Click here for the English version of Privacy policy

1.    Adatkezelők

Neve: Lélekkel az Egészségért Alapítvány
Cím: 1097 Budapest, Tóth Kálmán u 33. D/6/1 
Adatkezelő képviselője: Dr. Bikfalvi Réka

Neve: Nyugizóna Bt.
Cím: 1095 Budapest Gát u. 27
Adatkezelő képviselője: Dr. Bikfalvi Réka

Az Adatkezelők adatvédelemmel kapcsolatos elérhetősége: adatvedelem@nyugizona.hu 

A jelen tájékoztató az Adatkezelők egyoldalú kötelezettségvállalása az Európai Parlament és Tanács (EU) 2016/679 rendelete (2016. április 27.) és a vonatkozó tagállami jogszabályok mentén. 

Jelen tájékoztató az Adatkezelő által bármikor egyoldalúan módosítható és/vagy visszavonható, az Érintettek egyidejű tájékoztatásával. A tájékoztatás a honlapon történő közzététellel, illetve a változás jellegétől függően az Érintettek közvetlen értesítésével valósul meg.

1.1    Közös adatkezelők szerepek és felelősségek
Adatkezelők tájékoztatják az érintetteket, hogy a GDPR rendelet 26. cikke szerinti közös adatkezelőknek minősülnek. Erre való tekintettel a GDPR rendelet elvárásai mentén felek egymással megállapodásban rögzítették a GDPR rendelet szerinti adatkezelői kötelezettségek teljesítéséért fennálló felelősségüket, valamint az érintettekkel szembeni szerepüket az alábbiak szerint:
•    Lélekkel az Egészségért Alapítvány az alábbi adatkezelési tevékenységeket látja el: Kapcsolattartás saját szerződött partnereivel, ezen felül az GDPR rendelettel kapcsolatos érintetti jogok tekintetében kérések és bejelentések kezelése (GDPR 13. és 14 cikk), valamint az adatkezelési incidenssekkel kapcsolatos feladatok ellátása
•    Nyugizóna Bt. az alábbi adatkezelési tevékenységeket látja el: Kapcsolattartás saját szerződött partnereivel

1.2    Érintetti jogok érvényesítése
Adatkezelők, tájékoztatják az Érintetteket, hogy a GDPR rendelet 26. cikk (3) bekezdése alapján érintetti jogaikat bármelyik adatkezelővel szemben érvényesíthetik.

2.    Adatkezelés célja

2.1    Komplex stresszkezelés szolgáltatás nyújtása partnerek és munkavállalóik részére 
Gazdasági és egyéb szervezetek részére megbízás alaján komplex stresszkezelési szolgáltatás nyújtása, munkavállalók felmérése, konzultációs ügyelet biztosítása, ügyfélkövetés, life coaching, előadások, workshopok, tréningek szervezése és lebonyolítása, egyes esetekben navigátorlista kezelése.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a szolgáltatási tevékenységének működtetése
A kezelt adatok köre: Résztvevő neve, email cím, telefonszám, munkakör, konzultációkon feljegyzett adatok, program részvételi szám, program típusa
Adatkezelés tervezett határideje: A partneri szerződés megszüntetését követő 4. év március utolsó munkanapja vagy az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: Szolgáltatás(ok) hirdetése, információ nyújtása partnerek számára, hírlevél küldés
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig

2.2    Online stresszkezelés szolgáltatás nyújtása partnerek és munkavállalóik részére 
Gazdasági és egyéb szervezetek részére megbízás alapján online stresszkezelési szolgáltatás nyújtása, munkavállalók felmérése,  online programok és tartalmak biztosítása e-learning rendszeren keresztül.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a szolgáltatási tevékenységének működtetése
A kezelt adatok köre: Résztvevő neve, email cím, telefonszám, munkakör, konzultációkon feljegyzett adatok, vizsga eredmény, haladási napló.
Adatkezelés tervezett határideje: A partneri szerződés megszüntetését követő 4. év március utolsó munkanapja vagy az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: Szolgáltatás(ok) hirdetése, információ nyújtása partnerek számára, hírlevél küldés
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig

2.3    Munkahelyi stressz online felmérés  
A munkavállalók törvényben előírt munkahelyi stresszterheléssel kapcsolatos statisztikai rögzítése, kutatási céllal valamint a érdeklődési kör alapján.
Adatkezelés jogalapja: Jogszabályi kötelezettség
A kezelt adatok köre: Demográfiai adatok, iskolázottság, munkaviszony hossza, munkakör, munkahelyi ágazati besorolás, preferenciák
Adatkezelés tervezett határideje: A kitöltést követően csak agregált adatokat kezel az adatkezelő
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.4    Sulinyugi szolgáltatás nyújtása 
Sulinyugi stresszkezelés szolgáltatás nyújtása iskolák részére, iskolák részére előadások, csoportos beszélgetések a diákokkal, workshopok szervezése és lebonyolítása, ingyenes sulinyugi részvételre regisztráló iskolák kapcsolattartóinak várólistán történő nyilvántartása.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a szolgáltatási tevékenységének működtetése
A kezelt adatok köre: Kapcsolattartó neve, telefonszáma, e-mail címe, online program esetén résztvevő email címe
Adatkezelés tervezett határideje: A partneri szerződés megszüntetését követő 4. év március utolsó munkanapja vagy az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.5    Személyes konzultáció szolgáltatás nyújtása 
Magánszemélyek részére egyedi személyes vagy online konzultáció szolgáltatás nyújtása, időpontok kezelése, adatlap, konzultáción keletkező feljegyzések kezelése.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a szolgáltatási tevékenységének működtetése
A kezelt adatok köre: Név, telefonszám, e-mail cím, lakcím, születési hely és idő, konzultációkon feljegyzett adatok, 
Adatkezelés tervezett határideje: A partneri szerződés megszüntetését követő 4. év március utolsó munkanapja vagy az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.6    Adománygyűjtés 
Adománygyűjtés az Alapítvány részére, PR nagykövetek bevonásával, események, kampányok szervezése, eszközadományok átvétele nyilatkozattal.  
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke az Alapítvány részére adományt gyűjteni
A kezelt adatok köre: Név, telefonszám, e-mail cím, adományozói nyilatkozat
Adatkezelés tervezett határideje: A partneri szerződés megszüntetését követő 4. év március utolsó munkanapja vagy az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.7    Kapcsolattartás partnerekkel, ügyfelekkel 
Kapcsolattartás partnerekkel, ügyfelekkel, potenciális ügyfelekkel, beszállítókkal, árajánlat kiadás, szerződéskötés céljából kapcsolattartói adatok kezelése, nyilvántartása, személyes, telefonos és elektronikus kapcsolattartás, konzultációkon, tréningeken és felméréseken való részvétel szervezése és a szolgáltatásokhoz kapcsolódó járulékos szolgáltatások, Kapcsolattartói adategyeztetés és adatfrissítés.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke szerződések teljesítéséhez a kapcsolattartói adatokat nyilvántartani
A kezelt adatok köre: Név, cím, e-mail cím, telefonszám, milyen programon vett részt.
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.8    Számla kiállítása, valamint szolgáltatás teljesítéséhez a kapcsolódó kötelező dokumentáció kiállítása 
Számla kiállítása, valamint szolgáltatás teljesítéséhez a kapcsolódó kötelező dokumentáció kiállítása
Adatkezelés jogalapja: Jogszabályi kötelezettség
A kezelt adatok köre: Számlázási név és cím, e-mail cím, Kapcsolattartó neve, beosztás
Adatkezelés tervezett határideje: Legalább 8 év számlaanalitikai kötelezettség miatt
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.9    Szerződések kezelése, iktatása 
Szerződések kezelése, iktatása, Az adatkezelő tevékenységéhez kapcsolódó szerződések iktatása, a szerződés létrejöttekor a szerződő fél kapcsolattartói adatainak kezelése és ezek napra készen tartása,  a szerződő fél meghatalmazottjainak adatai, és ezek napra készen tartása
Adatkezelés jogalapja: Jogos érdek - Az adatkezelő jogos érdeke a kapcsolattartó személy adatait nyilvántartani.
A kezelt adatok köre: Név, telefon, beosztás, e-mail, aláírás
Adatkezelés tervezett határideje: A  szerződés megszüntetését követő 8. év március utolsó munkanapja vagy az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.10    Szolgáltatás(ok) hirdetése, információ nyújtása partnerek számára, hírlevél küldés 
Új vagy megújított szolgáltatásokról, reklám tartalmú közvetlen üzletszerzési illetve marketing célú megkeresés, ügyfélelégedettségi mérés, felmérések készítése, meghívás marketing rendezvényre, eDM, telefonos megkeresése telemarketing szolgálató bevonásával. 
Adatkezelés jogalapja: Hozzájárulás
A kezelt adatok köre: Név, cégnév, e-mail cím, telefon
Adatkezelés tervezett határideje: Érintett hozzájárulásának visszavonásáig
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.11    Szolgáltatás(ok) hirdetése, információ nyújtása partnerek számára, hírlevél küldés 
Új vagy megújított szolgáltatásokról, reklám tartalmú közvetlen üzletszerzési illetve marketing célú megkeresés, ügyfélelégedettségi mérés, felmérések készítése, meghívás marketing rendezvényre, eDM, telefonos megkeresése telemarketing szolgálató bevonásával. 
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a közvetlen üzletszerzés
A kezelt adatok köre: Név, cégnév, e-mail cím, telefon
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.12    Szakmai tartalmak készítése 
Szakértői tartalmak, interjúk, cikkek készítése és megosztása a weboldalon és a közösségi média felületeken.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a szervezet megszemélyesített kommunikációja saját weboldalán és a közösségi médiában.
A kezelt adatok köre: Név, email cím,  beosztás, test- és arckép, hangfelvétel
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.13    Rendezvényre való regisztráció  
Az adatkezelő által szervezett rendezvényekkel, eseményekkel kapcsolatos regisztrációk kezelése.
Adatkezelés jogalapja: Hozzájárulás
A kezelt adatok köre:  Név, Cégnév, Beosztás, Email cím, Telefonszám
Felnőtt vendégek száma, Gyermekkorú (16 év alatti) vendégek száma
Adatkezelés tervezett határideje: Érintett hozzájárulásának visszavonásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.14    Rendezvény fotó, video felvétel készítés és közösségi média közzététel.  
Az adatkezelő az általa szervezett eseményeiről fotó és videófelvételeket készít, melyeket az Adatkezelő weboldalán és facebook oldalán publikálhat, valamint a saját szervezeti adatbázisaiban tárol. 
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke a cég megszemélyesített kommunikációja saját weboldalán és a közösségi médiában.
A kezelt adatok köre: Arc és testkép, hang felvétel
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.15    Weboldal alapműködéséhez szükséges és statisztikai sütik (Cookie) kezelése 
Az Adatkezelő sütiket és webjelzőket helyez el a honlapon annak érdekében, hogy felismerje azon felhasználót, aki a honlapot korábban már meglátogatta; feltérképezze a látogató érdeklődési körét; javítsa a látogató felhasználói élményét és személyre szabott tartalmat jelentessen meg a látogató részére, továbbá a honlap biztonságának és  javítása érdekében.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke hogy feltérképezze a látogató érdeklődési körét; javítsa a látogató felhasználói élményét és személyre szabott tartalmat jelentessen meg a látogató részére,javítsa a honlap biztonságát.
A kezelt adatok köre: IP cím, Egyedi azonosítószám, dátumok, időpontok
Adatkezelés tervezett határideje: A munkamenet végéig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.16    Google Analytics 
A weboldal látogatottsági adatait méri, melyben a továbbított adatok az érintettek azonosítására nem alkalmasak.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő  jogos érdeke a szolgáltatásainak optimalizálása és monitorozása.
A kezelt adatok köre: A továbbított adatok az érintett azonosítására nem alkalmasak
Adatkezelés tervezett határideje: Az Érintett tiltakozásáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.17    Ügyféladatok kezelése jogi és egyéb igényérvényesítés céljából  
Az adatkezelő a vele kapcsolatban álló ügyfelek, érdeklődök, partnerek személyes adatait igényérvényesítési célból az adatmegadást követően az általános elévülési időtartam alatt megőrzi.
Adatkezelés jogalapja: Jogos érdek - Az adatkezelő jogos érdeke  a vele kapcsolatban álló érintettek személyes adatait az általános elévülési időtartam alatt nyilvántartani. 
A kezelt adatok köre: Név, cím, telefonszám, email cím, IP cím
Adatkezelés tervezett határideje: Az adatkezelés végét követő 4. év január utolsó munkanapja.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.18    Informatikai üzletmenetfolytonosság biztosítása  és adatmentés 
IT rendszerek és infrastruktúra üzemeltetése, beleértve a munkaállomások szerverek és hálózati elemek üzemeltetését, az adatok archiválását és mentését és ezek visszaállítását havária esetén.
Adatkezelés jogalapja: Jogos érdek - Az Adatkezelő jogos érdeke az üzletmenet fenntartása érdekében az informatikai rendszerek felügylete, karbantartása, montírozása, hibaelhárítása, rendszeres mentése és archiválása.
A kezelt adatok köre: A Szervezet által gyűjtött vagy kezelt valamennyi digitális adatkategória
Adatkezelés tervezett határideje: A szervezet az informatika rendszer adatmentését 30 napig, az adatarchiválást a mentést követő 2. év március utolsó munkanapjáig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.19    Webáruház regisztráció 
Regisztráció létrehozása az Adatkezelő által üzemeltetett webáruházban.
Adatkezelés jogalapja: Hozzájárulás
A kezelt adatok köre: email cím, jelszó, felhasználói azonosító, név
Adatkezelés tervezett határideje: A hozzájárulás visszavonásáig vagy az első megrendelésig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.20    Időpont foglalás 
Online időpont foglalás az Adatkezelő szolgáltatásaira.
Adatkezelés jogalapja: Hozzájárulás
A kezelt adatok köre: email cím, jelszó, felhasználói azonosító, név, időpont, cégnév, telephely
Adatkezelés tervezett határideje: A lefoglalt időpontot követő 1 hónap.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.21    Webáruház szolgáltatás teljesítésével kapcsolatos adatkezelés 
Az Adatkezelő egyes szolgáltatásai, több alkalomra szóló bérlet, voucher online vásárlása. 
Adatkezelés jogalapja: Szerződés, jogi szermély esetén jogos érdek - Az Adatkezelő jogos érdeke az üzleti partnerek kapcsolattartóinak kezelése a szerződés teljesítése érdekében
A kezelt adatok köre: email cím, jelszó, felhasználói azonosító, név, megrendelt szolgáltatások, Ip cím
Adatkezelés tervezett határideje: A szerződés teljesítéséig 
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.22    Szülői hozzájárulás nyilatkozat kezelése és tárolása a gyermekkorú páciensek kezeléséhez  
A szülői, gondviselői hozzájáruló nyilatkozat tárolása a kiskorú ügyfelek kezelésének alatti személyes adatainak kezelése céljából.
Adatkezelés jogalapja: Hozzájárulás
A kezelt adatok köre: Gondviselő és a gyermek Név, állandó lakcím, gondviselő aláírás
Adatkezelés tervezett határideje: A kezelt személy kezelési anyagának tárolási idejével megegyező ideig.
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.23    Tanácsadási és terápiás szolgátatás teljestíéséhez kapcsolódó nyilvántartás vezetése  
Az adatkezlő elvégzi a kezelés előtt és után az érintett saját bevallásán alapuló értékelő tesztjét. Rögzíti az érinettre vonatkozó demográfiai adatokat, melyek minimálisan szükségesek a szolgáltatás hatékony elvégzéséhez. Az adatokat tárolja az egyes szolgáltatási szakaszok között, hogy a szolgáltatás során a történeti áttekintés minden Érintett számára elérhető legyen.
Adatkezelés jogalapja: Szerződés
A kezelt adatok köre: Név, email cím, kor, családi állapot, vezető vagy sem a jelentkező, fizikai vagy szellemi dolgozó; a probléma típusa, “előtte-utána” kérdőívre adott válaszok és kiértékelése, hányszor vette igénybe a konzultációt vagy bármilyen egyéb szolgáltatást tőlünk; cégtől érkezik vagy magánember, hol dolgozik, továbbküldtük-e valaki más szakemberhez. Konzultációs jegyzetet nem tartalmaz a kliens kezelő.
Adatkezelés tervezett határideje: A terápiás adatokat az utolsó látogatást követő 10. évig tárolja a szervezet.
Az adatkezelő a határidő lájáratát követeően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

