ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT

I. BEVEZETŐ RENDELKEZÉSEK

1. AZ ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT CÉLJA, HATÁLYA

1.1. Az Adatvédelmi és Adatbiztonsági Szabályzat (továbbiakban Szabályzat) célja, hogy meghatározza a 2. pontban megadott Adatkezelőnél, (továbbiakban Adatkezelő) nyilvántartott adatok kezelésének törvényes kereteit, biztosítsa az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegítse az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést. Az Adatvédelmi és Adatbiztonsági Szabályzat meghatározza az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat, különös tekintettel a munkavállalók szerepére az adatok védelmével és biztonságával összefüggésben.

1.2. Jelen Szabályzat általános hatálya kiterjed az Adatkezelő által alkalmazott adatfeldolgozók felé irányuló adatáramlásra, valamint az Adatkezelő és más adatkezelő között folytatott személyes adatokat érintő mindenfajta kommunikációra.

1.3. Jelen Szabályzat általános hatálya továbbá kiterjed az Adatkezelő székhelyén, telephelyén folyó valamennyi adatkezelésre, adattovábbításra, információ átadásra, az ezek miatti adatkezelés, információátadás tárgyát képező adatra, jelen Szabályzatban meghatározottak szerinti üzleti titokként kezelendő és annak védelmével kapcsolatos tevékenységekre.

1.4. A Szabályzat személyi hatálya kiterjed az Adatkezelő minden alkalmazottjára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyre.

1.5. A Szabályzat tárgyi hatálya kiterjed az Adatkezelő által kezelt valamennyi adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

2. AZ ADATKEZELŐ ADATAI

Név: Coral Tours Idegenforgalmi és Szolgáltató Kft.

Székhely: 1063 Budapest, Munkácsy Mihály utca 23.

Cégjegyzékszám: 01-09-869212

Adószám: 13710091-2-42

Engedélyszám: U-000733

Belső adatvédelmi felelős neve: Török Ágnes

Elérhetőségei: (+36) 1 412-1212, coral@coraltours.hu

3. AZ ADATVÉDELEM ÉS ADATBIZTONSÁG IRÁNYÍTÁSI FELÜGYELET 

3.1. A jelen Szabályzatot az Adatkezelő cégvezetője hagyja jóvá és tárolja. A Szabályzat legalább évente egy alkalommal felülvizsgálatra és jóváhagyásra kerül. A Szabályzat valamennyi munkavállaló számára elektronikus és nyomtatott formában is elérhető.

4. AZ ADATVÉDELM ÉS ADATBIZTONSÁGGAL KAPCSOLATOS FELELŐSSÉG ÉS JELENTÉS

4.1. A Szabályzat végrehajtásáért a cégvezető a felelős. Valamennyi munkavállaló kötelezettsége a cégvezető számára történő bejelentése, ha a Szabályzat megkerüléséről vagy megsértéséről szerez tudomást, vagy ennek gyanúja merül fel.

5. JOGSZABÁLYI HIVATKOZÁS, KAPCSOLAT AZ ADATKEZELŐ BELSŐ SZABÁLYZATAIVAL

5.1. Jelen Szabályzat jogszabályi alapját a következő törvények teszik hatályossá:

• Magyarország Alaptörvénye;
• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.);
• 2012. évi I. törvény – a munka törvénykönyvéről (Mt.);
• 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.)
• az Európai Parlament és a Tanács (EU) 2016/679 rendelete „a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet [GDPR])

5.2. Jelen Szabályzat az Adatkezelő alábbi belső szabályzathoz kapcsolódik, azzal együttesen értelmezendő: Az Adatkezelő Információbiztonsági Szabályzata.

6. AZ ADATVÉDELM ÉS ADATBIZTONSÁG ÉRTELMEZŐ RENDELKEZÉSEK

 Az adatvédelemmel és adatbiztonsággal kapcsolatban felmerülő fogalmakat a következők szerint kell értelmezni:

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;

Adatkezelés: személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

Érintett: bármely információ alapján azonosított, vagy azonosítható természetes személy;

EGT: Az Európai Gazdasági Térség az Európai Unió és az Európai Szabadkereskedelmi Társulás tagjai által létrehozott intézmény, az Európai Unió Egységes Piacának kiterjesztése;

Harmadik ország: az EGT tagállamain kívüli ország;

Harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

Különleges adat:  faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, valamint a bűnügyi személyes adat;

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

Nyilvántartási rendszer: a személyes adatok bármely módon tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ;

Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

Üzleti titok: a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli.

