KERESÉS search-close

M-RTL Zrt. Adatkezelési és adatbiztonsági szabályzata

szerző:
2018.05.25. 14:28

Hatályos: 2018. május 25.

 

M-RTL Zrt.

Adatkezelési és adatbiztonsági szabályzata

 

Hatályos: 2018. május 25.

 

 

 

I. fejezet

Bevezető rendelkezések

 

1. A szabályzat tárgya

 1. A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog.

 2. A természetes személyek személyes adatai következetes és magas szintű védelmének biztosítása érdekében az M-RTL Zrt. maradéktalanul tiszteletben tartja a jogszabályi előírásokat, biztosítja az információs önrendelkezési jognak – és ezen belül is különösen az adatvédelem alkotmányos elveinek – az érvényre jutását.

 3. A jelen Szabályzat meghatározza az M-RTL Zrt. személyes adatok kezelésével és adatbiztonsággal kapcsolatos legfontosabb feladatait, az érintetteket megillető jogokat, az adatkezelés szervezet- és eljárásrendszerét.

 4. A jelen Szabályzathoz kapcsolódóan az M-RTL Zrt. egyéb tevékenységeinek kereteit meghatározó belső szabályzatok, utasítások eseti jelleggel tartalmazhatnak az M-RTL Zrt. adatkezelési és adatbiztonsági tevékenységére vonatkozó rendelkezéseket, ám ezek nem lehetnek ellentétesek a jelen Szabályzatban foglaltakkal. Amennyiben ilyen mégis előfordulna, úgy – az ellentmondó szabályok, utasítások módosításáig – a jelen Szabályzatban foglaltak irányadóak.

 

2. A szabályzat célja

5. Az M-RTL Zrt. a jelen Szabályzattal kívánja biztosítani, hogy adatkezelési tevékenysége átlátható és szabályozott keretek között folyjon.

6. Jelen Szabályzat az adatkezelési tevékenységre irányadó jogszabályi rendelkezéseknek, így különösen az alábbi jogszabályokban foglaltaknak való megfelelést szolgálja:

      a) az Európai Parlament és a Tanács 2016/679/EU rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), 

      b) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény.

 

3. A szabályzat hatálya

 7. A jelen Szabályzat alanyi hatály kiterjed az M-RTL Zrt. valamennyi, adatkezelési tevékenységgel érintett szervezeti egységére, vele munkaviszonyban vagy más, munkavégzésre irányuló jogviszonyban álló személyre, tisztségviselőjére.

 8. A szabályozás tárgyi hatálya kiterjed az M-RTL Zrt. tulajdonában lévő vagy általa üzemeltetett bármely informatikai rendszerében vagy nem informatikai rendszer keretei között (papíralapon, manuálisan) végzett valamennyi, személyes adatok kezelésével kapcsolatos tevékenységére.

 

4. A szabályzat végrehajtása

 9. A jelen Szabályzat végrehajtása kapcsán az egyes szervezeti egységek és személyek feladatait, felelősségét az M-RTL Zrt. szervezetére, működésére, tevékenységére vonatkozó belső szabályok, utasítások határozhatják meg.

 10. A Szabályzat végrehajtásával kapcsolatos feladatok ellenőrzését az M-RTL Zrt. adatvédelmi tisztviselője látja el.

 

5. Rövidítések

 11. A Szabályzatban az alábbi rövidítések kerülnek alkalmazásra:

      a) Infotv.: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény;
      b) Rendelet: az Európai Parlament és a Tanács 2016/679/EU rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet);
      c) Szabályzat: a jelen Adatkezelési és adatbiztonsági szabályzat.

 

6. Értelmező rendelkezések

 12. A Szabályzat alkalmazása során ‑ összhangban a vonatkozó jogszabályokban foglaltakkal ‑ az alábbi fogalmak a következő értelemben használatosak:

      a) adat: az adatkezelő birtokában lévő vagy rendelkezése alatt álló valamennyi információ függetlenül attól, hogy az nyilvános vagy bizalmas, belső használatú, korlátozott terjesztésű vagy valamilyen titoknak minősülő, illetve személyes adat-e;
      b) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
      c) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, így különösen az M-RTL Zrt., amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
      d) adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
      e) adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
      f) álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
      g) biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
      h) bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
      i) címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
      j) egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
      k) érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
      l) érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
      m) felügyeleti hatóság: egy tagállam által a Rendelet 51. cikkének megfelelően létrehozott független közhatalmi szerv, Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság;
      n) genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
      o) gyermek: aki a tizennyolcadik életévét nem töltötte be (kiskorú);
      p) harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
      q) különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
      r) profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
saját eszközök munkavállaló általi használata: saját eszközök (különösen: notebookok, tabletek, okos telefonok) munkahelyi környezetben, illetve a munkavégzéshez kapcsolódóan történő használata (Bring Your Own Device, BYOD);

      t) személyes adat: az érintettre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
      u) tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
      v) DPM (Data Protection Manager): személyes adat kezeléssel foglalkozó, az adott szervezeti egységnél kinevezett, emelt szintű adatvédelmi képzést kapott személyt jelent.
      w) DPM Csoport: DPM-ekből és az adatvédelmi tisztviselőből álló csoport, akik az adott ügy jellegétől függő összetételben tanácskoznak.

 

 

 

 

II. fejezet

Az adatkezelés alapelvei

 

 

 13. Az M-RTL Zrt. adatkezelési tevékenysége során – minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében ‑ tiszteletben tartja

      a) a jogszerűség és a tisztességes eljárás elvét, amely arra kötelezi az adatkezelőt, hogy a személyes adatok kezelése során a jogszabályi előírások betartásával és úgy az adatkezelési tevékenysége, mint az érintettel összefüggésben minden esetben tisztességesen járjon el,
      b) az átláthatóság elvét, amelynek értelmében a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, így átláthatónak kell lennie számukra, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, kezelik, használják fel, azokba hogyan tekintenek bele. Az átláthatóság elvének érvényesülése érdekében az M-RTL Zrt. törekszik rá, hogy a személyes adatok kezelésével összefüggő tájékoztatásai, illetve kommunikációi könnyen hozzáférhetők és közérthetők legyenek, azokat világosan és egyszerű nyelvezettel fogalmazza meg,
      c) a célhoz kötöttség elvét, amely szerint a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon,
      d) az adattakarékosság elvét, amely megköveteli, hogy a kezelt személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak legyenek, és a célhoz szükséges minimumra kell korlátozódniuk, szem előtt tartva, hogy a személyes adatok csak akkor kerüljenek kezelésre, ha az adatkezelés célját egyéb eszközzel ésszerű módon nem lehetséges elérni,
      e) a pontosság elvét, amely alapján a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, s minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek,
      f) a korlátozott tárolhatóság elvét, amely megköveteli, hogy a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, s a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel,
      g) az integritás és bizalmas jelleg elvét, amely szerint a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével,
      h) megsemmisítésével vagy károsodásával szembeni védelmet is ideértve, így különösen megakadályozva a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

 

14. Az M-RTL Zrt. azt szem előtt tartva végzi adatkezelési tevékenységeit, hogy az elszámoltathatóság elve alapján felelősséggel tartozik a fenti elveknek való megfelelésért és képesnek kell lennie e megfelelés igazolására.

 

15. Az M-RTL Zrt. a személyes adatok jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárért, az érintett személyiségi jogainak megsértéséért felelősséggel tartozik, és azt, amennyiben a jogsértés jogerősen megállapításra kerül, köteles megtéríteni (kártérítés és/vagy sérelemdíj). E felelősség az M-RTL Zrt.-t az általa igénybe vett adatfeldolgozó által okozott kárért is terheli. Az M-RTL Zrt.-vel közös adatkezelői viszonyban lévő adatkezelő által okozott kárért való felelősség az M-RTL Zrt.-t is terheli, a kárért való felelősség M-RTL Zrt. és közös adatkezelő közötti megoszlását belső viszonyukban meghatározhatja az általuk megkötött szerződés.

 

 

 

 

III. fejezet

A munkavállalónak nem minősülő természetes személyek személyes adatainak kezelése

 

 

 

1. Az érintett, a gyermek érintett

 16. A jelen Szabályzat bármely természetes személy személyes adatainak a kezelése esetén alkalmazandó.

 17. Az érintettek több kategóriába sorolhatók így különösen az alábbiakba:

      a) játékra jelentkező,
      b) castingra jelentkező,
      c) szavazásban részt vevő,
      d) műsorban való részvételre jelentkező
      e) műsorban szereplő
      f) egyéb rendezvényen való részvételre jelentkező, azon résztvevő
      g) hírműsorokban szereplők, nyilatkozók,
      h) honlap látogató,
      i) online lekérdezhető szolgáltatások felhasználói (pl. rtlMOST.hu, videótár)
      j) panaszt tevő.

 

18. Az M-RTL Zrt. kiemelt figyelmet fordít a 16 év alatti gyermekek személyes adatainak védelmére, így különösen

      a) mivel a gyermekek különös védelmet igényelnek, az M-RTL Zrt. szem előtt tartja, hogy a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért,
      b) a gyermek érintett hozzájárulásával kapcsolatos jogszabályi előírásokat, így egyebek között a gyermek feletti szülői felügyeletet gyakorló jogait,
      c) az M-RTL Zrt. az adatkezeléshez adott hozzájárulás visszavonása kapcsán figyelembe veszi, hogy az érintett ezen joga különösen jelentőséggel bír abban az esetben, ha az érintett gyermekként adta meg hozzájárulását, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival, később pedig (akár már felnőttként) el akarja távolítani a szóban forgó személyes adatokat, különösen az internetről,
      d) az automatizált adatkezelésen alapuló döntés hatálya, illetőleg a profilalkotás vonatkozásában nem mellőzi figyelembe venni a gyermekekre vonatkozó előírásokat,
      e) az M-RTL Zrt. vagy egy harmadik fél jogos érdekén nyugvó adatkezelés jogalapjának vizsgálatáról (az érdekmérlegelés elvégzésekor) kiemelten értékeli a gyermek érintettnek a személyes adatok védelmét szükségessé tevő érdekeit vagy alapvető jogait és szabadságait,

 

2. Az adatkezelés célja

 19. Az adatkezelés célja az a különös ok, amely szükségessé teszi a személyes adatok gyűjtését, feldolgozását, kezelését.

