Adatvédelmi és adatbiztonsági szabályzat

1. Adatkezelő megnevezése

Társaság neve: ERSTE Nyíltvégű Ingatlan Befektetési Alap
Rövidített cégneve: Erste Alapkezelő Zrt.
Székhelye: 1138 Budapest, Népfürdő u.24-26.
Cégjegyzékszám: 01-10-044157
Adószám: 18182587-2-44
Társaság tulajdonában lévő bevásárlóközpont: Market Central Ferihegy
Bevásárlóközpont címe: 2200 Vecsés, Fő út 246-248.
Adatkezelő elérhetősége: erstealapkezelo@erstealapkezelo.hu
Adatkezelő képviselője: Erste Alapkezelő Zrt.
Adatvédelmi tisztviselő: Antal.Laszlo@whitestar-realestate.hu

2. Adatkezelés szabályai

Jelen adatkezelési tájékoztató időbeli hatálya 2016. október 19-től visszavonásig tart. Az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, ezért a Társaság eljárásai során csak és kizárólag a hatályos jogszabályi előírásoknak megfelelően végez adatkezelést.

Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében, célhoz kötötten van lehetőség. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének. A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos.

A Társaság személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adott személyes adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és – amennyiben a Társaságnál kinevezésre vagy megbízásra került, úgy – a belső adatvédelmi felelős ellenőrizheti.

A Társaság személyes adatot csak az érintett előzetes – különleges személyes adat esetén írásbeli – hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel.

A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

A Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és az azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni.

Ha a Szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy elévült, köteles azt helyesbíteni vagy annak helyesbítését az adat rögzítéséért felelős személynél kezdeményezni.

A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségeket az adatfeldolgozóval kötött megbízási szerződésben érvényesítendőek. Az adatfeldolgozóval a Társaság a
GDPR által előírt Adatfeldolgozói szerződést köt.

3. Az érintettek jogainak érvényesítése

Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését a Társaság és az általa, a Bevásárlóközpontra vonatkozóan ingatlankezeléssel megbízott White Star Real Estate Kft. elérhetőségein.

A beérkezett kérelem, illetve tiltakozás a beérkezéstől számított három napon belül áttételre kerül az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.

A feladat- és hatáskörrel rendelkező szervezeti egység vezetője az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb 25 – tiltakozási jog gyakorlása esetén 15 – napon belül írásban, közérthető formában választ ad.

Az érintett kérelmére az adatfeldolgozó tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

A tájékoztatás főszabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, a GDPR. 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

A személyes adatot törölni kell, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik az adatkezelés ellen;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f) ha az adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles, valamint az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az érintett tiltakozhat személyes adatának kezelése ellen,
– ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy
harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
– ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
– törvényben meghatározott egyéb esetben.

Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Ha az érintett az adatkezelő döntésével nem ért egyet, illetve, ha az adatkezelő a válaszadási határidőt elmulasztja, az érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – bírósághoz fordulhat.

Ha az adatátvevő jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, úgy az értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja. Ha az adatkezelő az értesítést elmulasztja, az adatátvevő felvilágosítást kérhet az adatátadás meghiúsulásával kapcsolatos körülményekről az adatkezelőtől, amely felvilágosítást az
adatkezelő az adatátvevő erre irányuló kérelmének kézbesítését követő 8 napon belül köteles megadni. Felvilágosítás kérése esetén az adatátvevő a felvilágosítás megadásától, de legkésőbb az arra nyitva álló határidőtől számított 15 napon belül fordulhat bírósághoz az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.

Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, vagy a bíróság a tiltakozás jogosságát megállapította.

Amennyiben a tiltakozás indokolt, az adatot kezelő szervezeti egység vezetője megszünteti az adatkezelést, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet az adatvédelmi tisztviselőtől, aki azt három napon belül teljesíti.

A Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső, elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az érintett jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (1125 Budapest, Szilágyi Erzsébet fasor 22/C.) vagy lakóhelye, illetve tartózkodási helye szerint illetékes törvényszéknél élhet.

4. A Társaság honlapjának használata során megvalósuló adatkezelések

4.1.Honlap üzemeltetés
A Társaság saját honlappal rendelkezik, amely a www.marketcentral.hu címen érhető el.

Ezen honlapokhoz bárki kiléte felfedése és személyes adatai megadása nélkül hozzáférhet, a honlapon és az ahhoz kapcsolt oldalakon szabadon, korlátozás nélkül szerezhet információkat. Nem személyhez kötött információkat azonban korlátlanul és automatikusan gyűjt a weblap a látogatókról. Ezekből az adatokból személyes adat azonban nem nyerhető, így a GDPR hatálya alá tartozó adatkezelést nem valósul meg.

Egyéb adatkezelés (Facebook képpont és Google Analytics)
Az Adatkezelő a www.marketcentral.hu weboldalon Facebook képpontot használ, ami lehetővé teszi, hogy az Adatkezelő statisztikai, a személyre nem visszavezethető adatot gyűjtsön a látogatókkal kapcsolatban, így a honlapok látogatói által végrehajtott műveletekből származó statisztikai adatokkal a Facebook hirdetéseit hatékonyabbá teheti.