II. ADATVÉDELEMI RENDELKEZÉSEK

7. ADATKEZELŐRE ÉS ADATKEZELÉSRE VONATKOZÓ SZABÁLYOK, ALAPELVEK

7.1. Az adatvédelmi szabályok betartásáért az Adatkezelő vezetője a felelős. Az Adatkezelő minden dolgozója az adatvédelmi és adatbiztonsági szabályok betartásáért személyes felelősséggel tartozik.

7.2. Az Adatkezelő személyes adatokat csak az Infotv. 5. és 6. §-okban meghatározott felhatalmazás alapján kezelhet, nevezetesen: 

• az érintett hozzájárulásával, vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben,
• személyes adat akkor is kezelhető, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges,
• az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

7.3. Ha a hozzájáruláson alapuló adatkezelés célja az Adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – az Infotv. törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó partner igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

7.4. Az Érintett kérelmére indult munkafolyamatban, az annak lefolytatásához szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.

7.5. Az Érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről az Adatkezelő feladata gondoskodni.

7.6. Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.

A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Ha az Érintett személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése.

7.7. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelés annak minden szakaszában meg kell felelnie e követelménynek, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

7.8. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig tárolható.

7.9. Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről.

8. SZERVEZETEN BELÜLI ADATKEZELÉSI FELADATOK ÉS FELELŐSSÉGEK

8.1. Az Adatkezelő erre jogosult vezetője felelős a jelen Szabályzat végrehajtásáért vagy kinevezhet adatvédelmi felelőst.

 Az adatvédelmi felelős feladatai: 

• elkészíti az Adatvédelmi és Adatbiztonsági Szabályzatot és összehangolja más szabályozásokkal;
• felelős a személyes adatokkal összefüggő feladatok végrehajtásáért; 
• szakmai segítséget nyújt az adatok biztonságához szükséges szervezési intézkedések meghozatalában, eljárási szabályok kialakításában;
• a szabályozásokat kiadás előtt véleményezi adatvédelmi szempontból;
• az adatvédelmi ellenőrzések során ellenőrzi a Szabályzat betartását;
• fogadja és kivizsgálja a bejelentéseket;
• vezeti az adatnyilvántartást;  
• oktatást tart az adatvédelmi ismeretekről;
• külső és belső ellenőrzések adatvédelmet érintő megállapításait értékeli és szükség esetén intézkedéseket kezdeményez;
• tevékenységét dokumentálja, megőrzi a feljegyzéseket, jelentéseket.

8.2. A cégvezető feladatai:

• felelős az irányítása alatt álló cég adatkezeléseinek, jogszabályoknak és jelen Szabályzatnak, vagy a kapcsolódó szabályzatoknak való megfelelőségéért;
• felelős azért, hogy az általa vezetett szervezett adatkezelései során a jelen Szabályzat III. részében foglalt adatbiztonsági előírások maradéktalanul teljesüljenek;
• ellenőrzi az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseink betartását;
• biztosítja, hogy beosztottak a szervezett adatvédelemmel kapcsolatos képzéseken részt vehessenek.

8.3. Bármely adatkezelést végző személy az Adatkezelő szervezetén belül a tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért. 

Az adatkezelést végző személy tevékenysége során:

• kezeli és megőrzi a feladata ellátása során birtokába került adatokat;
• ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására;
• gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá;
• betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
• haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes vagy a belső adatvédelmi felelős segítségére szorul;
• részt vesz az adatkezeléssel, adatvédelemmel összefüggő oktatásokon.

Aki üzleti titok, illetve személyes adat birtokába jut, köteles a titkot időbeli korlátozás nélkül megtartani. Az üzleti titkot, személyes adatot nem lehet visszaélésszerűen felhasználni, így különösen tilos az Adatkezelő feladatkörén kívül a munkavállaló saját vagy más személyes, illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint az Adatkezelő vagy ügyfeleinek megkárosítására használni.

9. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK TÁROLÁSA

9.1. A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek – ideértve azon munkavállalókat is, akik nem jogosultak ezen adatok megismerésére, kezelésére – ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás illetve elektronikus formában kezelt adatok esetén jogosultságkezelés alkalmazásával kell megvalósítani.

9.2. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges bármikor elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.

9.3. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók (merevlemezek, optikai adathordozók, CD-k, DVD-k, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, Tablet-ek, laptopok, stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.

10. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK FELHASZNÁLÁSA

10.1. Az Adatkezelő által kezelt adatok kizárólag az Info tv., a Hpt. és más jogszabályok rendelkezéseinek megfelelően, illetve az aktuális Szabályzat meghatározott célokra használhatók fel.

10.2. Számítástechnikai, távközlési eszközök és programok megfelelősségének ellenőrzésére, a felhasználók betanítására, illetve oktatási célra szolgáló valós személyi adatokat felhasználni nem lehet. Informatikai (funkcionális, integrációs) tesztkörnyezetekben gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt és anonimizált adatok közötti kapcsolat technikai úton ne legyen visszaállítható.

10.3. Az Adatkezelő által kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha azt törvény rendeli el.

11. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK FELDOLGOZÁSA

11.1. A személyes adatokon technikai műveletet az Adatkezelő alvállalkozója adatfeldolgozóként az érintett hozzájárulása nélkül is végrehajthat, amennyiben tevékenysége során önálló érdemi döntést nem hoz.

11.2. Az Adatkezelő harmadik személy kezelésében lévő személyes adatokon – amennyiben e tevékenysége során érdemi döntési jogkörrel nem rendelkezik – adatfeldolgozóként az érintett hozzájárulása nélkül is végezhet technikai műveleteket.

11.3. Az Adatkezelő köteles az érintetteket tájékoztatni – lehetőleg már az adatfelvételkor – az igénybe vett adatfeldolgozók személyéről.

11.4. Az adatfeldolgozásra vonatkozó megbízást írásba kell foglalni. A szerződésnek a következő elemeket kell tartalmaznia:

• az Adatkezelő és az Adatfeldolgozó megnevezését;
• az adatfeldolgozási tevékenység megnevezését;
• az átadandó személyes adatok körét;
• automatizált adatfeldolgozás esetén az alkalmazott módszert és lényegét;
• az Adatkezelő szavatolását az adatbázis, az átadott személyes adatok jogszerű kezeléséért;
• az Adatfeldolgozó nyilatkozatát, hogy kizárólag az Adatkezelő utasítása alapján végzi az adatok feldolgozását;
• az Adatfeldolgozónak a saját és a szerződésben foglaltaktól eltérő célú adatfelhasználásának tilalmát;
• azt az előírást, hogy az Adatfeldolgozó tevékenysége ellátása során más Adatfeldolgozót az Adatkezelő rendelkezése szerint vehet igénybe;
• az Adatfeldolgozó kötelezettségvállalását az adatbiztonsági szabályok megtartására;
• az adatok sorsára vonatkozó rendelkezést a szerződés megszűnésének eseteire;

11.5. Az Adatfeldolgozó részére csak olyan személyes adatok adhatók át, amelyek szerepelnek

• az adatfeldolgozói szerződésben,
• vagy a konkrét adatkezelésre vonatkozó tájékoztatásban.

11.6. Az Adatfeldolgozói feladat teljesítését követően, illetve a szerződés megszűnésekor az Adatfeldolgozó a birtokában lévő személyes adatokat vissza kell, hogy szolgáltassa az Adatkezelőnek. Az átadott adatok adatfeldolgozó számítástechnikai rendszerében található másolatait pedig visszavonhatatlan módon töröltetni kell, melynek megtörténtéről az Adatfeldolgozónak nyilatkoznia kell.

12. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK TOVÁBBÍTÁSA, HATÓSÁGI ADATSZOLGÁLTATÁS

12.1. Személyes adatot Magyarországon belül, illetve EGT-be továbbítani csak a jelen Szabályzat 7. fejezetében meghatározott valamely jogalap alapján lehet.

12.2. Az EGT-be történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor.

12.3. Harmadik országban lévő Adatkezelő vagy Adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha

• ahhoz az érintett kifejezetten hozzájárult; vagy
• az adatkezelés jogalapja a jelen Szabályzat 7. fejezetében meghatározott módon biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme.

