Adatkezelési tájékoztató

Letöltés PDF formátumban

Hatályos: 2024. október 21-től

I. Az Adatkezelő (Szolgáltató)

A Szolgáltató neve:	InterTicket Kft.
Székhelye és postai címe:	1139 Budapest, Váci út 99.
Nyilvántartó hatóság:	Fővárosi Bíróság, mint Cégbíróság
Cégjegyzékszáma:	Cg. 01-09-736766
Adószáma:	10384709-2-41
E-mail címe:	interticket@interticket.hu
Honlapjának címe:	www.jegy.hu
Ügyfélszolgálat elérhetősége:	Chat alkalmazáson keresztül a Jegy.hu bármely oldaláról
Ügyfélszolgálat e-mail címe:	interticket@interticket.huonline eseményeknél (élő közvetítés, video): online@interticket.hu
Panaszkezelés helye és elérhetőségei:	1139 Budapest, Váci út 99. Balance BuildingChat alkalmazáson keresztül a Jegy.hu bármely oldaláról interticket@interticket.hu Munkanapokon 10.00 – 16.00 óra között
Tárhely szolgáltató neve:	T-Systems Adatpark
Tárhely szolgáltató címe:	1087 Budapest, Asztalos Sándor u. 13.
Adatvédelmi nyilvántartási azonosító:	NAIH-54216/2012.
Adatvédelmi tisztviselő email:	adatvedelmi.tisztviselo@interticket.hu

II. A Társaság által alkalmazott adatvédelmi irányelvek

1. Az Szolgáltató, mint adatkezelő kötelezettséget vállal arra, hogy a tevékenységével kapcsolatos minden adatkezelés megfelel a jelen szabályzatban és a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.

2. Az Szolgáltató adatkezeléseivel kapcsolatos tájékoztatás folyamatosan elérhető, a Szolgáltató által üzemeltetett Jegy.hu weblap kezdő oldalának láblécében.

3. A Szolgáltató jogosult az Adatkezelés tájékoztatót egyoldalúan módosítani. Az Adatkezelési tájékoztató módosításának esetén a Szolgáltató a felhasználót a változások Jegy.hu oldalon történő közzététele útján értesíti. A felhasználó a szolgáltatásnak a módosítás hatálybalépését követő használatával elfogadja a módosított Adatkezelési tájékoztatót.

4. A Szolgáltató elkötelezett ügyfelei és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását. A Szolgáltató a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja. A Szolgáltató adatkezelési gyakorlatát a jelen adatkezelési tájékoztató tartalmazza. 

5. A Szolgáltató adatkezelési alapelvei összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal:

– 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információ- szabadságról (Infotv.); – Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR); 

– 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.); 

– 2000. évi C. törvény – a számvitelről (Számv. tv.); 

– 2017. évi LIII. törvény – a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról (Pmt.);

– 2001. évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (Eker. tv.);

– 2008. évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (Grt.).

6. A Szolgáltató a személyes adatokat a GDPR-ban szereplő jogalap alapján és kizárólag célhoz kötötten használja fel. 

7. A Szolgáltató kötelezettséget vállal arra, hogy felhasználói bármely Személyes adatának felvétele, rögzítése, kezelése előtt világos, figyelemfelkeltő és egyértelmű közlést tesz közzé, amelyben tájékoztatja őket az adatfelvétel módjáról, céljáról és elveiről. Kötelező adatszolgáltatás esetén meg kell jelölni az Adatkezelést elrendelő jogszabályt is. Az érintettet tájékoztatni kell az Adatkezelés céljáról és arról, hogy a Személyes adatokat kik fogják kezelni, illetve feldolgozni.

8. Minden olyan esetben, ha a szolgáltatott Személyes adatokat a Társaság az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről a felhasználót tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.

III. Az adatkezelés jogalapja, célja és a kezelt adatok köre, az adatkezelés időtartama, a személyes adatok megismerésére jogosultak

1. A Szolgáltató adatkezelései az alábbi jogalapokon alapulnak (GDPR 6. cikk (1)): 

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (önkéntes hozzájárulás); 

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (szerződés teljesítése); 

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (jogi kötelezettség); 

d) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (jogos érdek).

2. Az önkéntes hozzájáruláson alapuló adatkezelések esetében az érintettek e hozzájárulásukat az adatkezelés bármely szakaszában visszavonhatják. 

3. Cselekvőképtelen és korlátozottan cselekvőképes kiskorú személy a Szolgáltató rendszerén keresztül szolgáltatást nem vehet igénybe. 

4. Bizonyos esetekben a megadott adatok egy körének kezelését, tárolását, továbbítását jogszabályok teszik kötelezővé, melyről külön értesítjük a felhasználókat. 

5. Felhívjuk a Szolgáltató részére adatközlők figyelmét, hogy amennyiben nem saját személyes adataikat adják meg, az adatközlő kötelessége az érintett hozzájárulásának beszerzése. 

6. Személyes adat kizárólag meghatározott célból kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A Szolgáltató a megjelölt céloktól eltérő célra a személyes adatokat nem használja.

7.Online webshop szolgáltatás (belépőjegy, utalvány, könyv, hanghordozó, parkolójegy stb. vásárlása) – vásárlási tranzakció, beléptetés, értesítés (egyszeri vásárlás)

Az adatkezelés célja: a weboldalon található webshop szolgáltatás nyújtásának biztosítása, a megrendelés, annak kiszolgálása, a vásárlás és a fizetés dokumentálása, a számviteli kötelezettség teljesítése. Az adatkezelés célja továbbá a felhasználó, mint jegyvásárló beazonosítása, valamint a megrendelt szolgáltatás teljesítése, azzal kapcsolatos értesítések kiküldése (az előadással kapcsolatos technikai értesítések, így pl. előadás változásai, elmaradása, időpontváltozás, parkolási információk stb.), a fizetés lebonyolításának lehetősége a fizetési szolgáltató segítségével, a felhasználók nyilvántartása, egymástól való megkülönböztetése, beléptetési adatok átadása a rendezvény szervezőjének, a szerződés teljesítése.

Az adatkezelés jogalapja: a szerződés teljesítése, GDPR 6. cikk (1) bek. b) pont.