 20. Mivel a személyes adatok kezelésére csak meghatározott, egyértelmű célból kerülhet sor, az adatkezelést megelőzően egyértelműen szükséges meghatározni a megvalósítani kívánt adatkezelés célját.

 21. Ha az adatkezelés célja nem határozható meg, akkor az adatkezelésre nem kerülhet sor.

 22. A jelen Szabályzat hatálya alá tartozó adatkezelések célja lehet különösen

      a) az M-RTL Zrt.-vel kötött szerződés előkészítése, megkötése és teljesítése,
      b) az M-RTL Zrt. műsoraival kapcsolatos szereplőválogatáson történő részvétel (casting),
      c) kapcsolattartás (kvíz)játékra jelentkező személlyel, részvétel a játékban,
      d) kapcsolattartás műsorba jelentkező, abban szereplő személlyel,
      e) hírműsor előkészítése, elkészítése, 
      f) weboldal üzemeltetése,
      g) online lekérdezhető szolgáltatás üzemeltetése,
      h) közvetlen üzletszerzési, piackutatási célú megkeresés, akár harmadik fél által,
      i) adatbázis létrehozása marketing célból, akár harmadik fél által,
      j) marketing célú megkeresés,
      k) direkt marketing-Robinson lista,
      l) rendezvény szervezés/értékesítés,
     m) nyereményjáték szervezése, lebonyolítása,
     n) fogyasztói szokások, elégedettség felmérése,  
     o) minőségbiztosítás,
     p) panasz kivizsgálása.

 

 23. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.

 24. Az M-RTL Zrt. csak jogszerű célokból kezel személyes adatokat. Ennek biztosítása érdekében a tervezett adatkezelés céljának meghatározását követően megvizsgálandó, hogy az adatkezelés célja minden szempontból jogszerűnek minősül-e. Ha az adatkezelés célja nem jogszerű, akkor az adatkezelésre nem kerülhet sor. Az új adatkezelés jogszerűségéről a DPM csoport dönt. Új adatkezelés bevezetése előtt ezért minden érintett szervezeti egység köteles előzetesen a DPM csoportot értesíteni.  2

 

3. Kezelhető személyes adatok

 25. Az adatkezelés céljának rögzítését követően pontosan, egyértelműen meghatározandók a kezelni tervezett adatok.

 26. Az adatok meghatározása után szükséges azok minősítése, annak megállapítása, hogy az adott adat személyes adatnak minősül-e vagy sem. Személyes adatnak minősülnek különösen az alábbiak:

  • adóazonosító jel,
  • aláírás,
  • állampolgárság,
  • anyja neve,
  • cím állandó,
  • cím tartózkodási,
  • családi állapot,
  • egészségügyi adat,
  • életkor,
  • e-mail cím munkahelyi,
  • e-mail cím privát,
  • fénykép,
  • foglalkozás,
  • gyermekek száma,
  • hangfelvétel,
  • IP cím,
  • iskolai végzettség,
  • jövedelem adat,
  • kamerafelvétel,
  • képesítések,
  • képmás,
  • lakcím,
  • lakcímkártya száma,
  • levelezési cím,
  • mobiltelefonszám,
  • munkahelyi mobil telefonszám,
  • munkahelyi vezetékes telefonszám,
  • munkakör,
  • munkáltató neve,
  • munkáltató típusa,
  • neme,
  • név,
  • szakmai végzettség,
  • személyi azonosító (személyi szám),
  • személyi igazolvány száma,
  • születési hely,
  • születési név,
  • TAJ szám,
  • törvényes képviselő adatai,
  • útlevél száma,
  • vezetékes telefonszám,
  • videófelvétel,
  • IP cím,
  • cookie-k.

 

 27. Ha a kezelni tervezett adat nem minősül személyes adatnak, a kezelésére nem vonatkoznak a jelen Szabályzat rendelkezései.

 28. Ha a kezelni tervezett adat személyes adatnak minősül, megvizsgálandó, hogy az adat

      a) különleges adatnak minősül-e,
      b) az M-RTL Zrt. által kezelhető személyes adatnak minősül-e. Ennek során figyelembe veendő, hogy egyes személyes adatokat nem vagy csak kivételesen kezelhet az M-RTL Zrt., így különösen azt a személyes adatot, amely büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozik és a kezelést jogszabály nem teszi lehetővé.

  29. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. Az ilyen adatokat akkor is haladéktalanul törölni kell, ha ezeket az érintett erre vonatkozó felszólítás nélkül, maga adta meg.

 30. Ha a kezelni tervezett személyes adat az M-RTL Zrt. által nem kezelhető, az adatkezelésre nem kerülhet sor.

 31. Az M-RTL Zrt. különösen a következő személyes adatokat kezeli:

      a) az érintett egyértelmű azonosításához és a vele történő kapcsolattartáshoz szükséges természetes személyazonosító adatok (név, születési név, anyja neve, születési hely, idő, lakcím, postacím),
      b) az érintettel való kapcsolattartáshoz szükséges telefonszámok és egyéb elérhetőségi adatok (elektronikus levelezési cím),
      c) az érintettel történő szerződéskötéshez, a szerződésről való döntéshez szükséges adatok,
      d) az érintettel megkötött szerződés teljesítéséhez szükséges adatok,
      e) az érintettel fennállt, megszűnt szerződésekből származó igényekre, ezek érvényesítésére vonatkozó adatok,
      f) az M-RTL Zrt. ügyfélszolgálatával történő kapcsolatfelvétel során keletkezett adatok,
      g) az érintettel folytatott telefonbeszélgetés,
      h) hang- és képrögzítő berendezések által rögzített felvételek,
      i) weboldal és online lekérhető szolgáltatás üzemeltetéséhez szükséges, illetve ennek használata során keletkezett adatok (pl. IP cím, utolsó látogatás időpontja, látogatás ideje).

 

4. Az adatkezelés jogalapja

 32. Az M-RTL Zrt. személyes adatokat csak akkor kezel, ha az adatkezelésnek van jogszerű jogalapja, így ha

      a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez,
      b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges,
      c) az adatkezelés az M-RTL Zrt.-re vonatkozó jogi kötelezettség teljesítéséhez szükséges,
      d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges,
      e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
      f) az adatkezelés a M-RTL Zrt. vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 

4.1. Az érintett hozzájárulása

 1. Ha az adatkezelés jogalapja az érintett adatkezeléshez történő adott hozzájárulása, akkor a hozzájárulás csak abban az esetben jogszerű, amennyiben a hozzájárulás

      a) önkéntesen történik, az érintett számára biztosítva a valós vagy szabad választási lehetőségét, és azt, hogy a hozzájárulást megtagadhatja vagy visszavonhatja anélkül, hogy ebből hátránya származnék,
      b) egyértelmű,
      c) konkrét,
      d) megfelelő tájékoztatáson alapul, így különösen tartalma a jogszabályi követelményeknek megfelel, nyelvezete az érintett számára érthető, világos és egyszerű,
      e) formája [írásbeli (ideértve az elektronikus úton történő megtételt is) vagy szóbeli] nyilatkozat vagy a hozzájárulást félreérthetetlenül kifejező cselekedet, így különösen ha az érintett az internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.

 

 33. A hozzájárulás az ugyanazon adatkezelési cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.

 34.Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást

      a) az összes adatkezelési célra vonatkozóan meg kell adni,
      b) adatkezelési célonként szükséges megadni, egy hozzájárulás nem vonatkozhat több adatkezelési célra.

 

 35. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel.

 36. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.

 37. Ha az adatkezelés jogalapja az érintett adatkezeléshez történő adott hozzájárulása, az M-RTL Zrt.-nek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Ennek érdekében az M-RTL Zrt. a hozzájárulások beszerzése során minden esetben olyan megoldást alkalmaz, amely alapján utólagosan igazolható a hozzájárulás jogszerűsége, így különösen papír alapú adatkezelés esetén a hozzájárulást írásban szerzi be, míg elektronikus adatkezelés során az adatkezelést érintő szolgáltatásai csak regisztrációhoz kötötten vehetők igénybe.

 

 38. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az M-RTL az érintettet erről tájékoztatja. Az M-RTL biztosítja, hogy a hozzájárulás visszavonását ugyanolyan egyszerű módon tehesse meg az érintett, mint a hozzájárulás megadását.

 39. Ha az adatkezelés jogalapja a hozzájárulás, a 18. életévét be nem töltött gyermek esetén a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

 40. Ha az adatkezelés jogalapja a hozzájárulás, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

 

4.2. Jogszabályi kötelezettség

 

 41. Az adatkezelés jogalapja akkor lehet az M-RTL Zrt.-re vonatkozó jogi kötelezettség teljesítése, ha

      a) az adatkezelést szükségessé tevő jogi kötelezettséget uniós vagy tagállami jogszabály írja elő. A jogalap nem áll fenn, ha a jogi kötelezettséget szerződés rögzíti,
      b) a jogszabály szerinti jogi kötelezettség egyértelmű a személyes adatok kezelését illetően, kifejezetten szabályozza az adatkezelés jellegét, tárgyát, nem biztosítva indokolatlan mérlegelési lehetőséget az M-RTL Zrt. számára az adatkezelést illetően, így az M-RTL Zrt. nem döntheti el, teljesíti-e a kötelezettséget vagy sem.

 

 42. A jogi kötelezettség teljesítéséhez szükséges adatkezelés megvalósításának nem feltétele és ezért az M-RTL Zrt. részéről nem is vizsgálható a jogszabály célszerűsége, szakszerűsége.