A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha

• az Európai Unió kötelező jogi aktusa azt megállapítja, vagy
• a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban.

12.4. Banktitok harmadik személy részére történő átadására a 2013. évi CCXXXVII. törvény hitelintézetekről és a pénzügyi vállalkozásokról 161-164. §-ában foglaltak lehetőséget adnak.

12.5. Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén.

13. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN ADATTOVÁBBÍTÁSI NYILVÁNTARTÁS VEZETÉSE

13.1. Az Adatkezelő a kezelt személyes adat továbbításáról nyilvántartást vezet, amely tartalmazza:

• az adattovábbítás célját, jogalapját, időpontját;
• az Adatigénylő és az Érintett azonosításához szükséges adatokat;
• a továbbított adatfajták megnevezését.

13.2. Az adattovábbítási nyilvántartásba betekinthet, abból adatot igényelhet:

• az adatvédelmi hatóság, a bíróság, nyomozó hatóság, a nemzetbiztonsági szerv, törvényben meghatározott feladatai ellátásához;
• az Adatkezelő szervezet vezetője, vagy az általa meghatalmazott személy;
• saját adatai tekintetében az érintett, ha a tájékoztatás jogát törvény nem zárja ki.

13.3. Az adattovábbítási nyilvántartásba való betekintést, az abból történő adattovábbítást dokumentálni kell.

13.4. Az adattovábbítási nyilvántartás vezetési kötelezettségének a következő módokon is eleget lehet tenni:

• elektronikus úton történt adattovábbítás naplózásával;
• postai úton történt feladás dokumentálásával.

13.5. Az adattovábbítási nyilvántartást és a betekintési nyilvántartást 5 évig kell visszakereshető módon megőrizni.

14. A SZEMÉLYES ADATOK TÖRLÉSE, HELYESBÍTÉSE, ZÁROLÁSA

14.1. Az adatokat törölni - manuális nyilvántartás esetén megsemmisíteni - kell, ha

• az adatkezelésre a tájékoztatóban, illetve jogszabályban előírt határidő eltelt;
• az adatkezelés jogszerűtlensége megállapítást nyert;
• az érintett hozzájárulását visszavonta, kivéve, ha törvény az adatok további kezelését lehetővé teszi;
• az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható – feltéve hogy törvény a törlést nem zárja ki;
• az adatkezelés célja megszűnt;
• az adatvédelmi hatóság vagy bíróság jogerős határozattal elrendelte.

14.2. Törlés helyett zárolni kell az adatot, ha az Érintett ezt kéri, vagy ha a törlés sértené az Érintett jogos érdekeit. Amennyiben az adatkezelés célja megszűnt, a zároltadat törlendő. A zárolást oly módon kell megvalósítani, hogy az adatkezelést egyébként munkaköri kötelezettségeként végző személy, illetve az ugyanezen célból hozzáféréssel rendelkező személy ne férhessen hozzá a zárolt személyes adatokhoz. A zárolt személyes adatokhoz kizárólag az adatok technikai tárolását végző személy férhessen hozzá, a zárolás feloldása vagy a zároltadat törlése céljából.

14.3. Az érintett bejelentése vagy az Adatkezelő által észlelt hibás adat esetén – a rendelkezésre álló dokumentumok vagy közhiteles nyilvántartás alapján, illetve az érintettel történt egyeztetést követően – az Adatkezelő a hibás adatot helyesbíti.

14.4. Ha a hibás adat nem helyesbíthető, akkor törölni kell. Amennyiben a törlés vagy a helyesbítés az adatok tárolási módja miatt nem lehetséges, akkor az adatot megfelelő helyesbítő vagy figyelemfelhívó feljegyzés hozzáfűzésével véglegesen zárolni kell.

14.5. Ha az adat hibás volta annak továbbítása után derül ki, akkor ennek tényéről, illetve - amennyiben a hibás adatot az Adatkezelő kijavította - a helyes adatról mindazokat tájékoztatni kell, akiknek az adatot továbbították. A tájékoztatási kötelezettség az adatok zárolása és törlése esetén is fennáll.