2.24    GDPR rendelettel összefüggő adatkezelés 
GDPR rendelettel összefüggő adatkezelés.
Adatkezelés jogalapja: Jogszabályi kötelezettség
A kezelt adatok köre: Név, Adatvédelmi azonosító, Érintetti kérelem, dátuma, típusa, tartalma, Érintetti kérelem eredménye, Incidens dátuma, dokumentációja, eredménye
Adatkezelés tervezett határideje: Nem selejtezendő
Az adatkezelő a határidő lejáratát követően az alábbi adatkezelési célra minősíti át:
Adatkezelés új célja: N/A 
Adatkezelés tervezett határideje: N/A 

3.    Adatmegadás elmaradásának következménye
Az adatszolgáltatás elmaradásának lehetséges következménye: Az adatkezelés céljának meghiúsulása.

4.    Érintettek köre
Az adatkezelővel szerződésben álló partnerek és az általuk megadott kapcsolattartó személyek, valamint a Szervezet termékeit megvásárló vagy szolgáltatását igénybe vevő természetes személyek vagy jogi személyek képviselői. 

5.    Kötelezően megadandó adatok köre
Az Adatkezelő az egyes adatmegadási felületeken, amelyeken minden adat megadása kötelező külön nem jelöli a kötelezően kitöltendő adatokat. Azokon a felületeken, ahol nem minden adat megadás kötelező az adatkezelő csillag* megjelenítésével jelzi a kötelezően megadandó adatmezőket. 

6.    Gyermekek
Az Adakezelő egyes szolgáltatásait gyermekek számára is nyújtja, így a szolgáltatások igénybevételéhez az Adatkezelő minden 18 évet be nem töltött személy esetében a személyes adatait érintő adatkezelési folyamatban a gyermek gondviselőjétől hozzájárulást kér az adatkezeléshez. 