 

4.3. A szerződés teljesítése

 43. A személyes adatok kezelésére akkor is sor kerülhet, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

 44. E jogalapot szigorúan kell értelmezni, így kizárólag akkor alkalmazható, ha közvetlen és objektív kapcsolat áll fenn az adatkezelés és a szerződés teljesítése között. A jogalap a szerződés megkötése előtt elvégzett adatkezelésre, a szerződéskötés előtti kapcsolatokra is kiterjed, feltéve, hogy arra nem az M-RTL Zrt. vagy egy harmadik személy, hanem az érintett kezdeményezésére kerül sor.

 45. Nem alkalmazható ez a jogalap, ha az adatkezelés ténylegesen nem szerződés teljesítéséhez szükséges, így különösen ha az adatkezelésre a szerződés nemteljesítésével összefüggésben vagy közvetlen üzletszerzés céljából kerül sor.

 

4.4. Jogos érdek, az érdekmérlegelési teszt

 46. Jogszerű az adatkezelés akkor is, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 47. A jogos érdek fennállásának megállapításához érdekmérlegelési tesztet szükséges lefolytatni, amelynek keretei között egyebek között körültekintően meg kell vizsgálni azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e ésszerűen arra, hogy adatkezelésre az adott célból sor kerülhet. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az M-RTL Zrt. érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.

 

 

5. Az adatkezelés időtartama

 48. Személyes adatok csak az adatkezelés céljainak eléréséhez szükséges ideig kezelhetők az érintettek azonosítását lehetővé tevő módon.

 49. Az M-RTL Zrt. a rendelkezésére álló személyes adatokat a különböző adatkezelési célokhoz és jogalapokhoz igazodóan – jogszabályi előírás esetén ennek megfelelően – őrzi meg, majd – különösen, ha nyilvánvaló, hogy az adatok felhasználására a jövőben nem kerül sor, az adatkezelés célja megszűnt ‑ az adatokat az érintett és az M-RTL Zrt. érdekeinek figyelembe vételével törli, vagy – ha erre lehetősége van – anonimizálja.

 50. A megőrzési idő lehet különösen

      a) az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájáruló nyilatkozat visszavonásáig tartó idő,
      b) az M-RTL Zrt. és az érintett közötti szerződéses jogviszony megszűnését követően az elévülési idő végéig tartó idő (kivéve, ha jogszabály ettől eltérően rendelkezik),
      c) jogszabályon alapuló kötelező adatkezelés esetén a vonatkozó jogszabályban előírt határidő lejártáig, így például az adózással összefüggően 5 évig, a számvitellel összefüggésben főszabály szerint 8 évig.

 

 51. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az M-RTL Zrt. törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

 

6. Az érintett jogai érvényesülésének biztosítása

 52. Az M-RTL Zrt. biztosítja az érintetteket megillető alábbi jogok érvényesülését, a jogok gyakorlása során együttműködve az érintettekkel azzal, hogy a részletes folyamatot az érintetti jogok teljesítésével kapcsolatosan külön, az adatvédelmi tisztviselő által jóváhagyott  eljárásrend tartalmazza:

      a) tájékoztatáshoz való jog:

      az M-RTL Zrt. ‑ a tisztességes és átlátható adatkezelés elvének megfelelően – a jogszabályokban meghatározottak szerint az érintett rendelkezésére bocsátja a jogszabályokban előírt információkat,

       b)hozzáférési jog:

     az érintett jogosult arra, hogy az M-RTL Zrt.-től visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és igen, akkor jogosult arra, hogy a személyes adatokhoz és a jogszabályban meghatározott információkhoz hozzáférést kapjon. Az M-RTL Zrt. az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az M-RTL Zrt. az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat az M-RTL – az érintett eltérő kérdése hiányába ‑ széles körben használt elektronikus formátumban bocsátja rendelkezésre,

       c) helyesbítéshez való jog:

     az érintett kérheti, hogy az M-RTL Zrt. indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, illetőleg a hiányos személyes adatait egészítse ki,

       d) törléshez való jog:

     az érintett kérheti, hogy az M-RTL Zrt. indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, amely kérelem teljesítésének megtagadására csak a jogszabályok által meghatározott esetekben van lehetőség, így különösen, ha az adatkezelés szükséges a személyes adatok kezelését előíró, az M-RTL Zrt.-re alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából, illetve jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez,

       e) elfeledtetéshez való jog:

    ezen, a törléshez való jog online környezetben történő megerősítését szolgáló jog arra kötelezi az M-RTL Zrt.-t, hogy ha nyilvánosságra hozta a személyes adatot és azt a törléshez való jog érvényesítése következtében törölni köteles, akkor az elérhető technológia és a megvalósítás költségeinek figyelembevételével tegye meg az ésszerűen elvárható lépéseket (ideértve technikai intézkedéseket) annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését,

 

      f) korlátozáshoz való jog:

  • az érintett jogosult arra, hogy kérésére az M-RTL Zrt. korlátozza az adatkezelést, ha
  • az érintett vitatja a személyes adatok pontosságát (ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az M-RTL Zrt. ellenőrizze a személyes adatok pontosságát),
  • az adatkezelés jogellenes és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
  • az M-RTL Zrt.-nek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
  • az érintett a tiltakozáshoz való jogával élve tiltakozott az adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az M-RTL Zrt. jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben),

      g) a személyes adatok helyesbítéséről, törléséről, az adatkezelés korlátozásáról tájékoztatott címzettekről történő tájékoztatáshoz való jog:

   az M-RTL Zrt. minden olyan címzettet tájékoztat a személyes adatok érintett kérésre történő helyesbítéséről, törléséről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az M-RTL Zrt. tájékoztatja e címzettekről,

       h) adathordozhatósághoz való jog:

   az érintettet ‑ ha a személyes adatok kezelése automatizált módon történik ‑ feljogosítja arra, hogy a rá vonatkozó, általa (hozzájárulással vagy a szerződés teljesítéséhez szükséges adatkezelés kapcsán) az M-RTL Zrt. rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, illetőleg ‑ ha ez technikailag megvalósítható ‑ az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását is,

       i) tiltakozáshoz való jog:

   az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az M-RTL Zrt. egy harmadik fél jogos érdekei alapján szükséges kezelése ellen, ideértve a profilalkotást is. Ebben az esetben az M-RTL Zrt. a személyes adatokat nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Ha a személyes adatokat az M-RTL Zrt. közvetlen üzletszerzés érdekében kezeli (beleértve a profilalkotást is), akkor az érintett tiltakozása esetén a személyes adatok a továbbiakban e célból nem kezelhetők. Az M-RTL biztosítja, hogy az érintett bármikor díjmentesen tiltakozzon a rá vonatkozó személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen,

       j) az érintett joga arra, hogy ne terjedjen ki rá a kizárólag automatizált adatkezelésen alapuló döntés hatálya: 

   az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen - ideértve a profilalkotást is - alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Ez a jog nem illeti meg az érintettet, ha a döntés meghozatalát az M-RTL Zrt.-re alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít,
az érintett és az M-RTL Zrt. közötti szerződés megkötése vagy teljesítése érdekében szükséges,
az érintett kifejezett hozzájárulásán alapul. A két utóbbi esetben az M-RTL Zrt. biztosítja, hogy az érintett az M-RTL Zrt. részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújthasson be,

      k) jogorvoslathoz való jog:

   ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése sérti a jogszabályi előírásokat, panaszt tegyen egy adatvédelmi felügyeleti hatóságnál, illetve hatékony bírósági jogorvoslatra jogosult. Az érintettnek lehetősége van arra, hogy a panasz benyújtása vagy a bírósághoz fordulást megelőzően az M-RTL Zrt. adatvédelmi tisztviselőjéhez forduljon és az M-RTL Zrt. adatkezelését érintő problémát nála is jelezze.

 

7. Az adatkezelés tartalma

 53. Az M-RTL Zrt. adatkezelési tevékenysége magában foglalja a személyes adatokon és az adatállományokon végzett műveleteket, így különösen

      a) a gyűjtést,
      b) a rögzítést,
      c) a rendszerezést,
      d) a tagolást,
      e) a tárolást,
      f) az átalakítást,
      g) a megváltoztatást,
      h) a lekérdezést,
      i) a betekintést,
      j) a felhasználást,
      k) a közlést továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján,
      l) az összehangolást,
      m) az összekapcsolást,
      n) a korlátozást,
      o) a törlést,
      p) a megsemmisítés.

 54. Az adatkezelés korlátozása esetén az M-RTL Zrt. biztosítja, hogy a személyes adatokon további adatkezelési műveleteket ne végezzenek el és azokat ne lehessen megváltoztatni. Az adatkezelés korlátozása esetén sor kerülhet különösen a szóban forgó személyes adatoknak

      a) egy másik adatkezelő rendszerbe történő ideiglenes áthelyezésére,
      b) a felhasználók számára való hozzáférhetőségüknek a megszüntetésére,
      c) a honlapról történő ideiglenes eltávolítására.

 55. Számítástechnikai, távközlési eszközök és programok helyességének ellenőrzésére, a felhasználók betanítására, illetve oktatási célra valós személyes adatokat felhasználni nem lehet. Informatikai (funkcionális, integrációs) tesztkörnyezetekben gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt és anonimizált adatok közötti kapcsolat technikai úton ne legyen visszaállítható. Informatikai tesztkörnyezetekben (funkcionális, integrációs) a személyes adatok anonimizálás nélküli felhasználása főszabály szerint tilos. Ez alól kivételt tenni kizárólag akkor lehetséges, ha enélkül a tesztelés kivitelezhetetlen vagy megvalósíthatatlan lenne. Ebben az esetben azonban kockázat elfogadói nyilatkozat szükséges az érintett üzleti terület vezetőjétől. Ekkor is törekedni kell azonban a személyes adatok minimális felhasználására, illetve lehetőség szerint ezeket nem valós adatokkal kell helyettesíteni vagy valamilyen módon maszkolni, csonkolni, vagy más módon anonimizálni szükséges, egyúttal gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt (anonim) adatok közötti kapcsolat lehetőség szerint technikai úton ne legyen visszaállítható. A tesztelésre vonatkozó részletszabályokat az M-RTL Zrt. vonatkozó IT szabályzata határozza meg.