A kezelt adatok köre: vezeték és keresztnév, telefonszám (a fizetési szolgáltató által megkövetelt adat, de esetleges műsor-, helyszín-, időpontváltozás esetén lehetőséget ad arra is, hogy ügyfélszolgálatunk, vagy a rendezvény szervezője azonnal értesíthesse a jegyvásárlót), e-mail cím, az előzetes regisztráció során megadott jelszó, házhozszállítás kérése esetén a megadott szállítási cím, a tranzakció száma, dátuma és időpontja, vevőkód, ajándékutalvány száma, kultúra utalvány száma. 

A kezelt adatok körébe tartozik továbbá – abban az esetben, ha a rendezvény szervezőjének döntése alapján a belépőjegy névre szól – a belépőjegy jogos felhasználójának neve és a rendezvény szervezője által esetlegesen megkívánt egyéb személyes adata. Tekintettel arra, hogy a jegyvásárló személye eltérhet a belépőjegy jogos felhasználójától, így amennyiben a jegyvásárló nem saját személyes adatait adja meg, úgy az adatok megadásával szavatolja azt, hogy rendelkezik az érintettől származó felhatalmazással az adatok megadására és az adatkezelésre vonatkozó nyilatkozatok megtételére, valamint az érintett az adatkezelés szabályait előzetesen megismerte. 

Az adatok törlésének határideje: a tranzakcióban szereplő legutolsó előadást követő 210 nap, abban az esetben, ha az előadás meghatározott időpontban kerül megtartásra. Dátum nélküli rendezvény esetében az adatok törlésére a tranzakció időpontját követő 18 hónappal kerül sor. Ha egy adott tranzakcióban vegyesen kerültek megvásárlásra dátummal rendelkező, illetve dátum nélküli előadások, akkor a fenti számítás szerinti legkésőbbi időpontig tároljuk a tranzakciókhoz kapcsolódó adatokat.  

Az adatszolgáltatás elmaradásának lehetséges következményei: a vásárlási tranzakció meghiúsulása.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

7.A. Amennyiben a vásárlási tranzakcióval kapcsolatosan a 7. pontban jelzett adatmegőrzési idő alatt, a vásárlási tranzakcióval kapcsolatosan jogvita alakul ki, a Szolgáltató az adatokat az elévülési időn belül (5 év) őrzi meg, ennek jogalapja a Szolgáltató jogos érdeke, GDPR 6. cikk (1) bek. f) pont. Egyebekben a 7. pontban írt szabályok vonatkoznak erre az adatkezelésre is. 

Amennyiben a jegyek esetleges visszaváltása miatt, vagy más okból a vásárló számára vissza kell téríteni a jegy vagy más termék árát, és a vásárló a vásárlás során nem adott meg banki adatokat, illetve nem bankkártyával fizetett, a visszatérítéshez szükségessé válhat a vásárló bankszámlaszámának bekérése, illetve más olyan adatoknak a bekérése, amelyet a visszatérítést végző pénzintézet ehhez a művelethez megkövetel. Ebben az esetekben az adatkezelés jogalapja az érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bek. a) pont). Egyebekben a 7. pontban írt szabályok vonatkoznak erre az adatkezelésre is. 

7.B. Bizonyos rendezvények esetén a rendezvény szervezője a fentieken túlmenő adatok megadását kéri a jegy- illetve bérletértékesítés során. Ennek oka lehet például a rendezvény helyszínére vonatkozó speciális biztonsági ellenőrzés szükségessége (pl. zárt katonai objektumok, őrzött állami létesítmények), speciális beléptetési előírás, jogszabályi előírás (pl. szállás foglalásához szükséges adatok), vagy a rendezvény szervezője által megállapított más ok. Ezeknek az adatoknak a kezelője nem az INTERTICKET Kft., hanem a rendezvény szervezője. Ezekben az adatkezelésekben – a rendezvény szervezőjével megkötött adatfeldolgozási szerződés alapján – az INTERTICKET Kft. adatfeldolgozóként jár el. Ezeknek az adatoknak a kezelésére vonatkozó tájékoztatót adatkezelőként a rendezvény szervezője készíti el, amelynek linkjét a vásárláskor használt weblapon közzétesszük. 

8.Online bérlet, ajándékkártya, kedvezménykártya, Kultúra kártya vásárlás/megújítás

Az adatkezelés célja: a weboldalon található webshop szolgáltatásnak a bérletvásárláshoz, ajándékkártya/kedvezménykártya/kultúra kártya vásárláshoz kapcsolódó biztosítása, a megrendelés, annak kiszolgálása, a vásárlás és a fizetés dokumentálása, a számviteli kötelezettség teljesítése. Az adatkezelés célja továbbá a felhasználó beazonosítása, valamint a megrendelt szolgáltatás teljesítése, azzal kapcsolatos értesítések kiküldése, a fizetés lebonyolításának lehetősége a fizetési szolgáltató segítségével, a felhasználók nyilvántartása, egymástól való megkülönböztetése, a kártyán található egyenleg nyilvántartása, a kártyával történt vásárlások nyilvántartása, a kártyához kapcsolódó kedvezmények és előjogok nyilvántartása, a bérlethez kapcsolódó jogok biztosítása (beleértve a megújításra vonatkozó előjogokat, amennyiben a rendezvény szervezője biztosít ilyet), a szerződés teljesítése. Az adatkezelés célja továbbá a bérlet éves megújítási lehetőségéről való tájékoztatás (e-mail, vagy postai küldemény formájában), a következő bérletes előadásról szóló emlékeztető (e-mail, vagy postai küldemény formájában), szabadbérlet esetén havi két alkalommal tájékoztatás az előadóhely műsorairól, rendezvényeiről (e-mail forma), – a Felhasználó választásának elősegítésére.

Az adatkezelés jogalapja: a szerződés teljesítése, GDPR 6. cikk (1) bek. b) pont.