7.    Adatfeldolgozó igénybevételéről szóló tájékoztatás
Az adatkezelő az adatkezelés során a szerződés teljesítéséhez vele szerződött adatfeldolgozó(k) számára továbbítja az adatokat.
A címzettek kategóriái: Hatóság, Bérszámfejtő szoftver üzemeltető, fejlesztő, Hatóság, Cafeteria szolgáltató, Bank, Külsős könyvelő, Üzemorvos, Képzési szolgáltatók, Közösségi oldalak, Pályázat kiíró
Adatfeldolgozók kategóriái: HR szolgáltató, Toborzó web portálok, Külsős könyvelő, Hatóság, Tűz és munkavédelmi szolgáltató, Üzemorvos, Orvosi intézmény, Képzési szolgáltatók, Weboldal üzemeltető - szolgáltató, IT üzemeltető, Levelező rendszer szolgáltató, Szakértők, Önkéntesek, E-learning szolgáltató, Online meeting platformok, Értékesítési tanácsadó, Számlázó szolgáltató, Ügyviteli rendszer szolgáltató – fejlesztő, Hírlevél szolgáltató, Kommunikációs tanácsadó, Rendezvényszervező, Fotó Videó szolgáltató, Hosztesz szolgáltató, Vagyonvédelmi szolgáltató, Jogi tanácsadó, GDPR tanácsadó
Közös adatkezelő: Pszicho Natur Pharma Bt.

8.    Az adatok megismerésére jogosultak köre
A megismert adatokat az adatkezelő a 7.pontban megjelölt adatfeldolgozó(k) és címzettek kivételével harmadik félnek nem adja át.

8.1    Hozzáférés informatikai mentési adatokhoz 

Az Adatkezelő az informatikai biztonsági mentéseket elkülönítetten, hozzáférés kontroll mellett tárolja. A mentett adatokhoz kizárólag az informatika üzemeltetésben dolgozó kollégák férhetnek hozzá megfelelő dokumentáció eljárásrend mellett. Adatmentésből történő visszaállítás esetén dokumentált eljárásrenddel rendelkezik az adatmentésből visszaállított adatok éles használata előtti felülvizsgálat folyamatára.

9.    Harmadik féltől kapott adatok kezelése
Amennyiben a Felhasználó/Partner nem saját adatait adja meg az Adatkezelő részére, hanem egyéb természetes személyét, ez esetben a Felhasználó/Partner kizárólagos felelőssége, hogy az adatok megadását ezen természetes személy hozzájárulásával, tudtával és megfelelő tájékoztatásával tette meg. Ezek meglétét Adatkezelő vizsgálni nem köteles. Adatkezelő felhívja a Felhasználó/Partner figyelmét arra, hogy ha ezen kötelezettségének nem tesz eleget, és ezért az Érintett az Adatkezelővel szemben igényt érvényesít, az érvényesített igényt, illetve a kapcsolódó kár összegét az Adatkezelő a Felhasználóra/Partnerre tovább háríthatja.

9.1    Kiszállítás vizsgálata 

A rendszer működési logikája: A rendelt áru méretétől és a szállítási címtől függően más futárszolgálattal teljesíti a szállítási igényt az Adatkezelő. Az automata döntéshozatal következménye az Érintettre: Bizonyos szolgáltatások igénybevételénél nem választhat a Futárszolgálatok közül.

9.2    Ingyenes szállítás 

A rendszer működési logikája: A szerződési feltételekben meghatározott összeg fölött ingyenes a szállítás.
Az automata döntéshozatal következménye az Érintettre: A személyes adatok kezelésére nincs hatással az automatizmus.

10.    Adattovábbítás harmadik országba vagy nemzetközi szervezet részére

Az Adatkezelő az Érintett személyes adatait és a felvételeket az Európai Gazdasági Térség államain kívüli harmadik országba vagy nemzetközi szervezethez NEM továbbítja.

11.    Az érintettek jogai
Az Érintett az 1. Pontban megjelölt elérhetőségeken az Adatkezelőnél,
•    kérheti, hogy adjon tájékoztatást a személyes adatai kezeléséről,
•    kérheti adatainak helyesbítését,
•    tájékoztatást kérhet az adatkezelésről
•    kérheti személyes adatainak törlését és az adatkezelés korlátozását,

Érintett fenti jogaival bármikor élhet. 
Az Érintett továbbá az 1. Pontban megjelölt kapcsolattartási címen juttathatja el az Adatkezelő számára. 
•    kérheti adatainak átadását másik adatkezelőnek, amennyiben az adatkezelés szerződésen vagy hozzájáruláson alapul és a Szervezet automatizált eljárás keretében kezeli. 
•    rendelkezhet a korábban az adatkezeléshez adott hozzájárulásának visszavonásáról
Az Adatkezelő a kérelem benyújtását követően legkésőbb 1 hónapon belül – kivételes esetben a jogszabály által megengedett ennél hosszabb határidőben – elintézi vagy elutasítja (indoklással ellátva) a bejelentést.  A vizsgálat eredményéről az Érintettet írásban tájékoztatja. 

11.1    A tájékoztatás költsége

A Szervezet az intézkedéseket, illetve a szükséges tájékoztatásokat első alkalommal díjmentesen biztosítja. 
Amennyiben az Érintett egy hónapon belül 2. alkalommal is kikéri ugyan azon adatokat, melyek ez idő alatt nem változtak az Adatkezelő adminisztratív költséget számít fel.
•    Az adminisztratív költség elszámolás alapja a mindenkori minimálbér órára vetített költsége, mint óradíj. 
•    A tájékoztatáshoz felhasznált munkaórák száma az előbbi óradíjon elszámolva. 
•    Továbbá a papír alapú tájékoztatási igény esetén a válasz nyomtatási költsége önköltségi áron és postázási költsége.

11.2    Tájékoztatás megtagadása
Ha az érintett kérelme egyértelműen megalapozatlan, nem jogosult a tájékoztatásra vagy a Szervezet, mint adatkezelő bizonyítani tudja, hogy az Érintett rendelkezik a kért információkkal, az adatkezelő elutasítja a tájékoztatási kérelmet.