 

8. Közös adatkezelés

 56. Közös adatkezelés esetén az M-RTL Zrt. az adatkezelés céljait és eszközeit más adatkezelővel közösen határozza meg (a közös adatkezelők).

 57. A megállapodásban átlátható módon meg kell határozni a közös adatkezelők érintettekkel szembeni szerepüket és a velük való kapcsolatukat, az adatkezeléssel kapcsolatos, jogszabályban meghatározott kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és adatkezelésről történő tájékoztatásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve, ha azt jogszabály határozza meg.

 58. A megállapodásban szükség esetén kapcsolattartót jelölnek ki az érintettek számára.

 59. A megállapodás lényegét az érintettek rendelkezésére kell bocsátani.

 60. Az érintett a megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja a jogszabályok szerinti jogait.

 61. Az M-RTL Zrt. és a másik adatkezelő a közöttük létrejött megállapodásban szabályozzák az érintettekkel szembeni szerepüket és a velük való kapcsolatukat.

 62. Az M-RTL Zrt. és a másik adatkezelő közötti megállapodásban a fentiekre figyelemmel meg kell határozni különösen

      a) az adatkezelés célját,
      b) a kezelendő adatok körét,
      c) az adatkezelés időtartamát,
      d) a közös adatkezelésben érintett egyes adatkezelők által végzendő adatkezelési műveleteket (hozzájáruló nyilatkozatok felvétele, a felvett adatok tárolása),
      e) az egyes adatkezelők feladatait az érintettek részére nyújtandó adatkezelési tájékoztatás teljesítése körében,
      f) az egyes adatkezelők feladatait az érintettek jogai érvényre juttatása körében,
      g) az esetleges jogellenes adatkezelés következményei viselőjének szabályait;
      h) az alkalmazandó adatbiztonsági intézkedéseket,
      i) az adatvédelmi incidens veszélye vagy bekövetkezése esetén követendő eljárás szabályait,
      j) az érintettek számára kijelölhető kapcsolattartó kijelölésének szabályait, kijelölés esetén a kapcsolattartó személye, elérhetősége, a kapcsolattartó személye módosításának szabályait,
      k) a közös adatkezelők közötti megállapodásról az érintettek rendelkezésére bocsátandó összefoglalót.

 

9. Adatfeldolgozó által végzett adatkezelés

 63. Az M-RTL Zrt. az adatkezelői tevékenységének megvalósítása érdekében adatfeldolgozót vehet igénybe.

 64. Az adatfeldolgozó az M-RTL Zrt. nevében kezeli a személyes adatokat.

 65. Az adatfeldolgozó és bármely, az M-RTL Zrt. vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az M-RTL Zrt. utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

 66. Az M-RTL Zrt. kizárólag olyan adatfeldolgozót vesz igénybe, aki/amely megfelelő garanciákat nyújt az adatkezelés jogszabályi követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

 67. Az M-RTL Zrt. és az adatfeldolgozói szerződésben rendelkezni kell az alábbiakról:

     a) az adatkezelés tárgya,
     b) az adatkezelés időtartama,
     c) az adatkezelés jellege,
     d) az adatkezelés célja,
     e) a kezelt személyes adatok típusa,
     f) az érintettek kategóriái,
     g) az adatkezelő kötelezettségei és jogai,
     h) annak rögzítése, hogy az adatfeldolgozó 

               ha)       a személyes adatokat kizárólag az M-RTL Zrt. írásbeli utasításai alapján kezeli - beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is - , kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő, amely esetben erről a jogi előírásról az adatfeldolgozó az M-RTL Zrt.-t az adatkezelést megelőzően értesíti, kivéve, ha az M-RTL Zrt. értesítését az adott jogszabály fontos közérdekből tiltja,

               hb)       biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,

               hc)       megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy az adatkezelés természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázata mértékének megfelelő szintű adatbiztonságot garantálja, ideértve többek között adott esetben a személyes adatok álnevesítését és titkosítását, a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét, fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani, illetve az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást, továbbá adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az M-RTL Zrt. vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az M-RTL Zrt. utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket,

                hd)       tiszteletben tartja a további adatfeldolgozó igénybevételével kapcsolatos jogszabályi és szerződéses feltételeket,

                he)       az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az M-RTL Zrt.-t abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,

                hf)       segíti az M-RTL Zrt.-t egyéb, az adatkezeléssel kapcsolatos kötelezettségeinek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat,

                hg)       az adatkezelési szolgáltatás nyújtásának befejezését követően az M-RTL Zrt. döntése alapján minden személyes adatot töröl vagy visszajuttat az M-RTL Zrt.-nek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő,

                hh) az M-RTL Zrt. rendelkezésére bocsát minden olyan információt, amely az adatkezeléssel kapcsolatos jogszabályokban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Az adatfeldolgozó haladéktalanul tájékoztatja az M-RTL Zrt.-t, ha úgy véli, hogy annak valamely utasítása sérti a tagállami vagy uniós adatvédelmi rendelkezéseket.

 68. Az M-RTL Zrt. és az adatfeldolgozói szerződésben rendelkezni kell továbbá az alábbiakról:

      a) az adatfeldolgozó köteles indokolatlan késedelem nélkül értesíteni az M-RTL Zrt-t, ha valamely érintett

  • azzal kereste meg, hogy élni kíván hozzáférési, helyesbítési, törlési, az adatkezelés korlátozásával kapcsolatos vagy hordozhatósághoz való jogával,
  • az adatkezelésre vonatkozó jogszabályi rendelkezések megsértését sérelmező kifogással fordul hozzá,

      b) az adatfeldolgozó köteles indokolatlan késedelem nélkül értesíteni az M-RTL Zrt.-t, ha valamely adatvédelmi felügyeleti hatóság vagy bármely más hatóság, bíróság az M-RTL Zrt. adatkezelési tevékenységét érintő megkereséssel fordult hozzá,
      c) az adatfeldolgozó köteles együttműködni az M-RTL Zrt.-vel az érintett vagy a hatóság, bíróság megkeresésének megválaszolása érdekében,
      d) az adatfeldolgozó köteles segítséget nyújtani az M-RTL Zrt. részére az M-RTL Zrt.-t az adatkezelés biztonsága, az adatvédelmi incidens adatvédelmi felügyeleti hatóságnak történő bejelentése, az adatvédelmi hatásvizsgálat és az előzetes konzultáció kapcsán fennálló kötelezettségeinek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat,
      e) a segítségnyújtás keretében az adatfeldolgozó köteles különösen az M-RTL Zrt. utasítása szerint

  • a személyes Adatok kezeléséről tájékoztatást adni az érintett részére,
  • az adatkezelés tárgyát képező, az adatfeldolgozó birtokában lévő személyes adatok másolatát az érintett rendelkezésére bocsátani,
  • a személyes adatot helyesbíteni vagy törölni.

 69. Az adatfeldolgozó az M-RTL Zrt. előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az M-RTL Zrt.-t minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az M-RTL Zrt.-nek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

 70. Az M-RTL Zrt. visszavonhat bármilyen jóváhagyást, amely valamely konkrét további adatfeldolgozó (alvállalkozó) igénybevételével kapcsolatos. Az M-RTL Zrt. köteles ismertetni az adatfeldolgozóval a visszavonás indokát.

 

10. Adattovábbítás

 71.Az M-RTL Zrt. által kezelt személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a jelen Szabályzatban meghatározott valamely jogalap alapján lehet.

 72. Az EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor.

 73. Az EGT-államon kívüli országban vagy nemzetközi szervezetben lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha

      a) a harmadik ország vagy nemzetközi szervezet által biztosított adatvédelmi szintről az Európai Bizottság megfelelőségi határozatot hozott, vagy
      b) az a) pont szerinti megfelelőségi határozat hiányában, ha a harmadik országbeli adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, beleértve a hatékony jogorvoslati lehetőség biztosítását is az érintettek számára,
      c) az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról,
      d) az adattovábbítás az érintett és az M-RTL Zrt. közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges,
      e) az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges,
      f) az adattovábbítás fontos közérdekből szükséges,
      g) az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges,
      h) az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására,
      i) a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

 74. Az M-RTL Zrt. törekszik arra, hogy az adattovábbítást, illetve a továbbított adatok mennyiségét, kezelésének és felhasználásának lehetséges céljait, kezelésének lehetséges időtartamát, továbbításának lehetséges címzettjeit korlátozza.

 75.Az M-RTL Zrt. az adattovábbítással egyidejűleg az adatátvevőt nyilatkoztatja arról, hogy az adatátvevő az átvett és érintettre vonatkozó személyes adatokat az alkalmazott adatkezelési korlátozásnak megfelelő terjedelemben és módon kezeli-e, illetve az érintett jogait az adatkezelési korlátozásnak megfelelően biztosítja-e, valamint kötelezettségvállalását igényli, hogy amennyiben ez valamely okból fontossá válik az M-RTL Zrt. számára, úgy az adatátvevő külön is tájékoztassa az M-RTL Zrt.-t az átvett személyes adatok kezeléséről, felhasználásáról.