15. AZ ÉRINTETT SZEMÉLY TÁJÉKOZTATÁSHOZ VALÓ JOGA

15.1. Az Érintett személy (továbbiakban Érintett), az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, valamint azokba betekintést nyerhet. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg.

15.2. Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. Az Érintett rá vonatkozó kivonatot kaphat a jelen Szabályzat 13. fejezetében ismertetett Adattovábbítási nyilvántartásból.

15.3. Amennyiben az Érintett a rá vonatkozó, vele kapcsolatos, az ő személyes adatait tartalmazó bármilyen formátumú adathordozón tárolt adatokról kér másolatot, úgy ezt a tájékoztatáshoz való joga gyakorlásaként kell értékelni, és az adatairól a másolatot számára ki kell adni.

15.4. A tájékoztatást (a másolat kiadását) a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.

15.5. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:

• az Érintett nem a saját adataira vonatkozóan kér tájékoztatást;
• a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel Érintett személy;
• amennyiben törvény a tájékoztatást kizárja;
• ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az Érintett tájékoztatási jogának korlátozását. A felvilágosítás megtagadása esetén tájékoztatni kell az Érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról.

16. TILTAKOZÁS A SZEMÉLYES ADATOK KEZELÉSE ELLEN

16.1. Az Érintett személy tiltakozhat a személyes adatai kezelése ellen, 

• ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
• ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény kutatás vagy tudományos kutatás céljára történik;
• törvényben meghatározott egyéb esetben.

16.2. Tiltakozását szóban, írásban és elektronikus úton is kifejezheti.

16.3. A tiltakozási kérelmet haladéktalanul, de legfeljebb 15 napon belül ki kell vizsgálni. Az Adatkezelő döntéséről a kérelmezőt írásban tájékoztatja.

16.4. Ha az Adatkezelő egyetért a tiltakozási kérelemmel, az adatkezelést megszünteti, az adatokat zárolja, és a tiltakozásról, illetve intézkedéséről értesíti mindazokat, akik részére korábban az adatokat továbbította, és egyben intézkedésre kötelesek a tiltakozási jog érvényesítése érdekében.

17. ADATKEZELÉSI FOLYAMATOK MEGVÁLTOZÁSA, ÚJ ADATKEZELÉS BEVEZETÉSE

17.1. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően szükséges azok jelen Szabályzatnak való megfelelőségét vizsgálni és azok csak abban az esetben vezethetők át a gyakorlatba, ha nem ütköznek jelen Szabályzat előírásaiba.

17.2. Az adatkezelési folyamatok megváltoztatása esetén vizsgálni kell, hogy az eredeti adatkezelés keretein belüli-e a változás, vagy egy más, új adatkezelés jön létre általa.

17.3. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az alábbiakat kell megvizsgálni:

• az adatkezelés célját,
• az adatkezelés jogalapját,
• az Érintettek körét,
• az Érintettekre vonatkozó adatok leírását,
• az adatok forrását,
• az adatok kezelésének időtartamát,
• a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
• az Adatkezelő, valamint az Adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
• az alkalmazott adatfeldolgozási technológia jellegét,

17.4. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően meg kell határozni az azzal érintett munkavállalók körét és el kell végezni a szükséges dokumentummódosításokat.

17.5. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az igénybe venni kívánt adatfeldolgozókkal adatfeldolgozói szerződést vagy szerződés kiegészítést kell kötnie az Adatkezelőnek.

III. AZ ADATKEZELÉS ADATAINAK ADATBIZTONSÁGA

18. AZ ADATKEZELŐ ÁLTAL KEZELT ADATOK BIZTONSÁGA

18.1. A jelen Szabályzatban nem szabályozott adatbiztonsági kérdések tekintetében a jelen Szabályzat 4.2. pontjában található szabályzat az irányadó.

18.2. Az Adatvédelmi és Adatbiztonsági Szabályzat alapvető rendeltetése a személyes adatok és az üzleti titkok megismerhetőségének korlátozására vonatkozó szabályok kialakítása, illetve ezen adatok illetéktelen személyek általi megismerhetőségének megakadályozása.