A kezelt adatok köre: vezeték és keresztnév, telefonszám (a fizetési szolgáltató által megkövetelt adat, de esetleges műsor-, helyszín-, időpontváltozás esetén lehetőséget ad arra is, hogy ügyfélszolgálatunk, vagy a rendezvény szervezője azonnal értesíthesse a jegyvásárlót), e-mail cím, az előzetes regisztráció során megadott jelszó, házhozszállítás kérése esetén a megadott szállítási cím, a tranzakció száma, dátuma és időpontja, vevőkód, ajándékutalvány száma, egyenlege, kultúra utalvány száma, egyenlege.  

A kezelt adatok körébe tartozik továbbá – abban az esetben, ha a rendezvény szervezőjének döntése alapján a bérlet (ajándékkártya, kedvezménykártya vagy Kultúra kártya – a továbbiakban együttesen bérlet) névre szól – a bérlet jogos felhasználójának neve és a rendezvény szervezője által esetlegesen megkívánt egyéb személyes adata. Tekintettel arra, hogy a bérlet vásárlójának személye eltérhet a bérlet jogos felhasználójától, így amennyiben a bérlet vásárlója nem saját személyes adatait adja meg, úgy az adatok megadásával szavatolja azt, hogy rendelkezik az érintettől származó felhatalmazással az adatok megadására és az adatkezelésre vonatkozó nyilatkozatok megtételére, valamint az érintett az adatkezelés szabályait előzetesen megismerte. 

Az adatok törlésének határideje: bérlet esetében a tranzakció időpontjától számított 36 hónap leteltével. Ajándékkártya, kedvezménykártya, Kultúra kártya esetében, amennyiben az adott kártyának van lejárati ideje, úgy a lejárati időtől számított 6 hónap, ha pedig az adott kártyának nincs lejárati ideje, úgy a tranzakciót követő 18 hónap elteltével töröljük az adatokat. Amennyiben a megvásárolt kártyához adókedvezmény társul (pl. Kultúra kártya), úgy az adatok megőrzésének idejét a mindenkor hatályos jogszabályok írják elő, a jogalap GDPR 6. cikk (1) bek. c) pont. 

Az adatszolgáltatás elmaradásának lehetséges következményei: a vásárlási tranzakció meghiúsulása.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

8.A. Amennyiben a 8. pontban jelzett adatmegőrzési idő alatt, a vásárlási tranzakcióval kapcsolatosan jogvita alakul ki, a Szolgáltató az adatokat az elévülési időn belül (5 év) őrzi meg az adatokat, ennek jogalapja a Szolgáltató jogos érdeke, GDPR 6. cikk (1) bek. f) pont. Egyebekben a 8. pontban írt szabályok vonatkoznak erre az adatkezelésre is.

Amennyiben a bérletek/jegyek esetleges visszaváltása miatt, vagy más okból a vásárló számára vissza kell téríteni a bérlet vagy más termék árát, és a vásárló a vásárlás során nem adott meg banki adatokat, illetve nem bankkártyával fizetett, a visszatérítéshez szükségessé válhat a vásárló bankszámlaszámának bekérése, illetve más olyan adatoknak a bekérése, amelyet a visszatérítést végző pénzintézet ehhez a művelethez megkövetel. Ebben az esetekben az adatkezelés jogalapja az érintett önkéntes hozzájárulása (GDPR 6. cikk (1) bek. a) pont). Egyebekben a 8. pontban írt szabályok vonatkoznak erre az adatkezelésre is. 

8.B. Bizonyos rendezvények esetén a rendezvény szervezője a fentieken túlmenő adatok megadását kéri a jegy- illetve bérletértékesítés során. Ennek oka lehet például a rendezvény helyszínére vonatkozó speciális biztonsági ellenőrzés szükségessége (pl. zárt katonai objektumok, őrzött állami létesítmények), speciális beléptetési előírás, jogszabályi előírás (pl. szállás foglalásához szükséges adatok), vagy a rendezvény szervezője által megállapított más ok. Ezeknek az adatoknak a kezelője nem az INTERTICKET Kft., hanem a rendezvény szervezője. Ezekben az adatkezelésekben – a rendezvény szervezőjével megkötött adatfeldolgozási szerződés alapján – az INTERTICKET Kft. adatfeldolgozóként jár el. Ezeknek az adatoknak a kezelésére vonatkozó tájékoztatót adatkezelőként a rendezvény szervezője készíti el, amelynek linkjét a vásárláskor használt weblapon közzétesszük.

9.Regisztráció

Az adatkezelés célja: Előzetes regisztráció során jelszó megadásával lehetővé válik, hogy a Felhasználónak csak egyetlen alkalommal kell megadnia az adatait és nem minden egyes vásárlás során. Bizonyos szolgáltatások a weboldalon kizárólag regisztrált Felhasználók számára elérhetők. Ilyen szolgáltatások a blog és komment írás, a kommentek értékelésének lehetősége, és a követő funkció (alkotók, előadóhelyekről, programokról történő értesítések kérése). Kényelmi szolgáltatás keretében a weboldal személyes menüpontjaként megnyíló fiókban a felhasználó szerkesztheti személyes adatait, megtekintheti, és letöltheti jegyeit, számláit, nyomon követheti kommentjeit, az általa korábban megtekintett oldalakat, az általa adott értékeléseket, módosíthatja követő szolgáltatásait és hírlevél feliratkozásait, és amennyiben törzsvásárlói rendszer tagja, megtekintheti pontjai egyenlegét. A fiókban tárolt sokszínű személyes adat kezelése szükségképpen profilalkotást is jelent.

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont. 

A kezelt adatok köre: e-mail cím, jelszó és mindazon személyes adatok, melyet a Felhasználó a vásárlás során vagy a fiókban megadott: címe, számlázási címe, telefon elérhetősége. A kezelt adatok közé tartozhatnak a Felhasználó által a megrendelései során vásárolt termékek, a vásárlások időpontja, számlája, a Felhasználó kommentjei és azok értékelése, a Felhasználó által értékelt kommentek, előadások, alkotók, előadóhelyek értékelései, a Felhasználó által követésre megjelölt alkotók, előadóhelyek, programok, az általa megtekintett oldalak, hírlevél feliratkozásai, és törzsvásárlói pontjai. 