 76. Adattovábbításra – az adatkezelés céljához igazodóan – többek között különösen a következő esetekben kerülhet sor:

      a) az M-RTL Zrt. tevékenységének kiszervezése,
      b) az M-RTL Zrt. tulajdonosa, azon vállalkozáscsoport tagjai részére, amelyhez az M-RTL Zrt. tartozik, a vállalkozáscsoporthoz tartozó leányvállalatok és érdekeltségek közötti adatáramlás biztosítása érdekében – e felek között megkötött adatátadási szerződések keretei között, amennyiben az szükséges, úgy az érintett hozzájárulásával –, amennyiben azok célja különösen

  • piackutatás,
  • ügyfél-elégedettségi felmérés,
  • marketing- és reklámcélú felhasználás,
  • a minőségi és hatékony ügyfélkiszolgálás biztosítása és kapcsolattartás;
  • statisztikai adatszolgáltatási kötelezettség teljesítése érdekében,
  • követelés kezelése, illetve értékesítése keretében,
  • hatósági, illetve bírósági adatszolgáltatási kötelezettség teljesítése érdekében.

 

11. Egyes adatkezelések különös szabályai

11.1. Honlappal és online lekérdezhető szolgáltatásokkal, valamint kvíz és nyereményjátékokkal kapcsolatos adatkezelés

 77. Az M-RTL Zrt. honlapjára, más weboldalaira történő belépés és a weboldal (rtl.hu, rtlmost.hu, rtl24.hu), illetve az azon található szolgáltatások, kvíz és nyereményjátékok használata, a weboldalon való esetleges regisztráció, vagy azon adatok megadása, rögzítése, illetve az M-RTL Zrt. által biztosított alkalmazások használata kizárólag az adott weboldal, illetve alkalmazás felhasználási feltételeiben foglaltak elfogadásával lehetséges. A weboldalra való belépéssel, illetve az alkalmazás használatának megkezdésével a weboldal látogatója ezen feltételeket ráutaló magatartásával, illetve – amennyiben az szükséges – tevőleges hozzájárulásával elfogadja.

 78. A weboldalra való belépéssel, ha ezt a látogató által használt webböngésző beállítások engedik vagy azt a látogató az oldal első látogatásakor kifejezetten jóváhagyta, a weboldal automatikusan elmenthet információkat a látogató számítógépéről, illetve a böngészésre használt eszközéről (tablet, okostelefon), illetve azon ilyen célból ún. számítógépes „sütiket” (cookie) vagy más hasonló programokat helyezhet el. Ennek alkalmazására csak abból a célból kerülhet sor, hogy biztosítva legyen a visszaélések megakadályozása és az oldalon nyújtott szolgáltatások zavartalan biztosítása.

 79. Az ún. számítógépes „sütik” (cookie) vagy más hasonló programoknak a webes élmény biztosítása érdekében történő elhelyezésére csak a látogató hozzájárulása esetén kerül sor.

 80. Az M-RTL Zrt., illetve a weboldal üzemeltetője a látogatóról, a látogató számítógépéről, illetve a böngészésre használt eszközéről a következő adatokat rögzíti és kezeli:

      a) a látogató által használt IP-cím, a böngésző típusa, a böngészésre használt eszköz operációs rendszerének jellemzői (például típus, beállított nyelv),
      b) a látogatás pontos időpontja,
      c) az előzőleg látogatott oldal címe,
      d) a meglátogatott oldal, aloldal, használt funkció vagy szolgáltatás,
      e) az oldalon töltött idő.

 81. A rendszer ezen adatokat a belépéskor, illetve kilépéskor automatikusan naplózza, a naplófájlokat a weboldal üzemeltetője 30 nap elteltével törli, illetve anonimizálja.

 82. A rendszerben rögzített adatokhoz kizárólag a weboldal üzemeltetőjének munkatársai férhetnek hozzá a fenti célok biztosítása érdekében.

 83. A rendszerben rögzített adatok továbbítására csak a jogszabályokban rögzített esetekben, célokból és felhatalmazottak részére (tipikusan bűnüldözési célból, stb.) van lehetőség.

 84. A rendszer anonimizált adatai statisztikai adatszolgáltatási célokra felhasználhatók.

 85. A weboldalak üzemeltetésébe az M-RTL Zrt. adatfeldolgozót vonhat be. Az adatfeldolgozó megnevezését és a honlapok és az azon elhelyezett „sütik” adatkezelésének részletes feltételeit az M-RTL Zrt. honlapján elhelyezett tájékoztató az úgynevezett sütik használatáról (Cookie Policy) tartalmazza.

 86. A weboldalon az M-RTL Zrt.-től független, külső szerverről érkező és külső szerverre mutató hivatkozások is találhatók. E hivatkozások szolgáltatója a saját szerverére történő közvetlen kapcsolódás miatt esetleg felhasználói adatokat képes gyűjteni, melyre az M-RTL Zrt.-nek semmiféle ráhatása sincs, s ezen adatgyűjtésekért semmiféle felelősséget nem vállal.

 87. A weboldal web analitikai adatainak független mérését és auditálását, valamint látogatottsági adatainak figyelését esetileg külső szerver segíti (ezen mérési adatok kezeléséről a következő linken lehet informálódni: http://dkt.hu/ és http://www.gemius.hu)

 88. Külső szolgáltatók végezhetik továbbá a weboldalon, illetve a weboldalhoz kapcsolt Facebook vagy más oldalakon a megjelenő reklám- és marketing célú hirdetések kiszolgálását is. Az M-RTL Zrt. az ezzel összefüggő adatvédelmi követelmények teljesüléséért felelősséggel tartozik. Ezen külső szolgáltatók esetileg a felhasználói szokások mérésével, valamint a hirdetések kiszolgálásával kapcsolatosan, információgyűjtés céljából ún. webjelzőket (web beacons) is használhatnak.

 89. Esetenként az M-RTL Zrt. olyan szolgáltatásokat, alkalmazásokat biztosít, amelyek az azokat igénybe vevők kifejezett és előzetes hozzájárulásával személyes adataikat is rögzíthetik az adott szolgáltatás, alkalmazás felhasználási feltételeiben meghatározott körben és célokból. Az M-RTL Zrt. a szolgáltatások nyújtásához adatfeldolgozókat vesz igénybe (pl. M6 és al-adatfeldolgozója a Gigya), amellyel kötött adatfeldolgozói szerződéseknek meg kell felelniük jelen szabályzat és a jogszabályok rendelkezéseinek.

 

11.2.    Reklámtevékenységhez kapcsolódó adatkezelés

 90.Az M-RTL Zrt. az érintett adatait jogosult:

      a) elektronikus levélben (ideértve a telefaxot, MMS-t és az SMS-t, vagy bármely egyéb elektronikus csatornát is), vagy automatizált eszközzel telefonon piackutatásra, ügyfél-elégedettségi felmérések elvégzésére,
      b) ügyfélkapcsolat-kezelésre,
      c) a minőségi és hatékony ügyfélkiszolgálás biztosítására,
      d) célcsoport képzésre, profilalkotásra,
      e) kapcsolattartásra,
      f) ha ezt a vonatkozó jogszabályok lehetővé teszik vagy ehhez az érintett hozzájárult (ún. opt-in rendszer), üzleti ajánlatok adása, reklám elektronikus levél (ide értve a telefaxot és az SMS-t vagy bármely egyéb elektronikus csatornát is) vagy automatizált eszközzel telefon útján történő közlése céljából (marketing célból) felhasználni

(a továbbiakban együttesen: reklámtevékenységhez kapcsolódó adatkezelés).

 91. Az M-RTL Zrt. minden reklámtevékenységhez kapcsolódó felhasználás esetében biztosítja a lehetőséget, hogy az érintett megtiltsa adatai ilyen célú további felhasználását (ún. opt-out rendszer).

 92. Az M-RTL Zrt. jogosult arra, hogy külső forrásokból, harmadik személy adatkezelőktől reklámtevékenység céljára személyes adatokat átvegyen, ha az adatátadáshoz eredetileg az érintett hozzájárulását adta. Ezen hozzájárulás meglétéért az adatátadó harmadik fél felelősséggel tartozik, s az M-RTL Zrt. felhívására köteles azt az érintett nyilatkozatának nála rendelkezésre álló formájával bizonyítani.

 93.Az M-RTL Zrt. kapcsolatfelvétel céljából az érintett által megadott valamennyi elérhetőségi adatot felhasználhatja közvetlen levélben, számlalevél mellékleteként, telefonon, SMS/MMS-en, email-en, netbankon vagy más elektronikus csatornán keresztüli megkeresésekre, kivéve, ha ezt az érintett egyes módokra vagy általános jelleggel megtiltotta.

 94. Az M-RTL Zrt. mind a hozzájáruló nyilatkozatot tevő személyek adatairól, mind pedig a reklámcélú adatkezelések letiltásáról nyilvántartást vezet a vonatkozó jogszabályokban foglaltaknak megfelelően (ún. Robinson lista). A nyilvántartásokban rögzített, a reklám címzettjére vonatkozó adatokat az M-RTL Zrt. csak a hozzájáruló/letiltó nyilatkozatban foglaltaknak megfelelően kezeli, és harmadik fél számára kizárólag a Robinson listán szereplés megállapítása, a további felhasználások letiltása, vagy mindezek módosításának céljából adja át.

 95. Hozzájáruló nyilatkozat bármely olyan módon tehető, amely tartalmazza a nyilatkozó érintett ügyfél nevét és egyéb azonosító adatait (anyja neve, születési hely és idő, állandó lakcím, aláírás), amelyekkel a nyilatkozatot tevőt egyértelműen és hiteles módon azonosítani lehet, továbbá azoknak a személyes adatoknak a körét, amelyek kezeléséhez a nyilatkozó hozzájárul, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését.

 96. Amennyiben a reklám csak meghatározott életkorú személyek számára közölhető, úgy a nyilatkozatnak mindenképpen tartalmaznia kell az érintett születési idejét vagy korát is.

 97. Az érintett bármikor jogosult – korlátozás és indokolás nélkül, ingyenesen – az M-RTL Zrt.-nél kezdeményezni hozzájáruló nyilatkozatának módosítását, illetve visszavonását. Az Ügyfél, illetve leendő ügyfél ezirányú igényét a következő módon teheti meg:

      a) az M-RTL Zrt. közönségszolgálatánál személyesen egy nyilatkozat kitöltésével és aláírásával,
      b) a kitöltött és aláírt nyilatkozat postai levélen történő elküldésével,
      c) email-en keresztül az adatvedelem@rtl.hu email címen.