18.3. A fenti cél elérése érdekében az adatkezelések során - az adatkezelés jellegétől függően - az információ-rendszerek következő védelmi módszereit kell alkalmazni:

• Ügyviteli védelem: az adatkezelő rendszerek felelőseinek és az adatkezeléssel kapcsolatos tevékenységnek szervezési és adminisztratív módon történő nyomon követése, a felelősség körülhatárolása. Kiterjed az informatikai és más adatkezelő rendszerekre és azok szolgáltatásaira, valamint az adathordozók kezelésére, beleértve a hozzáférési jogosultság és a betekintés dokumentálását is.
• Fizikai védelem: olyan eszközök alkalmazása, amelyekkel azok a helyiségek védhetők, ahol számítástechnikai erőforrásokat használnak, vagy az adatmegőrzés szempontjából fontosak. Az információs rendszer minősítésétől függő védelemben kell részesíteni az adathordozókat is.
• Algoritmikus védelem: matematikai algoritmusok alapján működő védelem, amely az egyedi számítógépen és a hálózaton is lehetővé teszi a használó azonosítását, a jogosultság ellenőrzését.

18.4. Az Adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét.

18.5. Mind az Adatkezelő, mind az általa igénybevett Adatfeldolgozó köteles gondoskodni az adatok biztonságáról, és megtenni azokat a technikai és szervezési intézkedéseket, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.  Az Adatkezelőnek és adatfeldolgozójának a fenti szabályok érvényesülését kell szem előtt tartaniuk az eljárási szabályok kialakítása során is.

18.6. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

18.7. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében biztosítani kell, hogy e külön nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

19. AUTOMATIZÁLT ADATFELDOLGOZÁS

19.1. A személyes adatok automatizált feldolgozása során biztosítani kell:

• a jogosulatlan adatbevitel megakadályozását;
• a rendszerek jogosulatlan személyek általi használatának megakadályozását;
• a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát.

19.2. Az Adatkezelőnek és az Adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, amennyiben ez nem jelent aránytalan nehézséget az Adatkezelőnek.

19.3. A fizikai biztonság megteremtéséhez az alábbi intézkedéseket szükséges megtenni:

• Az adathordozó eszközök elhelyezésére szolgáló helyiségeket úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen.
• Azokba a helyiségekbe, ahol adatkezelés folyik, a személyek belépését - a minősítéstől függően - korlátozni és ellenőrizni kell. A belépésre adott felhatalmazásnak összhangban kell lennie az adott személy munkaköri feladataival, illetőleg az ott kezelt adatokhoz történő hozzáférési jogosultságával.
• A számítástechnikai eszközzel olvasható és a manuális adathordozók tárolását, hozzáférését és felhasználását ellenőrizni kell. Különös figyelmet kell fordítani arra, hogy a biztonságos területről kivitt eszközök maradványadatokat ne tartalmazzanak.
• Az adathordozókról és mozgásukról, azok tartalmáról és felhasználásáról nyilvántartást kell vezetni.

Annak érdekében, hogy lecsökkenjen a jogosulatlan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidőben, mind azon kívül, bevezetésre kerül az „üres asztal” szabály a papíralapú anyagokra és a hordozható adattárolókra, valamint a „zárolt képernyő” szabály az információ-feldolgozó eszközökre. E szabályok részletesen: 

• A papíranyagokat és a számítógépek adathordozóit megfelelő, zárható szekrényben vagy más, hasonlóan biztonságos bútorban kell tárolni, amikor éppen nincsenek használatban, különösen a munkaidőn kívüli időszakokban.
• A személyi számítógépeket, munkaállomásokat, nyomtatókat és fénymásolókat nem szabad „bejelentkeztetni”, amikor felügyelet nélkül maradnak, és használaton kívül jelszavakkal vagy más óvintézkedésekkel legyenek védve (munkanap végén kikapcsolás).

19.4. Az üzemeltetési biztonság kialakítására az alábbi intézkedéseket szükséges megtenni:

• Az adatkezelő eszközöket üzemeltető személyek feladatait egyértelműen meg kell határozni. Egyéb, a feladatoktól eltérő tevékenységet csak külön, erre irányuló egyedi vezetői felhatalmazás alapján lehet végezni.
• Az adatkezelő eszközök előre nem látható üzemzavara esetére olyan tervet kell kidolgozni, amellyel annak hatása ellensúlyozható.
• Az adatkezelést végző eszközök felhasználói kötelesek - az aktív keresési folyamatok lezárására, ha a munka befejeződött, hacsak alkalmas reteszelő mechanizmussal nem tehetők biztonságossá, például jelszóval védett képernyővédővel; - az adathordozó eszközöket a jogosulatlan használattal szemben biztonságossá tenni úgy, hogy kulcsra zárják azokat.

