejelentési és tájékoztatási kötelezettsége teljesítésével egyidőben, a vizsgálat eredményének megismerését követően haladéktalanul köteles megtenni minden intézkedést, amely a biztonság sérülését és az adatvédelmi incidenst megszünteti. Ennek keretében az Adatvédelmi tisztviselő – lehetőségeihez és a körülményekhez képest – köteles az adatvédelmi incidensben érintett személyes adatok integritását, hozzáférhetőségét, és bizalmasságát helyreállítani. Az Adatvédelmi tisztviselő a megtett intézkedéseiről jelentést köteles készíteni a Társaság vezető tisztségviselője részére a jelen Szabályzat 17. sz. mellékletében meghatározott minta felhasználásával.

IX. Jogorvoslat

  • Amennyiben a személyes adat jogosultja a személyes adatai kezelése vonatkozásában azt tapasztalja, hogy a Társaság megsérti az adatvédelmi jogszabályokban meghatározottakat, úgy jogai védelme érdekében jogorvoslati kérelemmel fordulhat a területileg illetékes bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz.
  • A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Telefon: +36 (1) 391-1400

Fax: +36 (1) 391-1410

Elektronikus elérhetőség: ugyfelszolgalat@naih.hu

Weboldal: http://naih.hu

X. Záró rendelkezések

  • A jelen Szabályzat 2020. április 1. napjától hatályos. A Szabályzatot a hatályba lépését követően keletkező, illetve olyan már fennálló jogviszonyokra kell alkalmazni, amelyekben adatkezelés 2020. április 1. napját követően történik.
  • A jelen Szabályzat hatályba lépéséről, illetve annak alkalmazásáról a Társaság köteles minden ügyfelét, illetve a Társasággal egyéb jogviszony létesítő természetes személy figyelmét felhívni, illetve a jelen Szabályzatot számukra köteles elérhetővé tenni.

Budapest, 2020. április 1.

Budapest Film Zrt.