 98. Az M-RTL Zrt. az általa küldött reklámokhoz kapcsolódóan minden esetben egyértelműen tájékoztatja a reklám címzettjeit arról is, hogy milyen módon és elérhetőségeken keresztül gyakorolhatják módosítási, illetve visszavonási jogukat, azaz hol és milyen módon módosíthatják vagy vonhatják vissza hozzájáruló nyilatkozatukat.

 

11.3. Személy- és vagyonvédelemmel, beléptetéssel kapcsolatos adatkezelés

 99. Az M-RTL Zrt. jogosult a Szabályzat jelen fejezetének hatálya alá tartozó érintettek számára nyitva álló helyiségeiben az ott megjelenő érintettről képfelvételt készíteni, és a felvételt biztonsági célból tárolni és felhasználni.

 100. Az M-RTL Zrt. az elektronikus megfigyelőrendszer működése útján kép-, hang-, valamint kép- és hangfelvételt a kötelezettségeit meghatározó szerződés keretei között, a szerződésből fakadó kötelezettségei teljesítése céljából, az adatvédelmi jogok érvényesítése mellett, illetve a vonatkozó jogszabályokban meghatározott korlátozó rendelkezések betartásával készíthet, illetve kezelhet. E tevékenysége során vagyonőrzési feladatokat ellátó személy adatfeldolgozónak minősül.

 101. Nem alkalmazható elektronikus megfigyelőrendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, mosdóban, illemhelyen, orvosi szobában, szoláriumban.

 102. A rögzített kép-, hang-, valamint kép- és hangfelvételt felhasználás hiányában legfeljebb a rögzítéstől számított három munkanap elteltével meg kell semmisíteni, illetve törölni kell.

 103. A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint más személyes adatot csak az a személy- és vagyonvédelmi tevékenységet végző személy jogosult megismerni, akinek ez a szerződésből fakadó kötelezettségei érvényesítéséhez szükséges, és a jogsértő cselekmény megelőzése vagy megszakítása érdekében mellőzhetetlen. A rögzített kép-, hang-, valamint kép- és hangfelvételt, valamint személyes adatot kezelő, vagy egyéb okból annak megismerésére jogosult személy- és vagyonvédelmi tevékenységet végző személy nevét, az adatok megismerésének okát és idejét jegyzőkönyvben kell rögzíteni.

 104. A kamerás megfigyelés tényét jól látható helyen fel kell tüntetni.

 105. Az M-RTL Zrt. elektronikus beléptető rendszert alkalmazhat, ha a védett területre csak arra jogosultak léphetnek be, illetőleg tartózkodhatnak ott. Az elektronikus beléptető rendszer működtetéséhez felhasznált személyes adatok kezelése során biztosítani kell az adatvédelmi jogok érvényesülését, valamint tájékoztatást kell elhelyezni az adatkezelő személyéről és az adatok kezelésének módjáról.

 106. A belépésre jogosultak azonosítására e személyek neve és lakcíme kezelhető.

 107. A belépésre jogosultaknak az elektronikus beléptető rendszer működtetéséhez kezelt azonosító adatait (nevét és lakcímét)

      a) rendszeres belépés esetén a belépésre való jogosultság megszűnésekor haladéktalanul,
      b) alkalmi belépés esetén a távozástól számított 24 óra elteltével

meg kell semmisíteni.

 

108. Az elektronikus beléptető rendszer működtetése során keletkezett adatokat (pl. a belépés időpontja)

      a) rendszeres belépés esetén a belépésre való jogosultság megszűnésekor, de legkésőbb az adat keletkezésétől számított hat hónap elteltével,
      b) alkalmi belépés esetén a távozástól számított 24 óra elteltével

meg kell semmisíteni.

 109. A belépési adatbázis adatai csak ‑ bűncselekmény vagy szabálysértés gyanújának észlelése esetén, továbbá megkeresés alapján ‑ a nyomozó hatóságnak, valamint a szabálysértés miatt eljáró hatóságnak és a szabálysértés miatt előkészítő eljárást folytató szervnek adhatók át.

 

11.4. Automatizált adatkezelés és profilalkotás

 110. A belépési adatbázis adatai csak ‑ bűncselekmény vagy szabálysértés gyanújának észlelése esetén, továbbá megkeresés alapján ‑ a nyomozó hatóságnak, valamint a szabálysértés miatt eljáró hatóságnak és a szabálysértés miatt előkészítő eljárást folytató szervnek adhatók át.

 111. A profilalkotás segítséget nyújt természetes személyek személyes preferenciáinak, viselkedésének és attitűdjeinek az elemzéséhez (pl. targetált reklám). A profilalkotás hozzájárulhat az érintettek számára is kedvezőbb döntések meghozatalához.

 112. Az M-RTL Zrt. a profilalkotás vonatkozásában is érvényesíti a személyes adatok kezelésének alapelveit, így különösen a jogszerűség, a tisztességes eljárás és az átláthatóság elvét. Ezt szolgálandó a jogszabályi előírások szerint tájékoztatja az érintetteket a profilalkotás tényéről és annak következményeiről.

 113. Az automatizált döntéshozatal esetében az M-RTL Zrt. az érintettre, annak jogi helyzetére hatást gyakorló döntését technikai eszközökkel automatizált döntéshozatal által hozza meg. Az ehhez szükséges adatok rendelkezésre állhatnak magának az érintettnek az adatközlése által, de az érintettről más módon rendelkezésre álló adatok is felhasználásra kerülhetnek.

 114. Az M-RTL Zrt. minden érintett számára biztosítja annak megismerhetőségét, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés - legalább abban az esetben, amikor az profilalkotásra épül - milyen következményekkel járhat.

 115. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

 

11.5.  Casting adatbázis

 116. A casting adatbázis célja az M-RTL Zrt. „reality”, tehetségkutató, „talk-show”, vetélkedő, stb. típusú műsoraival kapcsolatos szereplőválogatáson (casting) történő részvétel, az ehhez szükséges kapcsolatfelvétel.

 117. A kezelt személyes adatok különösen:

  • név
  • lakcím vagy egyéb értesítési cím
  • e-mail cím
  • telefonszám
  • a szereplőválogatáson készült kép- és hangfelvétel
  • az érintettnek a műsor jellege szerinti egyéb adata (pl. értékelők általi komment, amely azonban csak a casting céljával összefüggésben rögzíthető és nem sérthet személyiségi jogokat)
  • az érintett által megadott, a műsor vagy potenciális jövőbeni műsorok tematikájához kapcsolódó egyéb információ
  • a 16. életévét nem betöltött érintett esetén a szülői felügyeleti jog gyakorlójának neve, lakcíme vagy egyéb értesítési címe, e-mail címe, telefonszáma

 118. Az adatkezelés jogalapja az érintett hozzájárulása, amelyet az adott műsorra és más jövőbeni műsorokra általánosságban külön-külön is megadhat. A casting adatbázissal kapcsolatba való bekerülés érdekében ösztönző intézkedések alkalmazását az adatvédelmi tisztviselővel előzetesen egyeztetni kell.

 119. Az adatkezelés az adatkezelési cél megszűnéséig, de legfeljebb a hozzájárulás visszavonásáig tart.

 120. A casting adatbázis informatikai eszközét az M-RTL Zrt. hozta létre és működteti. Nem saját gyártás esetén a casting adatbázissal kapcsolatban a gyártók adatfeldolgozóknak minősülnek, mivel az adatbázis célját és eszközét az M-RTL Zrt. maga határozza meg. A gyártók adatkezelése az M-RTL Zrt. utasításai szerint történik.  

 

11.6. Adás és híradó archívum

 121. Az adás és híradó archívum célja az M-RTL Zrt. műsorainak elkészítését követő megőrzése kutatási, közérdekű archiválási, valóság bizonyítási és kulturális örökségvédelmi célból.

 122. A kezelt személyes adatok különösen:

  •  adásba került felvételek
  • hírműsorok teljes dokumentációja (vágóképek, stb.)

 123. Az adatkezelés jogalapja GDPR 6. cikk (1) bekezdés c) pontja szerinti törvényi kötelezettség teljesítése, ezt követően pedig az M-RTL Zrt. jogos érdeke (GDPR 6. cikk (1) bekezdés f) pontja). Törvényi kötelezettség teljesítése esetén M-RTL Zrt. több jogszabályhelyre tekintettel kezel adatokat.

 124. A jogi kötelezettségek megszűnését követően az adatkezelés jogalapja az M-RTL Zrt. jogos érdeke. Ennek igazolására az M-RTL Zrt. érdekmérlegelési tesztet végez.

 

 11.7. Hírműsorok és más saját gyártású felvételen szereplők adatkezelése

 125. Az adatkezelés jogalapja a felvétel adásba kerüléséig az érintett hozzájárulása, amelyet egy tájékoztatásnak kell megelőznie. Az átadandó tájékoztató összefoglalót és az elmondandó tájékoztatót az adatvédelmi tisztviselő hagyja jóvá és a felvétel készítésekor az átadást és a hozzájárulást igazolható módon (nyilatkozaton aláírással vagy felvétellel) rögzíteni kell. Az igazolás addig megőrzendő, amíg a hozzájárulási jogalap hatályos.

 

11.8. CRM adatbázis

 126. Az adatkezelés tárgya az érintett neve, munkahelyi e-mail címe, telefonszáma, az általa képviselt társaság vagy egyéb szervezet neve, a társaságban/szervezetnél betöltött pozíciója, egyéb, az adott szerződéses jogviszony vagy megrendelés kapcsán szükséges adatok (amelyekről az adott szerződés, illetve megrendelés feltételei külön rendelkeznek).