Ha az érintett kérelme - különösen ismétlődő jellege miatt - túlzó, a Szervezet megtagadhatja a kérelem alapján történő intézkedést, ha
•    egy hónapon belül harmadik alkalommal él az Érintett ugyanazon tárgyú a 15-22. cikk szerinti jogai gyakorlására irányuló kérelemmel.

11.3    Tiltakozáshoz való jog
Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak a jogos érdek vagy közhatalmi jogosítvány jogalapon alapuló kezelése ellen.  
Ebben az esetben a Szervezet a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. 
Amennyiben megállapítja a tiltakozás jogalapjának megalapozottságát, a lehető legrövidebb időn belül megszünteti az adatkezelést – beleértve az adattovábbítást és a további adatfelvételt is. Értesíti mindazokat a tiltakozásról, akiknek korábban továbbította az Érintett adatait.
A kérelem elintézése díjmentes, kivéve a megalapozatlan vagy túlzó kérelmeket, melyek elintézéséért az Adatkezelő az adminisztratív költségeinek megfelelő, ésszerű mértékű díjat számíthat fel. Amennyiben az Érintett az Adatkezelő által meghozott döntéssel nem ért egyet bírósághoz fordulhat.

12.    Adatbiztonsági intézkedésekről szóló tájékoztatás
Az adatokat az Adatkezelő az Információ Biztonsági Szabályzata elvárásai alapján zárt rendszerben kezeli.
Adatkezelő gondoskodik az alapértelmezett és beépített adatvédelemről. Ennek érdekében az Adatkezelő megfelelő technikai és szervezési intézkedéseket alkalmaz annak érdekében, hogy:

•    az adatokhoz való hozzáférést pontosan szabályozza;
•    csak olyan személyeknek engedélyezze a hozzáférést, akiknek az adat az azzal való feladat elvégzése érdekében szükséges, és ekkor is csak azon adatokhoz lehessen hozzáférni, mely minimálisan szükséges a feladat ellátásához;
•    az általa megbízott adatfeldolgozókat körültekintően válassza ki, és megfelelő adatfeldolgozói szerződéssel gondoskodjon az adatok biztonságáról; 
•    gondoskodjon a kezelt adatok változatlanságáról (adatintegritás), hitelességéről és védelméről.

Az Adatkezelő ésszerű mértékű fizikai, műszaki és szervezeti biztonsági intézkedéseket alkalmaz az Érintetti adatok védelmére, különösen azoknak a véletlen, illetéktelen, törvénytelen megsemmisítése, elvesztése, megváltoztatása, továbbadása, felhasználása, elérése vagy feldolgozása ellen. Az Adatkezelő a személyes adatokhoz való ismert, és az érintettre nézve magas kockázattal járó illetéktelen hozzáférés vagy azok felhasználása esetén haladéktalanul értesíti az Érintettet.

Adatkezelő, amennyiben Érintetti adat továbbítása szükséges, gondoskodik a továbbított adatok megfelelő védelméről, például az adatállomány titkosításával. Az Adatkezelő a harmadik személyek által megvalósított Érintetti adatkezelésért teljeskörű felelősséggel tartozik.

Adatkezelő megfelelő és rendszeres biztonsági mentésekkel is gondoskodik arról, hogy az Érintett adatai a megsemmisüléssel vagy elvesztéssel szemben védve legyenek.

13.    Jogorvoslat
Bármely érintett, ha megítélése szerint
a)    az Adatkezelő a jogainak érvényesítését korlátozza vagy az erre irányuló kérelmét elutasítja, bejelentéssel a Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálatát kezdeményezheti az Adatkezelő intézkedése jogszerűségének vizsgálata céljából;
b)    személyes adatainak kezelése során az Adatkezelő megsérti a személyes adatok kezelésére vonatkozó jogi előírásokat, 
•    a Nemzeti Adatvédelmi és Információszabadság Hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, illetve
•    az Adatkezelővel szemben bírósághoz fordulhat, s a pert választása szerint a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Elnök: dr. Péterfalvi Attila, 
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Levelezési cím: 1363 Budapest, Pf. 9.
Tel.: +36-1-3911400
E-mail: ugyfelszolgalat@naih.hu 
www.naih.hu 

Budapest, 2022.05.17

 

PRIVACY POLICY

1. Data Controllers
Name: Mental Health for Wellbeing Foundation
Address: 1097 Budapest, Tóth Kálmán u 33. D / 6/1
Representative of the Data Controller: Dr. Réka Bikfalvi

Name: Nyugizóna Bt.
Address: 1095 Budapest Gát u. 27
Representative of the Data Controller: Dr. Réka Bikfalvi

Contact details of the Data Controllers regarding data protection: adatvedelem@nyugizona.hu
This prospectus is a unilateral commitment of Data Controllers in accordance with Regulation (EU) 2016/679 of the European Parliament and Council (27 April 2016) and with the relevant regulations.
This information may be unilaterally amended and / or revoked by the Data Controller at any time, with the simultaneous notification of the Stakeholders. The information is published on the website or, depending on the nature of the change, by direct notification of the Stakeholders.

1.1 Roles and responsibilities of joint controllers
Data Controllers shall inform Data Subjects that they have been classified as joint controllers in accordance with Article 26 of the GDPR Regulation. In view of this, in line with the requirements of the GDPR Regulation, the Parties have established in relation to each other their responsibilities for fulfilling their data management obligations under the GDPR Regulation and their roles vis-à-vis Data Subjects as follows:
• Mental Health for Wellbeing Foundation performs the following data management activities: Liaising with its own contractual partners, handling requests for rights and notifications related to GDPR regulations (Articles 13 and 14 GDPR), and resolving issues related to data management incidents.
• Nyugizóna Bt. performs the following data management activities: Liaising with contractual partners
1.2 Enforcement of the rights of the data subject
Data controllers inform Stakeholders that under Article 26 (3) of the GDPR Regulation, contacts may assert their rights against any data controller.