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg az adatok ilyen célú felhasználását a Felhasználó – leiratkozással – meg nem tiltja. Ha a Felhasználó nem végez aktivitást, így a Szolgáltató által nyújtott egyetlen szolgáltatást sem vesz igénybe, a Szolgáltató a regisztrációtól számított 3 év elteltével a regisztrációt törli. 

Az adatszolgáltatás elmaradásának lehetséges következményei: a weboldal kényelmi funkcióit és szolgáltatásait a felhasználó nem tudja igénybe venni. 

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

10.Értesítő szolgáltatás

Az adatkezelés célja: Az értesítő szolgáltatás lehetővé teszi a jegyvásárló számára, hogy az előadással kapcsolatos technikai információkon (az előadással kapcsolatos technikai értesítések, így pl. előadás változásai, elmaradása, időpontváltozás, parkolási információk stb.) túlmenően igénybe vehessen olyan értesítő szolgáltatásokat, mint az előadás előtti emlékeztető, az előadás utólagos véleményezése, valamint az automatikus tájékoztatók (kosárelhagyási emlékeztető, újra megvásárolhatóvá váló jegy stb.).

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont. 

A kezelt adatok köre: e-mail, név, opcionálisan telefonszám, ha a vásárló az értesítéseket SMS-ben szeretné megkapni, Facebook Messenger azonosító, amennyiben az értesítéseket Messenger chatboton keresztül szeretné megkapni.

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg az adatok ilyen célú felhasználását a Felhasználó – leiratkozással – meg nem tiltja. Ha a Felhasználó nem végez aktivitást, így a Szolgáltató által nyújtott egyetlen szolgáltatást sem vesz igénybe, a Szolgáltató az értesítő szolgáltatásra való regisztrációtól számított 3 év elteltével a regisztrációt törli.

Az adatszolgáltatás elmaradásának lehetséges következményei: a weboldal kényelmi funkcióit a felhasználó nem tudja igénybe venni, nem kap értesítéseket a változásokról.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

11.Számlázás

Az adatkezelés célja: a vásárlási tranzakciókhoz tartozó számviteli bizonylat kiállítása és a jogszabályokban foglalt határidőben történő megőrzése.

Az adatkezelés jogalapja: jogi kötelezettség teljesítése, GDPR 6. cikk (1) bek. c) pont. 

A kezelt adatok köre: vezeték és keresztnév, a számla kiállításához megadott számlázási cím, a tranzakció száma, dátuma és időpontja, bizonylat tartalma, áfás számla esetén adószám (amennyiben a vásárló megadta), valamint az e-mail cím a számla kiküldéséhez és esetleges ismételt kiküldéséhez. 

Az adatok törlésének határideje, az adatkezelés időtartama: 8 év, illetve a mindenkor hatályos adójogi- és számviteli jogszabályokban meghatározott időtartam.

Az adatszolgáltatás elmaradásának lehetséges következményei: a vásárlás meghiúsulása.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának, valamint marketing osztályának munkatársai ismerik meg. 

Adatfeldolgozó: A számlázás technikai feltételeit az alábbi társaság biztosítja: Számlázz.hu, KBOSS.hu Kft. (adószám: 13421739-2-13, cégjegyzékszám: 13-09-101824, székhely: 2000 Szentendre, Táltos u. 22/b).

12.Személyre szabott ajánlatok, profilalkotás

Az adatkezelés célja: A profilalkotás segít abban, hogy a weboldal és a hírlevelek ajánlóiban a Felhasználó releváns, személyre szóló ajánlatokkal találkozzon. A profilalkotás segíti az adatfeldolgozót abban, hogy a vásárlói számára a legmegfelelőbb kínálatot állítsa össze.

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont. 

A kezelt adatok köre: e-mail, név, cím, a webhely használatához kapcsolódó információk (látogatás időpontja, időtartama, a megtekintett oldalak, az oldalakon történő átkattintások, a kereső használata), a kosár használata (megrendelési azonosító, termékek, azok termék kategóriái, értékei), vásárlások (tranzakció időpontja, értéke, a termék, annak kategóriája, igénybe vett kedvezmény, fizetési mód), technikai információk (IP cím, cookie azonosító, böngésző típusa, eszköz típusa, Google, Facebook, Hotjar, Findgore, Prefixbox azonosítók, forrásoldal), hírlevél és értesítő üzenet használati adatai (e-mail megnyitás időpontja, eszköze, átkattintott linkek, vásárlási adatok), a blog-rendszer használatához kapcsolódó adatok (kommentek, értékelések, átkattintott linkek).

A profilalkotáshoz kapcsolódóan automatizált döntéshozatal nem történik. 

A profilalkotás logikája: az ajánlórendszer a kezelt adatok alapján a vásárló számára vélelmezetten legmegfelelőbb programok listáját kínálja fel megjelenítésre a weboldalon és a Szolgáltató által küldött üzenetekben.

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg az adatok ilyen célú felhasználását a Felhasználó – leiratkozással – meg nem tiltja. Ha a Felhasználó nem végez aktivitást, így a Szolgáltató által nyújtott egyetlen szolgáltatást sem vesz igénybe, a Szolgáltató a profilalkotásra történt feliratkozástól számított 3 év elteltével a regisztrációt törli.

Az adatszolgáltatás elmaradásának lehetséges következményei: a weboldalon és a hírlevelekben nem a Felhasználó számára releváns ajánlatok jelennek meg, a Felhasználó nem tudja igénybe venni a regisztrációhoz kötött kényelmi szolgáltatásokat.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának, valamint marketing osztályának munkatársai ismerik meg. 

13.Elektronikus hírlevél

Az adatkezelés célja: Reklámot is tartalmazó e-mail hírlevelek küldése az érdeklődők részére. Amennyiben a felhasználó feliratkozik a hírlevélre, a Szolgáltató saját döntése szerinti gyakorisággal hírlevelet küldhet neki. A Szolgáltató lehetőség szerint törekszik arra, hogy a lakóhely, illetve korábbi vásárlások, és más, a profilalkotás körében gyűjtött adatok alapján releváns, a Felhasználó érdeklődésére számot tartó rendezvényt ajánljon fel a hírlevél olvasóinak.

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont. 

A kezelt adatok köre: név, e-mail cím, postai irányítószám, telefonszám, valamint a profilalkotás körében gyűjtött adatok.