A Facebook beállításokról (Facebook Inc. Menlo Park, California, USA) a https://www.facebook.com/policies/cookies/ és a https://www.facebook.com/about/privacy/update oldalakon talál bővebb információt.

Az Adatkezelő a honlap látogatottsági adatait a Google Analytics szolgáltatás igénybevételével méri. A szolgáltatás használata során olyan nem személyes adatok kerülnek továbbításra, amelyek az érintett azonosítására nem alkalmasak. A Google (Google Inc., Mountain View, California, USA) adatvédelmi tájékoztatóját itt olvashatja: www.google.hu/policies/privacy

4.2. Hírlevél küldés
A Társaság hírlevelet üzemeltet. A hírlevélküldést megbízási szerződés alapján egy külső vállalkozás látja el. A hírlevél küldő rendszer üzemeltetéséről a https://mailchimp.com/legal/privacy/ oldalon talál bővebb információt. A hírlevélre feliratkozás önkéntesen történik a Bevásárlóközpont honlapján (www.marketcentral.hu), illetve a rejtvény megfejtését beküldő, valamint a Bevásárlóközpont Facebook oldalán szervezett nyereményjátékban részt vevő személyeknek is van lehetőségük feliratkozni a hírlevélre.

A hírlevelet a Társaság azokra az e-mail címekre küldi meg meghatározott időközönként, amely e-mail címek szerepelnek a hírlevélhez kapcsolódó adatbázisban. Mivel az e-mail cím a jelenleg érvényes jogi álláspontok szerint relatív személyes adatnak számít, ezért a Társaság minden email címet a személyes adatokat illető védelemmel kezel.

Az adatbázisba e-mail cím ezért fő szabályként csak az érintett hozzájárulásával és külön kérelmére kerülhet be. Ahhoz, hogy az érintett hozzájárulhasson az e-mail címének a Társaság általi kezeléséhez, a Társaság minden esetben részletesen tájékoztatja az érintettet az adatkezeléssel kapcsolatos, minden releváns tényről, így a tájékoztatónak minden esetben tartalmazza a GDPR-ban foglalt tartalmi elemeket.

A Társaság minden esetben biztosítja az előzetes tájékozódáshoz és az önkéntességhez való jogot. Ezt a tájékoztató elérhetővé tételével és az adatkezeléshez való hozzájárulás kifejezett megadását elősegítő és azt bizonyító ún. check box használatával éri el a Társaság.

Abban az esetben, amennyiben az érintett nem elektronikusan, hanem papíralapon adja meg email címét, úgy a papíron szerepel a tájékoztatás az adatkezelésről, amihez az érintett azzal járul hozzá, hogy kitölti az adatfelvételi lapot.

A Társaság a hírlevélküldést minden esetben önálló adatkezelési célnak minősíti, nem kapcsolja össze más célokkal, például a szolgáltatás igénybevételével. Ezért minden esetben külön nyilatkoztatja az érintettet minden eltérő célról, így például a szolgáltatás igénybevételéről és a hírlevélküldéshez való hozzájárulásról is, amennyiben egy adatfelvételi felületen (papíralapon vagy online) történhet az adatok megadása.

A hírlevélről az érintett e-mail cím használója bármikor, ingyenesen, közvetlenül leiratkozhat.

adatkezelés célja: marketing-kommunikációs csatornán való kommunikálás hírlevél küldéssel az arra feliratkozó e-mail címekre;
kezelt adatok köre: e-mail címe, érintett neve (vezetéknév és keresztnév), irányítószám;
adatkezelés jogalapja: GDPR. 6. cikk (1) a) szerinti érintetti hozzájárulás;
adattárolás határideje: a hírlevélszolgáltatás üzemeltetésének végéig, de amennyiben az érintett kéri adatai törlését (leiratkozik a hírlevélről), úgy a törlési
kérelmét követően azonnal;
adattárolás módja: elektronikus.

A hírlevél üzenetek továbbításához adott hozzájárulás visszavonását és a személyes adatok törlését vagy módosítását az alábbi elérhetőségeken lehet kérni:
– e-mail útján az info@marketcentral.hu címen, továbbá
– postai úton a White Star Real Estate Kft., IP West | H-1117 Budapest, Budafoki út 91-93.

4.3. Lapkiadással kapcsolatos adatkezelés
A Társaság alkalmanként megjelenő „Passzázs” című újságot üzemeltet.

Az újságban szereplő fényképeken a környéken élő emberek szerepelnek modellként. Modellnek lehet közvetlenül az adott személy által küldött e-mailen keresztül is jelentkezni, de lehet ajánlás útján is. Utóbbi esetben a Társaság már közvetlenül az ajánlott személlyel veszi fel a kapcsolatot és nem az ajánlóval, hiszen a jelentkezéskor a leendő modell elérhetőségeit kell megadni.

A modellnek jelentkező személyek fényképes portfólióval jelentkezhetnek. A jelentkezés visszaigazolásáról e-mailben értesítik őket, melyben tájékoztatják a pályázót a beérkezett személyes adatainak kezeléséről.