2. Purpose of data management

2.1 Providing complex stress management services to partners and their employees
Providing complex stress management services to economic and other organizations based on an order, surveying employees, providing consultations, client tracking, life coaching, organizing and conducting lectures, workshops, trainings, in some cases managing a navigator list.
Legal basis of data management: Legitimate interest - The legitimate interest of the Data Controller is to operate the service.
Scope of managed data: Participant’s name, email address, telephone number, job title, data recorded at consultations, program participation number, program type
Planned deadline for data management: 4 years after the termination of the partnership agreement, by the last working day of March or until the protest of the Data Subject.
The Data Controller shall follow the expiry date of the deadline for the following data management purposes:
New purpose of data management: Service (s) advertisements, information service for partners, sending newsletters
Scheduled deadline for data processing: Until the Data Subject protests

2.2 Providing online stress management service for partners and their employees
Providing online stress management services, surveying employees, online programs and content through an e-learning system for economic and other organizations on the basis of an order.
Legal basis of data management: Legitimate interest - The legitimate interest of the Data Controller is to operate the service.
Scope of data managed: Participant’s name, email address, telephone number, job title, data recorded at consultations, exam results, progress log
Planned deadline for data management: 4 years after the termination of the partnership agreement, by the last working day of March or until the protest of the Data Subject.
The Data Controller shall follow the expiry date of the deadline for the following data management purposes:
New purpose of data management: Service (s) advertisements, information service for partners, sending newsletters
Scheduled deadline for data processing: Until the Data Subject protests

2.3 Workplace Stress Online Survey
Statistical recording of employees' statutory stress at work, for research purposes and areas of interest
Legal basis for data management: Legal obligation
Scope of data managed: Demographic data, education, length of employment, job title, job sector classification, preferences
Planned deadline for data management: After completion, only aggregated data will be managed by the Data Controller
Following the expiration of the deadline, the data controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.4 Provision of Calm School service
Providing stress management services for schools, lectures for schools, group discussions with students, organizing and conducting workshops, registering the contact people of schools that are registering for free participation in Calm School project.
Legal basis of data management: Legal interest - The legitimate interest of the Data Controller is to operate its service.
Scope of data managed: Contact’s name, telephone number, e-mail address, in case of an online program, the e-mail address of the participant
Scheduled deadline for data processing: 4 years after the termination of the partnership agreement by the last working day of March or until the protest of the Data Subject.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.5 Providing personal consultation service
Providing personal or online private consultation services for individuals, managing appointments, handling datasheets and consultation records.
Legal basis of data management: Legal interest - The legitimate interest of the Data Controller is to operate its service
Scope of data managed: Name, telephone number, e-mail address, home address, place and time of birth, data recorded during consultations,
Scheduled deadline for data processing: 4 years after the termination of the partnership agreement by the last working day of March or until the protest of the Data Subject.
Following the expiration of the deadline, the data controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.6 Fundraising
Fundraising for the Foundation, with the involvement of PR ambassadors, organization of events, campaigns, receipt of asset donations with a statement.
Legal basis of data management: Legitimate interest - It is the legitimate interest of the Data Controller to collect donations for the Foundation
Scope of data managed: Name, telephone number, e-mail address, donor declaration
Scheduled deadline for data processing: 4 years after the termination of partnership agreement by the last working day of March or until the protest of the Data Subject.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.7 Keeping in touch with partners and customers
Contact with partners, customers, potential customers, suppliers, issue of quotations, management of contact data for registration, registration, personal, telephone and electronic contact, organization of participation in consultations, trainings and surveys and ancillary services related to services, Contact data reconciliation and data updating.
Legal basis of data management: Legal interest - It is the legitimate interest of the Data Controller to record the contact details for the performance of contracts
The scope of the managed data: Name, address, e-mail address, telephone number, name of the program in which Data Subject participated
Scheduled deadline for data processing: Until the Data Subject protests.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.8 Issuance of an invoice and the issuance of the related mandatory documentation for the performance of the service
Issuance of an invoice and the issuance of the related mandatory documentation for the performance of the service
Legal basis for data management: Legal obligation
Scope of managed data: Billing name and address, e-mail address, Contact name, position
Planned deadline for data management: At least 8 years due to account analysis obligation
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.9 Management and registration of contracts
Management and registration of contracts. Registration of contracts related to the activity of the Data Controller, management and keeping up to date of the contact details of the contracting party at the time of concluding the contract, data of the representatives of the contracting party and keeping them up to date
Legal basis for data management: Legitimate interest - The Data controller has a legitimate interest in recording the data of the contact person.
The scope of the managed data: Name, telephone, position, e-mail, signature
Scheduled deadline for data processing: 8 years after the termination of the contract by the last working day of March or until the protest of the Data Subject.
Following the expiration of the deadline, the data controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.10 Advertising of service (s), providing information to partners, sending newsletters
Inquiries about new or renewed services, direct business acquisition and marketing purposes with advertising content, customer satisfaction surveys, surveys, invitations to marketing events, eDM, telephone inquiries with the involvement of a telemarketing service provider.
Legal basis for data management: Consent
The scope of the managed data: Name, company name, e-mail address, telephone
Planned deadline for data processing: Until the consent of the Data Subject is withdrawn
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.11 Advertising of service (s), providing information to partners, sending newsletters
Inquiries about new or renewed services, direct business acquisition and marketing purposes with advertising content, customer satisfaction measurement, preparation of surveys, invitation to a marketing event, eDM, telephone inquiries with the involvement of a telemarketing service provider.
Legal basis of data management: Legitimate interest - The legitimate interest of the Data Controller is to acquire a business directly
The scope of the managed data: Name, company name, e-mail address, telephone
Scheduled deadline for data processing: Until the Data Subject protests.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.12 Creating professional content
Create and share expert content, interviews, articles on the website and social media interfaces.
Legal basis of data management: Legitimate interest - The legitimate interest of the Data Controller is the personalized communication of the organization on its own website and on social media.
The scope of the managed data: Name, email address, position, body and face image, voice recording
Scheduled deadline for data processing: Until the Data Subject protests.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A 

2.13 Registration for an event
Management of registrations related to events organized by the Data Controller.
Legal basis for data management: Consent
The scope of the managed data: Name, Company name, Position, Email address, Telephone number
Number of adults, Number of children (under 16)
Planned deadline for data processing: Until the consent of the Data Subject is withdrawn.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.14 Making event photos and video records and publishing them in social media 
The Data Controller makes photos and videos of its events, which it can publish on the Data Controller's website and Facebook page, as well as in its own organizational databases.
Legal basis of data management: Legitimate interest - The legitimate interest of the Data Controller is the personalized communication of the company on its own website and in social media.
The scope of the processed data: Face and body image, sound record
Scheduled deadline for data processing: Until the Data Subject protests.
Following the expiration of the deadline, the data controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A 