19.5. A technikai biztonság érdekében szükséges intézkedések:

• Az adatok és programok véletlen vagy szándékos megrongálását meg kell akadályozni.
• Az adatállományok tartalmát képező adattételek számát folyamatosan ellenőrizni kell.
• Az adatbevitel során a bevitt adatok helyességét ellenőrizni kell.
• Közvetlen adathozzáférés kezdeményezésének jogosultságát ellenőrizni kell.
• Pontosan meg kell határozni (munkakörönként, ill. személyenként) az egyes adatokhoz való hozzáférést.

20. AZ ADATKEZELÉS MANUÁLISAN KEZELT ADATAI

20.1. A manuálisan kezelést személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:

• Az irattári kezelésbe vett iratokat jól zárható, szekrényben kell elhelyezni.
• A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. 
• A manuális kezelésű iratok archiválását rendszeres időközönként el kell végezni, és a meghatározott adatkezelési határidő elteltével haladéktalanul meg kell semmisíteni.

21. MUNKAVÁLLALÓVAL SZEMBENI ADATBIZTONSÁGI KÖTELEZETTSÉGEK

21.1. Aki a személyes adat és az üzleti titkot képező adat megismerésére jogosult: 

• köteles a személyes adatok és üzleti titok védelmére vonatkozó rendelkezéseket, valamint a jelen Szabályzatban meghatározott előírásokat megismerni, valamint ezen előírásokat alkalmazni; 
• a tudomására jutott személyes adatot és üzleti titkot az érvényességi időn belül illetéktelen személynek át nem adhatja, illetve nem hozhatja illetéktelen tudomására vagy nyilvánosságra (titoktartási kötelezettség); 
• köteles a hozzáférési jog megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – az üzleti titokká minősített adatot és személyes adatot tartalmazó minden nála lévő adathordozót az Adatkezelőnél mint az adattal rendelkező jogosultnak, illetve Adatkezelőnek haladéktalanul átadni.

21.2. Személyhez fűződő jogokat sért [Ptk. 2:46. §], aki üzleti titok birtokába jut, és azt jogosulatlanul nyilvánosságra hozza vagy azzal egyéb módon visszaél.

21.3. Üzleti titok tisztességtelen módon való megszerzésének minősül az is, ha az üzleti titkot a jogosult hozzájárulása nélkül, a vele - a titok megszerzése idején vagy azt megelőzően – bizalmi viszonyban (így különösen a munkaviszony és a munkavégzésre irányuló egyéb jogviszony) vagy üzleti kapcsolatban álló személy közreműködésével szerezték meg [1996. évi LVII. tv. A tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról]. 

21.4. Az Adatkezelő valamennyi munkavállalója munkavégzése során köteles saját szakterületén jelen Szabályzat rendelkezéseinek, előírásainak érvényt szerezni. 

22. AZ ADATBIZTONSÁGGAL KAPCSOLATOS TITOKTARTÁSI KÖTELEZETTSÉG

22.1. Az Adatkezelő telephelyén munkavégzésre irányuló jogviszonyban lévő személyek kötelesek jelen Szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni. A munkavállalók kizárólag a munkaköri leírásban meghatározott feladatkörükön belül ismerhetik meg az ilyen adatokat. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.

22.2. Az adatbiztonság személyi feltételeinek kialakítása tekintetében a cég minden tagját, aki feladatai ellátása során személyes adatot vagy üzleti titkot kezel, megfelelő felkészítésben, oktatásban kell részesíteni.

22.3. Minden személyes adatot, üzleti titkot tartalmazó rendszerhez való hozzáférésre feljogosított munkavállaló köteles titoktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkozni kell arról, hogy a munkavállaló jelen Adatvédelmi és Adatbiztonsági Szabályzat rendelkezéseit megismerte, azokat magára nézve kötelezőként elismeri, a szükséges titokvédelmi ismereteket elsajátította, valamint a személyes adatok védelméhez fűződő jog és az üzleti titok megsértésének mind büntetőjogi, mind polgári jogi következményeivel tisztában van. 