A beérkezett fényképes jelentkezéseket a Társaság megbízásából a White Star Real Estate Kft. kezeli, aki azonban egy további külsős céget bízott meg.

Amennyiben a modell tevékenységre pályázó személy elutasításra kerül, úgy a beküldött portfólió anyaga azonnal törlésre kerül. Azok a személyek, akik bár az aktuális kampányban nem szerepelnek, de az illetékes személyek érdemesnek találják őket egy esetleges jövőbeni szerepléshez, úgy erről és a személyes adataik kezeléséről egyidejűleg e-mailben értesítik őket. A Társaság minden esetben szerződést köt azokkal a személyekkel, akik szerepelhetnek az aktuális kampányban, – a Passzázs c. magazin aktuális számában.

Amennyiben a pályázó nem saját nevében jelentkezik, akkor az ajánló személy kötelezettsége az általa ajánlott személlyel a Társaság Adatvédelmi és adatbiztonsági szabályzatát megismertetni és a pályázáshoz az ajánlott személy hozzájárulását beszerezni.

adatkezelés célja: a Társaság Passzázs című újságjában való közzététel
kezelt adatok köre: érintett neve, fényképe, e-mail címe, életkora, lakcím és további személyes adata
adatkezelés jogalapja: a GDPR 6. cikk1) a) pontja szerinti érintetti hozzájárulás.
adattárolás határideje: a cél megvalósulásáig, illetve az érintett törlési kérelméig
adattárolás módja: elektronikusan és papíralapon

4.4. Rendezvényszervezésből adódó adatkezelés
A Társaság különböző eseményekhez kapcsolódóan különféle rendezvényeket szervez (pl: Mikulás ünnepség, Bevásárlóközpont jubileumi születésnapa stb.). A rendezvényre látogatókat a Társaság előzetesen tájékoztatja az őket érintő adatkezelési szabályokról.

adatkezelés célja: a Társaság marketing tevékenysége
kezelt adatok köre: a rendezvényen résztvevő érintett neve, fényképe és további személyes adata
adatkezelés jogalapja: a GDPR 6. cikk 1) a) pontja szerinti érintetti hozzájárulás.
adattárolás határideje: a cél megvalósulásáig, illetve az érintett törlési kérelméig
adattárolás módja: elektronikusan és papíralapon

4.5. Nyereményjáték szervezéséhez kapcsolódó adatkezelés
A Társaság a magazinjában szereplő keresztrejtvény mellett, folyamatosan szervez nyereményjátékokat a Bevásárlóközpont Facebook oldalán, a www.facebook.com/MarketCentralFerihegy címen.

Ezt az oldalt a Társaság megbízásából külső megbízott cég munkatársai kezelik.

A Társaság által szervezett nyereményjáték során az érintettek megadhatják a nyereményre pályázva adataikat. Az érintett a nyereményjátékra történő regisztrációval egyúttal hozzájárulását adja a nyereményjáték saját szabályzatában foglaltakhoz, így különösen ahhoz, hogy a nyertes adatait a Társaság nyilvánosságra hozza.

Továbbá ahhoz, hogy a nyertesekről fénykép készülhet, és az elkészült kép a Társaság Facebook oldalára is kikerülhet.

A tizenhatodik életévét be nem töltött személy csak törvényes képviselője hozzájárulásával nevezhet a játékba. Az adatkezelés csak a törvényes képviselője jóváhagyásával kezdhető meg. A nyereményjáték céljából kezelt adatokat a Társaság a nyereményjáték lezárultával törli a nyereményjáték célú adatbázisból, kivétel a nyertes adatait és azokat az adatokat, amiket a számvitelről szóló törvény értelmében köteles legalább a számla kiállításától számított 8 évig megőrizni.

adatkezelés célja: nyereményjáték szervezése és lebonyolítása
kezelt adatok köre: név, e-mail cím, telefonszám, postai elérhetőség, életkora, törvényes képviselő hozzájárulással kapcsolatos adatai a 16. életévét be nem töltött pályázó esetén, valamint a nyertes neve, arcképe, anyja neve, címe, adóazonosító jele, telefonszáma, dátum, az átvevő és az átvevő aláírása, valamint meghatalmazás esetén két tanú neve, lakcíme és aláírása
adatkezelés jogalapja: a GDPR 6. cikk 1) a) szerinti érintetti hozzájárulás, valamint az Sztv. 169.§ (1)-(2) bekezdései
adattárolás határideje: a sorsolásig, de legfeljebb az adott játékkal érintett kommunikációs kampány végéig, valamint a nyertes adatait 8 évig tárolja a Társaság az Sztv. 169. § (1)-(2) bekezdései szerint

5. Jelen tájékoztatóban nem meghatározott kérdések
A jelen tájékoztatóban nem meghatározott kérdésekben a Társaság hatályos Adatvédelmi és adatbiztonsági szabályzata és a hatályos jogszabályok, különösen a GDPR rendelet az irányadóak.