2.15 Management of necessary and statistical cookies for the basic operation of the website
The Data Controller places cookies and web beacons on the website to identify the user who has previously visited the website; map the visitor's area of interest; improve the visitor’s user experience and deliver personalized content to the visitor, as well as to ensure the security and improvement of the website.
Legal basis of data management: Legitimate interest - It is the legitimate interest of the Data Controller to map the visitor's interests; improve the visitor’s user experience and deliver personalized content to the visitor, improve the security of the website.
The scope of the managed data: IP address, Unique identification number, dates, times
Scheduled deadline for data management: By the end of the process.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.16 Google Analytics
It measures the attendance data of the website, in which the transmitted data is not suitable for identifying the Data Subjects.
Legal basis of data management: Legitimate interest - The legitimate interest of the Data Controller is to optimize and monitor its services.
Scope of data processed: The data transmitted are not suitable for the identification of the Data Subject
Scheduled deadline for data processing: Until the Data Subject protests.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.17 Management of Customer Data for Legal and Other Claims Enforcement
The Data Controller retains the personal data of the customers, interested parties and partners related to it for the purpose of claim enforcement during the general limitation period after the data has been provided.
Legal basis for data processing: Legitimate interest - The Data Controller has a legitimate interest in keeping the personal data of Data Subjects related to them during the general limitation period.
The scope of the managed data: Name, address, telephone number, email address, IP address
Scheduled deadline for data processing: 4 years after the end of data processing by the last working day of January
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.18 Ensuring IT business continuity and data backup
Operation of IT systems and infrastructure, including operation of workstation servers and network elements, archiving and saving of data and their recovery in the event of a disaster.
Legal basis of data management: Legitimate interest - The right of the Data Controller to monitor, maintain, assemble, troubleshoot, regularly back up and archive IT systems to maintain business operations.
Scope of data managed: All categories of digital data collected or managed by the Organization.
Planned deadline for data management: The organization will save the data of the IT system for 30 days, the archived data 2 years after the backup by the last working day of March.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A 

2.19 Web shop registration
Registration in the web shop operated by the Data Controller.
Legal basis for data management: Consent
The scope of the managed data: email address, password, user ID, name
Planned deadline for data management: Until the consent is withdrawn or the first order is placed.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.20 Booking an appointment
Booking online appointment for the services of the Data Controller.
Legal basis for data management: Consent
The scope of the managed data: email address, password, user ID, name, date, company name, location
Planned deadline for data processing: 1 month after the booked date.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.21 Data management related to the performance of web store services
Certain services of the Data Controller, online purchase of multi-occasional ticket or voucher
Legal basis of data management: Contract, in case of legal person legitimate interest - The Data Controller has a legitimate interest in managing the contacts of business partners to fulfil the contract
The scope of the managed data: email address, password, user ID, name, ordered services, IP address
Scheduled deadline for data management: Until the contract is completed
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A 

2.22 Management and storage of parental consent statement for the treatment of children
Storage of the parental and guardian consent statement for the purpose of handling the personal data of minors.
Legal basis for data management: Consent
Scope of data processed: Guardian and child’s Name, permanent address, guardian's signature
Planned deadline for data processing: For the same period as the storage time of the treatment material of the treated person.
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A

2.23 Keeping record related to the completion of counselling and therapy services  
The Controller carries out an assessment test before and after the treatment based on the Data subject's self-report. It records the demographic data of the Data subject, which are necessary for the effective completion of the service. Data controller stores the data between each service stage so that a historical overview is available to all parties throughout the service.
Legal basis for data management: contract
Scope of the data processed: name, email address, age, marital status, whether or not the respondent is an executive, manual or intellectual worker; type of problem, before and after responses to the questionnaire and evaluation, how many times he/she has took part in consultations or any other service from us; whether he/she is from a company or a private person, where he/she works, whether he/she has been referred to another professional. Consultation notes are not included in the client handling system.
Planned deadline for data processing: Data gained during consultation is stored for up to 10 years after the last session.
After the expiry of the deadline, the Data controller will reclassify the data for the following processing purposes:
New purpose of processing: N/A 
Intended time limit for processing: N/A 

2.24 Data management related to the GDPR Regulation
Data management related to the GDPR Regulation.
Legal basis of data management: Legal obligation
Scope of data processed: Name, Privacy ID, Data Subject request, date, type, content, Data Subject request result, Incident date, documentation, result
Intended timing of data processing: Not to be discarded
Following the expiration of the deadline, the Data Controller reclassifies them for the following data management purposes:
New purpose of data management: N / A
Scheduled deadline for data management: N / A 

3. Consequence of failure to provide data
Possible consequence of failure to provide data: Failure of the purpose of data management.

4. Stakeholders
Representatives of the partners contracted with the Data Controller and the contact persons specified by them, as well as representatives of natural or legal persons purchasing or using the services of the Organization.

5. Mandatory range of information to be provided
Where the entry of all data is mandatory, the Data Controller does not indicate the data to be filled in separately on each data entry interface. On interfaces where not all data entry is mandatory, the mandatory data fields are indicated by a star *.

6. Children
The Data Controller also provides certain services to children, so to use the services, the Data Controller requests the consent of the child's guardian in the data management process concerning the personal data of every person under the age of 18.

7. Information on the use of Data Processor
During data management, the Data Controller transmits the data to the Data Processor (s) contracted by them for the performance of the contract.
Recipient categories: Authority, Payroll software operator, developer, Authority, Cafeteria service provider, Bank, External accountant, Occupational physician, Training providers, Social networking sites, Tenderer
Categories of Data processors: HR service provider, Recruitment web portals, External accountant, Authority, Fire and safety service provider, Occupational doctor, Medical institution, Training service providers, Website operator - service provider, IT operator, Mailing system service provider, Experts, Volunteers, E-learning service provider, Online meeting platforms, Sales consultant, Billing service provider, Business system service provider - developer, Newsletter service provider, Communication consultant, Event organizer, Photo Video service provider, Hostess service provider, Property protection service provider, Legal consultant, GDPR consultant
Joint Data Controller: Pszicho Natur Pharma Bt.