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg az adatok ilyen célú felhasználását a Felhasználó – leiratkozással – meg nem tiltja. A hírlevelet lemondani a hírlevél alján található Leiratkozás linkre kattintva lehet. A személyes adatok törlésére, az erre irányuló kérés beérkezésétől számított 10 munkanapon belül kerül sor. Ha a Felhasználó nem végez aktivitást, így a Szolgáltató által nyújtott egyetlen szolgáltatást sem vesz igénybe, a Szolgáltató a hírlevél feliratkozástól számított 3 év elteltével a regisztrációt törli.

Az adatszolgáltatás elmaradásának lehetséges következményei: a Felhasználó nem kap értesítéseket a programokról.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának, valamint marketing osztályának munkatársai ismerik meg. 

14. A Szolgáltató lojalitás programjában való részvétel

Az adatkezelés célja: a Szolgáltató által a Jegy.hu weboldal rendszeres vásárlói számára meghirdetett törzsvásárlói programban történő részvételének biztosítása.  

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont. 

A kezelt adatok köre: név, e-mail cím, postai irányítószám, telefonszám, valamint a profilalkotás körében gyűjtött adatok.

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg az adatok ilyen célú felhasználását a Felhasználó – leiratkozással – meg nem tiltja. Ha a Felhasználó nem végez aktivitást, így a Szolgáltató által nyújtott egyetlen szolgáltatást sem vesz igénybe, a Szolgáltató a lojalitás programba történő regisztrációtól számított 3 év elteltével a regisztrációt törli.

Az adatszolgáltatás elmaradásának lehetséges következményei: a Felhasználó nem tud részt venni a Szolgáltató által meghirdetett törzsvásárlói programban.

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

15.Süti kezelés («Cookie») 

A süti a webszerver által küldött, változó tartalmú, alfanumerikus információ-csomag, mely a Felhasználó számítógépén rögzül és előre meghatározott érvényességi ideig tárolásra kerül. A sütik alkalmazása lehetőséget biztosít a látogató egyes adatainak lekérdezésére, valamint internethasználatának nyomon követésére. A sütik segít az érintett Felhasználó érdeklődési körének, internet használati szokásainak, honlap-látogatási történetének követésében, annak érdekében, hogy a Felhasználó vásárlási élménye optimális legyen. Mivel a sütik egyfajta címkeként működnek, melyekkel a weboldal felismerheti az oldalra visszatérő látogatót, alkalmazásukkal az adott oldalon érvényes felhasználónév, jelszó is tárolható. Ha a böngésző visszaküld egy korábban elmentett sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalma tekintetében.

A sütik által küldött információk segítségével az internetböngészők könnyebben felismerhetők, így a Felhasználók releváns és „személyre szabott” tartalmat kaphatnak. A sütik kényelmesebbé teszik a böngészést, értve ez alatt az online adatbiztonsággal kapcsolatos igényeket és a releváns reklámokat. A sütik segítségével a Szolgáltató névtelen (anonim) statisztikákat is készíthet az oldallátogatók szokásairól, így még jobban személyre tudjuk szabni az oldal kinézetét és tartalmát.

A Szolgáltató weboldala kétféle típusú sütit használ:

– Ideiglenes sütik – az oldal használatához elengedhetetlen munkamenet (session-id) sütik. Ezek használata elengedhetetlen a weboldalon történő navigáláshoz, a weboldal funkcióinak működéséhez. Ezek elfogadása nélkül a honlap, illetve annak egyes részei nem jelennek meg, a böngészés akadályozottá válik, a jegyek kosárba rakása illetve a banki fizetés nem tud megfelelően megvalósulni. 

– Állandó sütik, melyek webes kereső beállításától függően hosszabb ideig, vagy egészen addig az eszközön maradnak, amíg azokat a Felhasználó nem törli. Ezeken belül beszélhetünk belső vagy külső sütiről. Amennyiben a Szolgáltató webszervere telepíti a sütit és a saját adatbázisba kerül továbbítása az adat, akkor belső sütiről beszélünk. Amennyiben a sütit a Szolgáltató webszervere telepíti, de külső szolgáltatóhoz történik az adattovábbítás, akkor külső sütiről beszélünk. Ilyen külső sütik a harmadik féltől származó sütik is, melyeket harmadik fél helyez el a Felhasználó böngészőjében (Google Analitika, Facebook Pixel). Ezek abban az esetben kerülnek a böngészőben elhelyezésre, ha a meglátogatott weboldal használja a harmadik fél által nyújtott szolgáltatásokat.  Az állandó sütik célja az adott oldal minél magasabb színvonalú működésének biztosítása a felhasználói élmény növelése érdekében. 

A weboldal látogatása során a bejelentkező-oldalon található süti figyelmeztetésen található nyomógombbal adhatja meg a Felhasználó a hozzájárulását ahhoz, hogy az állandó sütik a Felhasználó számítógépén tárolódjanak és ahhoz a Szolgáltató hozzáférhessen. 

A Felhasználó a böngészőprogram segítségével beállíthatja és meggátolhatja a sütikkel kapcsolatos tevékenységet. A sütik kezelésére általában a böngészők Eszközök/Beállítások menüjében az Adatvédelem/Előzmények/Egyéni beállítások menü alatt, cookie, süti vagy nyomkövetés megnevezéssel van lehetőség. Ismételten felhívjuk azonban figyelmét arra, hogy ez utóbbi esetben a sütik használata nélkül előfordulhat, hogy a Felhasználó nem lesz képes használni a weboldal minden szolgáltatását, így különösen a fizetési szolgáltatásokat. A sütikre vonatkozóan további információkat olvashat a Jegy.hu oldalon megjelenő süti figyelmeztető sávban található linkre kattintva. 

Az adatkezelés célja: a fizetési tranzakciók lebonyolítása a fizetési szolgáltatóval, a felhasználók azonosítása, egymástól való megkülönböztetése, a felhasználók aktuális munkamenetének azonosítása, az annak során megadott adatok tárolása, az adatvesztés megakadályozása, a felhasználók azonosítása, nyomon követése, webanalitikai mérések. 

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont.