 127. Az adatkezelés jogalapja a GDPR 6. cikk (1) b) pontja, a Társasággal kötött szerződés teljesítése, illetve a GDPR 6. cikk (1) a) pontja alapján az érintett hozzájárulása.

 128. Az adatkezelés időtartama a szerződés teljesítéséhez szükséges, illetve a szerződésben előírt ideig.

 

11.9. Adatkezelési nyilvántartás

 129. Egyebekben az egyes adatkezelésekkel kapcsolatos szabályokat a nem munkavállalói adatkezelésekre vonatkozó adatkezelési nyilvántartás tartalmazza.

 

 

 

 

 

 

 

IV. fejezet

A nem természetes személyek képviselői személyes adatainak kezelése

 

 130. A jelen Szabályzat

     a) nem alkalmazandó a nem természetes személyek adatainak kezelésére,
     b) alkalmazandó az a) pont alá eső személyek természetes személy képviselői, meghatalmazottai, tulajdonosai (a továbbiakban együtt: képviselők) személyes adatainak a kezelésére.

 131. Az M-RTL Zrt. a képviselők vonatkozásában különösen az alábbi személyes adatokat kezelheti:

 132.Az elektronikus beléptető rendszer működtetése során keletkezett adatokat (pl. a belépés időpontja)

      a) a képviselő azonosító adatai [pl. neve, születési neve, anyja neve, születési helye és ideje, lakcíme),
      b) kapcsolati adatok (lakcíme, levelezési vagy egyéb kapcsolattartási címe, telefonszáma, e-mail címe) rendszeres belépés esetén a belépésre való jogosultság megszűnésekor, de legkésőbb az adat keletkezésétől számított hat hónap elteltével,
      c) a képviselő nem természetes személlyel fennálló kapcsolatára vonatkozó adatok,
      d) a képviselő által megtett nyilatkozatok, illetve a képviselői jogállást bizonyító okiratok, dokumentumok eredeti vagy hiteles másolati példányai.

 133. A képviselők adatai kezelésének a célja különösen

      a) a nem természetes személy képviselőjének azonosítása, a személyazonosító okmányokkal való esetleges visszaélések megakadályozása, illetve megnehezítése, az esetleges visszaélések kivizsgálása,
      b) a képviselővel való kapcsolattartás biztosítása,
      c) a nem természetes személlyel megkötendő vagy megkötött szerződés teljesítése, végrehajtása, a szerződés alapján vállalt szolgáltatás nyújtása, a szerződéssel kapcsolatos kötelezettségek és jogosultságok igazolása, vizsgálata, a szerződéssel kapcsolatos kapcsolattartás és információszolgáltatás,
      d) a szerződéssel kapcsolatosan esetlegesen felmerülő követelések érvényesítése, behajtása és értékesítése.

 134. A kezelt adatok forrása a képviselő nyilatkozatán túl nyilvános és közhiteles nyilvántartás (így különösen a cégnyilvántartás vagy más hasonló nyilvántartás) is lehet.

 135. Az M-RTL Zrt. a képviselő személyes adatait a képviselt nem természetes személy adataival megegyező ideig kezeli.

 136. A képviselők adatainak kezelésére egyebekben a jelen Szabályzat V. fejezete alá nem tartozó természetes személyek személyes adatainak kezelésére irányadó rendelkezései alkalmazandók.

 

 

 

V. fejezet

Adatvédelmi tisztviselő

 

1. Az adatvédelmi tisztviselő

 137. Az M-RTL Zrt. adatvédelmi tisztviselőt foglalkoztat akár megbízási szerződés, akár munkaszerződés keretében.

 138.Az adatvédelmi tisztviselő feladatkörében (feladatai ellátása) során önálló aláírási joggal rendelkezik. Akadályoztatása esetén az általa írásban kijelölt munkavállaló rendelkezik aláírási joggal az adatvédelmi tisztviselő nevében.

 139. Az M-RTL Zrt. biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon, így különösen megköveteli, hogy adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsa kikérésre kerüljön.

 140. Az M-RTL Zrt. támogatja az adatvédelmi tisztviselőt feladatai ellátásában, biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

 141. Az M-RTL Zrt. biztosítja az adatvédelmi tisztviselő függetlenségét, így különösen azáltal, hogy adatvédelmi feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el.

 142. Az adatvédelmi tisztviselő közvetlenül az M-RTL Zrt. legfelső vezetésének tartozik felelősséggel.

 143. Az érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

 144. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy magyar jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

 145. Az adatvédelmi tisztviselő más feladatokat is elláthat, azzal, hogy biztosítani kell, hogy az M-RTL Zrt. számára végzett feladatokból ne fakadjon összeférhetetlenség.

 

 

 

VI. fejezet

Adatvédelmi eljárásrend

 

 

 1. Adatvédelmi hatásvizsgálat

 146. Ha az M-RTL Zrt. által megvalósítandó adatkezelés valamely (különösen új technológiákat alkalmazó) típusa (figyelemmel annak jellegére, hatókörére, körülményére és céljaira) valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az M-RTL Zrt. az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

 147. Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

       a) a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen (ideértve a profilalkotást is) alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
       b) a személyes adatok különleges kategóriái kezelése,
       c) nyilvános helyek nagymértékű, módszeres megfigyelése,
       d) a munkavállalók munkahelyi teljesítményére, megbízhatóságára, viselkedésére vonatkozó módszeres elemzésre vagy értékelésére kerül sor, különösen automatizált módon,
       e) video-megfigyelő rendszer bevezetése vagy az alkalmazott technológia megváltoztatása,
       f) új, innovatív technológiai megoldások bevezetése (pl. felhőszolgáltatás igénybe vétele).

 148. A hatásvizsgálat kiterjed legalább az alábbiakra:

      a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az M-RTL Zrt. által érvényesíteni kívánt jogos érdeket,
      b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,
      c) az érintett jogait és szabadságait érintő kockázatok vizsgálatára,
      d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a jogszabályi előírásokkal való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

 149. Az adatvédelmi hatásvizsgálat szükségességéről szóló döntés meghozatalához, illetve az adatvédelmi hatásvizsgálat elvégzésekor ki kell kérni az adatvédelmi tisztviselő szakmai tanácsát.

 150. Az M-RTL Zrt. szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése  az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

 

2. Előzetes konzultáció

 151. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az M-RTL Zrt. által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az M-RTL Zrt. konzultál a felügyeleti hatósággal.

 152. Az M-RTL Zrt. a felügyeleti hatósággal folytatott konzultáció során a felügyeleti hatóságot tájékoztatja

      a) adott esetben az adatkezelésben részt vevő M-RTL Zrt., közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén,
      b) a tervezett adatkezelés céljairól és módjairól,
      c) az érintettek fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról,
      d) adott esetben, az adatvédelmi tisztviselő elérhetőségeiről,
      e) az adatvédelmi hatásvizsgálatról, és
      f) a felügyeleti hatóság által kért minden egyéb információról.

 

3. Az érintett kérelmei kapcsán követendő eljárás

 153. Ha az érintett az őt megillető jogok gyakorlásával összefüggésben megkeresi az M-RTL Zrt.-t, így különösen ha tájékoztatást kér az M-RTL Zrt. által kezelt adatairól, kéri azok másolatát, kéri az M-RTL Zrt. által kezelt adatainak a helyesbítését vagy törlését, az adatkezelés korlátozását, tiltakozik az adatkezelés ellen vagy élni kíván az adathordozhatósághoz való jogával, akkor az érintett kérelmét, bejelentését haladéktalanul továbbítani kell az adatvédelmi tisztviselőhöz.

 154. Az érintetti jogok gyakorlására egyebekben a vonatkozó eljárásrend alkalmazandó. .

 

4. Dokumentálási kötelezettség

 155. Az M-RTL Zrt.-nek képesnek kell lennie a személyes adatok kezelésére vonatkozó alapelvek betartásának igazolására. A megfelelőség igazolása különösen az adatkezeléshez kapcsolódó döntéseket megalapozó körülmények és a döntések, az érintetteknek szóló tájékoztatások és nyilatkozatok, valamint az érintettől származó nyilatkozatok megfelelő dokumentálásával történik.

 156. Az M-RTL Zrt. dokumentálható és visszakereshető formában rögzíti és tárolja az adatkezelést érintő minden tevékenységre, döntésre vonatkozó információkat.

 157. Ha az adatkezelésre érdekmérlegelés elvégzését követően jogos érdek alapján kerül sor, az M-RTL Zrt. írásban, dokumentálható és visszakereshető formában rögzíti és tárolja az érdekmérlegelés megállapításait, eredményét és az arról készült egyéb dokumentációt.

 158. Ha adatkezelésre hatásvizsgálat elvégzését követően kerül sor, az M-RTL Zrt. írásban, dokumentálható és visszakereshető formában rögzíti és tárolja a hatásvizsgálat megállapításait, eredményét és az arról készült egyéb dokumentációt.

 159. Ha az adatkezelésre az érintett hozzájárulása alapján kerül sor, az M-RTL Zrt. – a hozzájárulás megtörténtének mindenkori igazolhatósága érdekében ‑ az érintetteknek az egyes adatkezelési tevékenységekhez hozzájáruló valamennyi (írásban, online felületen, elektronikus üzenet, illetve videochat útján és egyéb úton tett) nyilatkozatát dokumentálható és visszakereshető formában rögzíti, nyilvántartja és tárolja. Ha a hozzájárulás megadására szóban, telefonos úton került sor, akkor az M-RTL Zrt. az érintett e módon tett nyilatkozatát hangfelvétel útján rögzíti, a rögzített hangfelvételt dokumentálható és visszakereshető formában nyilvántartja, tárolja.

 160. Az M-RTL Zrt. az érintettek részére nyújtott adatkezelési tájékoztatás megtörténtét, annak tartalmát dokumentálható és visszakereshető formában rögzíti.

 

5. A személyes adatok nyilvántartása

 161. Az M-RTL Zrt. biztosítja, hogy a személyes adatok nyilvántartásának módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen.