8. The scope of those entitled to access the data
The Data Controller shall not pass on the data obtained to third parties, apart from the Data Processor (s) and recipients indicated in point 7.

8.1 Access to IT backup data
The Data Controller stores IT backups separately under access control. The saved data can only be accessed by colleagues working in IT operations with appropriate documentation procedures. In the case of data recovery, before the use of the data, the process of reviewing data recovered has a documented procedure.

9. Handling of data received from third parties
If the User / Partner does not provide his / her own data to the Data Controller, but other natural person, then the User / Partner is solely responsible for providing the data with the consent, knowledge and appropriate information of this natural person. The Data Controller is not obliged to investigate their existence. The Data Controller draws the attention of the User / Partner to the fact that if he / she does not fulfill this obligation and therefore the Data Subject asserts a claim against the Data Controller, the Data Controller may pass on the asserted claim or the related damage to the User / Partner.

9.1 Delivery inspection
The operational logic of the system: Depending on the size of the ordered goods and the delivery address, the Data Controller fulfills the delivery request with another courier service.
Consequences of automatic decision-making for the Data Subject:
They may not be able to choose from Courier Services when using certain services.

9.2 Free shipping
Operating logic of the system: Delivery is free of charge above the amount specified in the contract terms.
Consequences of automated decision-making for the Data Subject: The processing of personal data is not affected by automation.

10. Transfer of data to a third country or international organization
The Data Controller will NOT transfer the subject's personal data and recordings to a third country or international organization outside the countries of the European Economic Area.

11. Rights of Data Subjects
The Data Subject may contact the Data Controller at the contact details indicated in point 1,
• request information on the handling of their personal data,
• request the correction of their data,
• request information on data management
• request the deletion of their personal data and restrictions on data processing,
They may exercise their rights above mentioned at any time.
The Data Subject may also send it to the Data Controller at one of the contact addresses indicated in point 1.
• request the transfer of their data to another Data Controller if the data processing is based on a contract or consent and is managed by the Organization in an automated procedure.
• decide about the withdrawal of their previous consent to data processing
The Data Controller shall settle or reject (with reasons) no later than 1 month after the submission of the request, in exceptional cases within a longer period permitted by law.  Data Subject shall be informed in writing about the result of the investigation.

11.1 Cost of information
The Organization shall provide the measures and the necessary information free of charge for the first time.
If the Data Subject requests the same data for the 2nd time within a month, which has not changed during this time, the Data Controller will charge an administrative fee.
• The basis for calculating the administrative cost is the cost per hour of the current minimum wage as an hourly rate.
• The number of working hours used for providing information, is calculated on the basis of the former hourly rate.
• In addition, in the case of a paper-based information request, Data Subject has to pay the cost of printing the response and the cost of postage.

11.2 Refusal to provide information
If the Data Subject's request is clearly unfounded, if they shall not be entitled to be informed or the Organization, as Data Controller, shall be able to prove that the Data Subject has the requested information, the Data Controller shall reject the request for information.
If, due to the particularly repetitive nature of the person's request, it is excessive, the Organization may refuse to act on the request if:
• for the third time within a month the Data Subject lives on the same subject with a request to exercise his rights under Article 15-22.

11.3 Right to protest
The Data Subject has the right to object at any time to the lawful processing of their personal data based on a legitimate interest or public authority.
In such a case, the Organization shall not further process the personal data unless it demonstrates that the processing is justified by compelling legitimate reasons which take precedence over the interests, rights and freedoms of the Data Subject or which relate to the submission, enforcement or defence of legal claims.
If the legal basis for the protest is well-founded, Data Controller shall terminate the processing, including the transfer of data and further data collection, as soon as possible. It shall notify all persons about the protest to whom it has previously transmitted the data of the Data Subject.
The processing of the request is free of charge, except for unfounded or excessive requests. In that case, the Data Controller may charge a reasonable fee corresponding to its administrative costs. If the Data Subject does not agree with the decision made by the Data Controller, they may apply to a court.

12. Information on data security measures
The Data Controller manages the data in a closed system in accordance with the requirements of the Information Security Policy.
Data Manager provides default and built-in privacy. To this end, the Data Controller shall apply appropriate technical and organizational measures in order to:
• precisely regulate access to data;
• grant access only to persons who need the data in order to perform the task with it, and even then, only access the data that is the minimum necessary to perform the task;
• carefully select the data processors they entrust and ensure the security of the data with an appropriate data processing contract;
• ensure the integrity (data integrity), authenticity and protection of the data processed.
The Data Controller shall apply reasonable physical, technical and organizational security measures to protect the Data Subject, in particular against their accidental, unauthorized, unlawful destruction, loss, alteration, transmission, use, access or processing. The Data Controller shall immediately notify the Data Subject in the event of unauthorized access to or use of personal data that is known and involves a high risk to the Data Subject.
If the transfer of Data Subject’s data is required, the Data Controller shall ensure the appropriate protection of the transferred data, for example by encrypting the data file. The Data Controller is fully responsible for the Data Management of the Data Subject performed by third parties.
The Data Controller shall also ensure, through appropriate and regular backups, that the Data Subject's data is protected against destruction or loss.

13. Remedies
Any concerned, if at their discretion
a) the Data Controller restricts the exercise of their rights or rejects their request to that effect, they may, by notification, initiate an investigation by the National Data Protection and Freedom of Information Authority in order to examine the lawfulness of the Data Controller's measure;
b) during the processing of their personal data, the Data Controller violates the legal regulations regarding the processing of personal data,
• request the data protection authority procedure of the National Data Protection and Freedom of Information Authority, or
• they can go to court against the Data Controller, and they can also initiate a lawsuit before the court competent according to their place of residence or stay.
Contact details of the National Data Protection and Freedom of Information Authority:
President: dr. Attila Péterfalvi,
Address: 1055 Budapest, Falk Miksa utca 9-11.
Mailing address: 1363 Budapest, Pf. 9.
Tel .: + 36-1-3911400
E-mail: ugyfelszolgalat@naih.hu
www.naih.hu
Budapest, 17.05.2022