A kezelt adatok köre: azonosítószám, dátum, időpont, valamint az előzőleg meglátogatott oldal. 

Az adatkezelés időtartama: az ideiglenes sütik addig tárolódnak, amíg a felhasználó az adott típusú összes böngészője bezárásra nem kerül. Az állandó sütik 1 évig tárolódnak a felhasználó számítógépén vagy ameddig azok a Felhasználó nem törli azokat.

Az adatszolgáltatás elmaradásának lehetséges következményei: a honlap szolgáltatásainak nem teljes körű igénybevehetősége, a fizetési tranzakciók sikertelensége, analitikai mérések pontatlansága. 

A személyes adatok forrása: az informatikai rendszer által automatizáltan generált adatok.

A személyes adatok címzettjei, a címzettek kategóriái: nincs 

16.Helymeghatározás 

Amennyiben a Felhasználó mobil eszközről (pl. ún. okostelefon) veszi igénybe a szolgáltatást, úgy a helymeghatározást igényló funkciók használatához applikáció letöltésekor a program engedélyt kérhet a tartózkodási hely, mint adat használatára (pl. «közelben» funkció használata esetén). 

Az adatkezelés célja: A felhasználó engedélye esetén az applikáció olyan személyre szabott kereséseket tud felkínálni, amely figyelembe veszi azt, hogy a felhasználó az adott pillanatban hol tartózkodik. A tartózkodási hely, mint adat, az Adatkezelő rendszerében rögzítésre nem kerül, csak az adott tranzakció során elérhető egyes funkciók (pontosabb keresés, „közelben” funkció stb.) igénybevételét teszi lehetővé.

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont.

A kezelt adatok köre: a felhasználó földrajzi helyzete egy adott időpontban, IP cím. 

Az adatkezelés időtartama: 3 nap 

Az adatszolgáltatás elmaradásának lehetséges következményei: a mobil eszköz szolgáltatásainak nem teljes körű igénybevehetősége. 

A személyes adatok forrása: az informatikai rendszer által automatizáltan generált adatok.

A személyes adatok címzettjei, a címzettek kategóriái: nincs

17.Statisztikai adatok

Az adatokat az adatkezelő felhasználhatja statisztikai célokra. Az adatok statisztikailag összesített formában történő felhasználása az érintett felhasználó nevét, illetve beazonosítására alkalmas egyéb adatát semmilyen formában nem tartalmazhatja.

18.A rendszer működtetése során technikailag rögzítésre kerülő adatok

Technikailag rögzítésre kerülő adatok a Felhasználó bejelentkező számítógépének azon adatai, melyek a szolgáltatás igénybevétele során generálódnak, és melyeket az adatkezelő rendszere a technikai folyamatok automatikus eredményeként naplóz (pl. IP cím, session ID). Az internet működéséből adódóan az automatikusan rögzítésre kerülő adatokat a rendszer a Felhasználó külön nyilatkozata vagy cselekménye nélkül – az internet használatával – automatikusan naplózza. Az internet ezen automatikus szerver-kliens kommunikációk nélkül nem működik. Ezen adatok egyéb Felhasználói személyes adatokkal – törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Az adatokhoz kizárólag az Adatkezelő fér hozzá. A rendszer működése során automatikusan, technikailag rögzítésre kerülő napló-fájlok a rendszer működésének biztosítása szempontjából indokolt időtartamig kerülnek tárolásra a rendszerben. 

19.Telefonbeszélgetések rögzítése

A Szolgáltató az ügyfélszolgálatra érkező, bejövő és kimenő telefonbeszélgetéseket rögzíti. 

Az adatkezelés célja: az ügyfelek és az adatkezelő jogainak érvényesítése, az esetleges jogviták eldöntését szolgáló bizonyíték biztosítása, az utólagos bizonyíthatóság és a követelés esetleges behajthatatlanságát alátámasztó bizonyíték szolgáltatása, valamint a megállapodások utólagos bizonyítása, minőségbiztosítás, jogszabályi kötelezettség teljesítése. 

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása.

A kezelt adatok köre: azonosítószám, hívószám, a hívott szám, a hívás dátuma, időpontja, a telefonbeszélgetés hangfelvétele, valamint a beszélgetés során megadott egyéb személyes adatok. 

Az adatok törlésének határideje: öt év. 

Az adatszolgáltatás elmaradásának lehetséges következményei: telefonon keresztüli segítségnyújtás elmaradása. 

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

20. A Szolgáltató ügyféllevelezése (e-mail) és chat kommunikáció

A chat kommunikáció nem minden oldalon elérhető, a vonatkozó adatkezelési szabályok csak abban az esetben kerülnek alkalmazásra, ha az adott oldalon a chat kommunikáció alkalmazásra kerül. 

Az adatkezelés célja: a vásárlók, illetve felhasználók számára elérhető ügyfélszolgálati segítség, illetve panaszkezelés biztosítása.  

Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása, GDPR 6. cikk (1) bek. a) pont. 

A kezelt adatok köre: A Szolgáltató a hozzá beérkezett e-mailt és chat kommunikációt az érintett e-mail címével, illetve az érintett által esetlegesen megadott további személyes adatokkal, valamint a dátum, időpont adatokkal együtt kezeli a jelen tájékoztatóban foglalt szabályok szerint. A chat-kommunikáció során az e-mail cím megadása kötelező, mert ezzel biztosítja a Szolgáltató a párhuzamos panaszkezelések összehangolását. További személyes adatok megadása (név, telefonszám stb.) a panaszkezelés során szükségessé válhat a kérelem érdemi kezeléséhez. 

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg azokat a Felhasználó – a Szolgáltató ügyfélszolgálatához intézett egyedi kéréssel – nem törölteti. Ha az érintett nem nyilatkozik másként, a Szolgáltató a panasz lezárásától számított három év elteltével az adatokat törli. Amennyiben a panaszkezelés során keletkezett dokumentumok megőrzésére jogszabály kötelező megőrzési időt ír elő, a Szolgáltató az érintett dokumentumokat a mindenkori hatályos jogszabályokban előírt dokumentum-megőrzési határidő végéig őrzi. 

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett nem tudja a Szolgáltató ügyfélszolgálati szolgáltatásait igénybe venni. 