 IV. A JOGELLENES ADATKEZELÉS KÖVETKEZMÉNYEI

23.1. A Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok kezelésével kapcsolatos jogsérelem esetén felszólíthatja az adatkezelőt a jogsérelem orvoslására a szükséges intézkedések megjelölésével. Amennyiben a jogsérelem orvoslására a felszólítás alapján nem került sor, a Hatóság jelentést készíthet és adatvédelmi hatósági eljárást indíthat. A Hatóság jelentése bíróság vagy más hatóság előtt nem támadható meg. Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság elrendelheti a személyes adatok helyesbítését, zárolását, törlését, megsemmisítését, megtilthatja az adatok jogellenes kezelését, feldolgozását, külföldre történő továbbítását vagy átadását, elrendelheti az érintett tájékoztatását. A Hatóság a határozatát az Adatkezelő azonosító adataival együtt nyilvánosságra hozhatja. Ha a Hatóság eljárása során fegyelmi vétség, szabálysértés vagy bűncselekmény elkövetésének alapos gyanúját észleli, fegyelmi, szabálysértési vagy büntető eljárást köteles kezdeményezni.

23.2. A bíróság eljárása a Ptk. 2:51. § [A személyiségi jogok megsértésének szankciói] (1) bekezdése alapján az érintett fél a fentieken felül a következő igényeket is támaszthatja:

• a jogsértés megtörténtének bírósági megállapítását;
• a jogsértés abbahagyását és a jogsértő eltiltását a további jogsértéstől;
• azt, hogy a jogsértő adjon megfelelő elégtételt, és ennek biztosítson saját költségén megfelelő nyilvánosságot;
• a sérelmes helyzet megszüntetését, a jogsértést megelőző állapot helyreállítását és a jogsértéssel előállított dolog megsemmisítését vagy jogsértő mivoltától való megfosztását;
• azt, hogy a jogsértő vagy jogutódja a jogsértéssel elért vagyoni előnyt engedje át javára a jogalap nélküli gazdagodás szabályai szerint. A sérelemdíj személyiségi jog megsértésével okozott nem vagyoni sérelem miatt követelhető a kártérítési felelősség szabályai szerint. A sérelemdíj megállapításához csak a jogsértés tényét kell bizonyítani, egyéb hátrányt nem. Ptk. 2:52. § [Sérelemdíj]

(1) Akit személyiségi jogában megsértenek, sérelemdíjat követelhet az őt ért nem vagyoni sérelemért.

(2) A sérelemdíj fizetésére kötelezés feltételeire – különösen a sérelemdíjra köteles személy meghatározására és a kimentés módjára – a kártérítési felelősség szabályait kell alkalmazni, azzal, hogy a sérelemdíjra való jogosultsághoz a jogsértés tényén kívül további hátrány bekövetkeztének bizonyítása nem szükséges.

(3) A sérelemdíj mértékét a bíróság az eset körülményeire – különösen a jogsértés súlyára, ismétlődő jellegére, a felróhatóság mértékére, a jogsértésnek a sértettre és környezetére gyakorolt hatására – tekintettel, egy összegben határozza meg. A személyiségi jogok megsértése esetén a jogsértőtől kártérítés követelhető.

A Ptk. 2:53. § [Kártérítési felelősség] Aki személyiségi jogainak megsértéséből eredően kárt szenved, a jogellenesen okozott károkért való felelősség szabályai szerint követelheti a jogsértőtől kárának megtérítését.

23.3. A büntetőeljárás az egyéni felelősségre vonást célozza, tehát a szabályokat megsértő munkatárs, illetve a vezető kerül közvetlenül felelősségre vonásra.

(1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva

• jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy
• az adatok biztonságát szolgáló intézkedést elmulasztja, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

(2) Az (1) bekezdés szerint büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti.

(3) A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges személyes adatra követik el.

(4) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.

23.4. A Munka Törvénykönyve rendelkezései alapján a munkáltató a Szabályzat és az adatkezelésre vonatkozó jogszabályok be nem tartását akár rendkívüli felmondással is szankcionálhatja, illetve a vétkesség függvényében a bekövetkezett teljes kár megfizetésére is igényt tarthat.

Budapest, 2019. január 2.