 162. Az M-RTL Zrt. gondoskodik az eltérő célú adatkezelések megfelelő, logikai és szükség szerinti fizikai elkülönítéséről.

 163. Az M-RTL Zrt. az elektronikus és a papíralapú nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembe vételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus és a papíralapú nyilvántartások esetében egyaránt érvényesülnek.

 164. Az M-RTL Zrt. a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a nyilvántartásokban szereplő adatokat csak azok a munkavállalók, és egyéb, az M-RTL Zrt. érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.

 165. Az M-RTL Zrt. a nyilvántartásokhoz való hozzáférést az adatbiztonság követelményének érvényesülése mellett biztosítja azon adatfeldolgozóként közreműködő harmadik személyek részére, akik az M-RTL Zrt. számára olyan szolgáltatást nyújtanak, amely az adatok kezelésével összefügg.

 166. Az M-RTL Zrt. elektronikus nyilvántartásai megfelelnek az adatbiztonság követelményeinek, a nyilvántartások biztosítják, hogy az adatokhoz csak célhoz kötötten, csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.

 

6. Az adatkezelési tevékenységek nyilvántartása

 167. Az M-RTL Zrt. a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásban (ideértve az elektronikus formátumot is) nyilvántartást vezet.

  

7. Az adatkezelés megszüntetése, a személyes adatok törlése, megsemmisítése

 168. Ha az M-RTL Zrt. által végzett adatkezelés célja megvalósult, a kezelt adatokra az M-RTL Zrt.-nek már nincs szüksége, jogszabályi előírás vagy hatósági, illetve bírósági döntés alapján vagy más okból az adott személyes adat kezelését meg kell szüntetni, az adatokat törölni vagy megsemmisíteni kell.

 169. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A személyes adatot oly módon kell törölni, hogy az adat felismerhetetlenné váljék és helyreállítására többé ne legyen mód, a törlés visszaállíthatatlan és ellenőrizhető legyen.

 170. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók (merevlemezek, optikai adathordozók, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, PDA-k, Tablet-ek, laptopok, stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt a vonatkozó szabályzat rendelkezései szerint kell visszakereshető módon megőrizni, illetve selejtezni.

 171. Az adattörlési kötelezettség nem teljesíthető önmagában az álnevesítéssel, mivel az álnevesített személyes adatokat a későbbiekben további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, s így azokat azonosítható természetes személyre vonatkozó adatnak kell tekinteni.

 172. A fizikai adattörléssel teljesítésre kerül az adattörlési kötelezettség. Ekkor megtörténik az adatok fizikai törlése, a rekord tényleges törlésével vagy a törlendő adat fizikai felülírásával (pl. „X” karaktereknek a megfelelő mezőbe beírásával)

 173. A logikai adattörlés akkor fogadható el, ha a megoldás ténylegesen a személyes adat felismerhetetlenségének biztosítását és az ismételt felhasználás megakadályozását eredményezi.

 174. Nem fogadható el az a törlési mód, amely még logikai törlésnek sem tekinthető, a törölt adatok halványan, de egyértelműen olvashatóan megjelennek a felületen, s az informatikai rendszerben továbbra is szerepel az adat, az továbbra is látható, megismerhető formában létezik az adatbázisban - a törlés ezen technikájával az adatkezelés nem szűnik meg.

 175. Az adatok törlésének és megsemmisítésének részletes szabályait külön eljárásrend határozza meg.

 

 

 

VII. fejezet

Adatbiztonság, adatvédelmi incidens

 

  

1. Adatbiztonság

 176. Az M-RTL Zrt. adatkezelési tevékenysége során szem előtt tartja, hogy a személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

 177. Az M-RTL Zrt. gondoskodik az általa kezelt személyes adatok biztonságáról.

 178. Az adatbiztonság érdekében az M-RTL Zrt. megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében.

 179. Az M-RTL Zrt. a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ezek az intézkedések magukban foglalhatják különösen

       a) a személyes adatok álnevesítését és titkosítását,
       b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét,
       c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani,
       d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

 180. A megvalósítandó intézkedés meghatározása során az M-RTL Zrt. a biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe veszi az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

 181. Az M-RTL Zrt. meghozza az ahhoz szükséges intézkedéseket, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag utasításának megfelelően a célhoz kötöttség elvének megfelelően kezelhessék az adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

 182. Az M-RTL Zrt. meghozza az ahhoz szükséges intézkedéseket, hogy az adatokhoz csak célhoz kötötten, csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.

 183. Az M-RTL Zrt. az adatbiztonság szabályainak érvényesüléséről külön szabályzatok, utasítások, eljárási rendek útján gondoskodik. Az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.

 184. Az M-RTL Zrt. az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:

      a) a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem),
      b) az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés),
      c) az adatállományok vírusok elleni védelméről (vírusvédelem),
      d) az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).

 185. Az M-RTL Zrt. a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.

 

 2. Adatvédelmi incidens

 186. Az adatvédelmi incidens esetén az integritás és bizalmas jelleg elve sérelmet szenved a személyes adatok biztonságának olyan sérülése által, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes törlését, megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

 187. Az M-RTL Zrt. a személyes adatok kezelésével összefüggő biztonság fenntartása, így az adatvédelmi incidensek megelőzése érdekében meghozza a szükséges technikai és szervezési intézkedéseket.

 188. Az adatvédelmi incidenst az M-RTL Zrt. az adatvédelmi tisztviselő útján indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak.

 189. Az adatvédelmi incidens illetékes felügyeleti hatóságnak történő bejelentésére a lehető legrövidebb időn belül kell megtörténnie, figyelemmel az adatvédelmi incidens jellegére és súlyosságára, az érintettre gyakorolt következményeire, illetve hátrányos hatásaira is.

 190. A felügyeleti hatóságnak megküldött bejelentésben ismertetni kell

      a) az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
      b) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit,
      c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
      d) az M-RTL Zrt. által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 191. Ha a fenti információkat nem lehetséges egyidejűleg közölni a felügyeleti hatósággal, azok további indokolatlan késedelem nélkül később részletekben is közölhetők. A felügyeleti hatóságnak megküldött első értesítésben jelezni kell, hogy a további részletesebb információk megadására később kerül sor. Az értesítés részletekben történő teljesítésére elsősorban akkor kerülhet sor, ha az értesítés teljes körűségéhez az adatvédelmi tisztviselő általi vizsgálat lefolytatása szükséges.

 192. Ha az adatvédelmi incidens illetékes felügyeleti hatóság részére történő bejelentése nem 72 órán belül kerül teljesítésre, akkor a bejelentésben ismertetni kell a késedelem igazolására szolgáló indokokat is.

 193. A bejelentést az M-RTL Zrt. a felügyeleti hatóság előírásainak megfelelően teljesíti.

 194. Az adatvédelmi incidenst nem kell bejelenteni az illetékes felügyeleti hatóságnak, ha az adatvédelmi incidens az adatvédelmi tisztviselő által lefolytatott értékelés megállapítása szerint valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

 195. Az M-RTL Zrt. az adatvédelmi tisztviselő útján indokolatlan késedelem nélkül, a lehető leghamarabb tájékoztatja az érintettet az adatvédelmi incidensről, ha

      a) az adatvédelmi incidenssel járó kockázat értékelésének eredményeként az adatvédelmi tisztviselő megállapítja, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve,
      b) a felügyeleti hatóság az M-RTL Zrt.-t utasítja az érintettek adatvédelmi incidensről történő tájékoztatására.

 196. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell

      a) az adatvédelmi incidens jellegét,
      b) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit,
      c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
      d) az M-RTL Zrt. által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket,
      e) az érintettet érintő lehetséges hátrányos hatások enyhítését célzó javaslatokat.

 197. Az érintettek tájékoztatása kapcsán az M-RTL Zrt. szorosan együttműködik a felügyeleti hatósággal, és betartja a felügyeleti hatóság vagy más hatóság (így például a rendőrség) által adott útmutatást.

 198. Az érintettet nem kell tájékoztatni az adatvédelmi incidensről, ha a következő feltételek bármelyike teljesül:

      a) az M-RTL Zrt. megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket (például a titkosítás alkalmazását), amelyek a személyes  adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,
      b) az M-RTL Zrt. az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az adatvédelmi incidensről történő tájékoztatás kötelezettségét megalapozó magas kockázat a továbbiakban valószínűsíthetően nem valósul meg,
      c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását,
a felügyeleti hatóság megállapítja az a)-c) pontok szerinti feltételek valamelyikének a teljesülését.

 199. Az M-RTL Zrt. belső adatvédelmi nyilvántartása magában foglalja az adatvédelmi incidensek nyilvántartását.

 200. Az adatvédelmi incidens veszélye, illetve bekövetkezése esetén követendő eljárás, illetőleg az adatvédelmi incidens nyilvántartásának részletes szabályait külön eljárásrend tartalmazza.

^
18

A tartalom megtekintése csak 18 éven felüliek számára engedélyezett! Figyelem! Ez a médiatartalom kiskorúakra káros elemeket is tartalmaz. Amennyiben azt szeretné, hogy az Ön környezetében kiskorúak hasonló tartalmakhoz csak egyedi kód megadásával - azaz kiskorúak kizárása mellett – férjenek hozzá, kérjük, használjon szűrőprogramot. Szűrőprogram letöltése és további információk itt.

A tartalom megtekintése csak 18 éven felüliek számára engedélyezett!

Elmúltam 18, megnézem
Nem nekem való
!

Figyelem, a következő videó a nyugalom megzavarására alkalmas képsorokat és hanghatásokat tartalmazhat!

Megnézem
Nem nekem való
!

A tartalom megtekintése csak az X-Faktor Elit Klub tagjai számára engedélyezett!

A tartalom megtekintése csak az X-Faktor Elit Klub tagjai számára engedélyezett!