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

A személyes adatokat a Szolgáltató nem adja tovább harmadik félnek. 

21.Web-analitikai mérések

A Google Analitika, mint külső szolgáltató segíti a honlap látogatottsági és egyéb web-analitikai adatainak független mérését. A mérési adatok kezeléséről részletes felvilágosítás található az alábbi linken: http://www.google.com/analytics. A Google Analitika adatait a Szolgáltató kizárólag statisztikai célokra használja, az oldal működésének optimalizálására.

A személyes adatok forrása: az informatikai rendszer által automatizáltan generált adatok.

A személyes adatok címzettjei, a címzettek kategóriái: nincs

22.Egyéb adatkezelések

E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást. Tájékoztatjuk ügyfeleinket, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Magyar Nemzeti Bank, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik a Szolgáltatót. A Szolgáltató a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges. 

23. Az Adatkezelő a neki megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelősségéért kizárólag az azt megadó személy felel. Bármely felhasználó e-mail címének megadásakor egyben felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen történt belépésekkel összefüggő mindennemű felelősség kizárólag azt a felhasználót terheli, aki az adott e-mail címet regisztrálta. Amennyiben a felhasználó nem saját személyes adatait adja meg, úgy kötelessége az érintett hozzájárulásának beszerzése.

24. A személyes adatok megismerésére jogosultak a Szolgáltatóval munkaviszonyban vagy megbízási jogviszonyban álló munkatársak, a termékek kiszállításában közreműködő futárszolgálat munkatársai (amennyiben a kiszállítást a vásárló kérte), valamint az Adatfeldolgozók.

III/A. Egyes kiemelt sporteseményekkel kapcsolatos speciális adatkezelések (a kiemelt sporteseményekre vonatkozó speciális információkat, a könnyebb áttekinthetőség kedvéért dőlt betűs szövegezéssel közöljük)

1. Az Interticket Kft. és az MLSZ közötti megállapodás értelmében az Interticket Kft. jogosult a magyar válogatott mérkőzéseire jegyet értékesíteni az MLSZ megbízása alapján. A jegyértékesítés folyamatát és az adatkezelés lényeges elemeit közösen határozta meg az MLSZ és az Interticket, a jegyértékesítési folyamat az MLSZ közreműködésével valósul meg, mivel az MLSZ a mérkőzések szervezője, így az MLSZ és az Interticket Kft. közös adatkezelőként jár el a jegyértékesítés során.

2. Egyes kiemelt sporteseményekkel kapcsolatos speciális adatkezelési esetkör bemutatása és kezelt adatok köre

A jegyértékesítés az alábbi adatkezelési folyamat szerint valósul meg:

a)Jegyvásárlás online vagy pénztárban klubkártyával vagy személyes adatok megadásával

b)Ellenőrzés a Sportrendészeti Nyilvántartásban (a továbbiakban: SRNY) névre szóló jegyértékesítés esetén

c)Szurkolói Klub tagság ellenőrzése, kedvezmények érvényesítése

d)Jegy kiállítása

e)Jegycsere

f)Jegy vonalkódjának továbbítása a Puskás Aréna beléptető rendszere felé

g)MLSZ számára riport adatok átadása

3. Jegyvásárlás [a)-d) pont szerinti adatkezelések]

Adatkezelés folyamata, célja és adatkezelő személye

A vásárló pénztárban és online is tud jegyet vásárolni a magyar válogatott Puskás Arénában tartott mérkőzéseire.

Jegyek személyesen az InterTicket országos jegyirodai hálózatában vásárolhatók. A jegyirodák elérhetősége megtalálható a Jegy.hu weboldalon.

Pénztári jegyvásárlás

Ha a vásárló pénztárban szeretne jegyet venni és az értékesítés névre szólóan történik, akkor három kötelező adatot kell megadnia (név, szül. idő és hely), amit be kell rögzíteni az Interticket Kft. jegyértékesítő rendszerébe és opcionális adatként az anyja neve adat rögzíthető.

A vásárlás megvalósulhat más személy részére is, ilyen esetben az adatkezelés nem különbözik attól, amikor saját névre vásárol valaki jegyet.

A jegyvásárlás főszabály szerint nincs személyazonosság igazoláshoz kötve. Ugyanakkor az MLSZ, mint szervező dönthet úgy, hogy megköveteli, hogy a jegyvásárlás során a vásárló mutassa be Klubkártyáját, Futballkártyáját (a továbbiakban együtt: szurkolói kártya) vagy személyazonosító igazolványát.

Az MLSZ által szervezett mérkőzéseken is használható a klubcsapatok által kiállított Klubkártya jegyvásárlási célból.

A jegyvásárlással kapcsolatban megadott adatokat az Interticket Kft. kezeli, aki az MLSZ megbízásából bizományosi értékesítést végez. Az MLSZ szerepe az adatkezelésben abban merül ki, hogy előírhatja a névre szóló jegyértékesítést, valamint a beléptetés és biztonsági előírások betartása miatt, a lent külön kifejtettek szerint kezeli a megadott adatokat.

A vásárlásról számlát az Interticket Kft. állít ki a vásárló részére, amelyhez a vásárló nevét és lakcímét kezeli.

A névre szóló jegy- és bérletértékesítéshez kapcsolódó adatkezelés célja az Stv. 72/B. § szerint a stadionbiztonsági követelményeknek megfelelő jegyértékesítés megvalósítása. 

A hivatkozott jogszabály alapján az adatok a sportrendezvény helyszínén vagy a sportrendezvény helyszínének megközelítése, illetve az onnan való távozás során elkövetett bűncselekmény vagy szabálysértés miatt indult büntető- vagy szabálysértési eljárás, továbbá a sportrendezvényen történő részvételből való kizárás céljából használhatók fel.

A jegyértékesítéshez kapcsolódó adatkezelés beléptető rendszer alkalmazása esetén az Stv. 72. § (3) és (4) bekezdése alapján kötelező, azonban szurkolói kártya használata csak akkor kötelező, ha az MLSZ az adott mérkőzésre kötelezővé teszi.

A jegyvásárlást megelőzően az Interticket Kft. ellenőrzi a Szurkolói Klub tagság miatti kedvezmények meglétét és kedvezményt érvényesít névre szóló jegyértékesítés esetén.

Személyazonosság kötelező igazolása esetén:

•a vásárláshoz a vásárlónak be kell mutatnia szurkolói kártyáját vagy személyazonosító igazolványát (más személy nevében megvalósuló vásárlás esetén annak a személynek a klubkártyája, vagy személyazonosító igazolványa szükséges, akinek a nevére a jegy szólni fog),

•a szurkolói kártya számával (vonalkódjával) a jegyvásárláshoz szükséges név, születési hely és idő adatok (anyja neve adat is, ha megadta a kártya kiváltásakor) betölthetők a szurkolói kártya regiszter segítségével,

•ennek hiányában a jegyvásárláshoz szükséges adatokat a pénztáros rögzíti a rendszerben a megadott igazolvány vagy szurkolói kártya adatai alapján.

Amennyiben a jegyvásárlásnak nem feltétele a szurkolói kártya megléte és bemutatása, a jegyvásárláshoz szükséges adatokat a pénztáros a vásárló által átadott információk alapján rögzíti és ezek alapján állítja ki a jegyet, de az adatok igazolásához a klubkártyát vagy személyazonosító igazolvány bemutatását kérheti.

A névre szóló jegyértékesítés esetén figyelembe kell venni azonban, hogy ilyen esetben is megvalósul a beléptetés során a személyazonosság ellenőrzés és ha a jegyen szereplő adat és a személyazonosító igazolványon szereplő adat nem egyezik akkor a vásárló a mérkőzésre nem léptethető be. 

A jegyvásárlás mögötti informatikai rendszer a megadott vásárlói adatok alapján megvizsgálja, hogy az adott személy kitiltott, eltiltott vagy kizárt-e (azaz bekérdez a Sportrendészeti Nyilvántartásba – SRNY).

Amennyiben az előzetesen megadott személyes adatok alapján találat van, a vásárló megadhatja anyja nevét abban az esetben is, ha először ezt nem adta meg. Ekkor a rendszer újabb ellenőrzést végez. Ez a lehetőség nem illeti meg a vásárlót abban az esetben, ha Klubkártyával, vagy Futballkártyával vásárol.

Nem vásárolhat olyan személy jegyet a mérkőzésre, illetőleg olyan személy részére jegy nem vásárolható, aki az SRNY-ben szerepel az adott mérkőzésre és/vagy helyszínre vonatkozóan.

Pozitív válasz esetén (kitiltott/eltiltott vagy kizárt státusz esetén) a jegyrendszerben nem tárolódik el a vásárló vagy a jegyvárományos személyes adata, viszont az SRNY naplójában elérhető az érintett adatai, amely arra vezethető vissza, hogy már a vásárlási kísérlet is szabálysértésnek minősül.

Ha nem szerepel az SRNY-ben a vásárló vagy a jegyvárományos, akkor a vásárló jegyvásárláshoz szükséges személyes adatai (név, születési hely és idő, opcionálisan anyja neve) a központi jegyértékesítő informatikai rendszer adatbázisában kerülnek tárolásra.

Névre szóló jegyértékesítés során a név és születési idő adatok a jegyre is felkerülnek.

Online jegyvásárlás

A jegyvásárláshoz szükséges adatok:

•névre szóló jegyértékesítés estében: név, születési hely és idő, egy opcionális adat: vásárló anyja neve, valamint

•szurkolói kártyához kötött jegyértékesítés esetén a kártya száma és PIN kódja.

Online vásárlás során a jegyvásárlás az Interticket Kft. által üzemeltetett webes rendszerben valósul meg. A kezelt személyes adatok köre és a jegyvásárlás folyamata megegyezik a pénztárban megvalósuló folyamattal.

Amennyiben a jegyértékesítés egy adott mérkőzésre nem névre szólóan történik és online vásárlásra kerül sor, csak a jegyvásárló, regisztrációnál megadott adatait kezeli az Interticket Kft.

Amennyiben klubkártyával adja meg az adatokat, akkor a kártyaszámot és a hozzá tartozó titkos PIN kódot kell bevinni a rendszerbe, és az informatikai rendszer a megadott adatok alapján tölti be a vásárlónak a vásárláshoz szükséges személyes adatait.

Amennyiben a fizetés bankkártyával történt, az érintett bank által kért adatokat a vásárló önmaga adja meg a fizetési szolgáltató saját felületén, ezzel kapcsolatban az Interticket Kft. a kártyaadatokhoz nem fér hozzá, adatkezelési műveletet nem végez.

Adatkezelés időtartama

Az online jegyértékesítési rendszerben a regisztráció során megadott adatokat az Interticket Kft. a regisztráció törléséig vagy a hozzájárulás visszavonásáig kezeli.

A jegyértékesítés érdekében kezelt adatokat a jegyértékesítő rendszerből a mérkőzést követő 60 nap után – amennyiben az erre jogosult hatóság nem szólítja fel az MLSZ-t, mint szervezőt az adatok további, maximum 30 napig tartó megőrzésére – a személyes adatok törlődnek a jogszabályi előírásoknak megfelelően.   

A számlákat az Interticket Kft. 8 évig, mint számviteli bizonylat megőrzi.

Adatkezelés jogalapja

Az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség, mivel az Stv. 72. § (1) bekezdése alapján a szervező a résztvevők egyedi azonosítására alkalmas biztonsági beléptetési és ellenőrző rendszert (a továbbiakban: beléptető rendszer) alkalmazhat, a labdarúgás sportág tekintetében a kiemelt biztonsági kockázatú sportrendezvény és a fokozott biztonsági kockázatú sportrendezvény esetében – amennyiben beléptető rendszer alkalmazásának kötelezettségét az Országos Rendőr-főkapitányság elrendelte, vagy a szervező önállóan így dönt – beléptető rendszert alkalmaz.

Ugyanezen szakasz (2) bekezdése alapján beléptető rendszer alkalmazása esetén a szervező, vagy a szervező megbízása alapján eljáró, jegyértékesítést végző személy csak névre szóló belépőjegyet vagy bérletet értékesíthet.

Ugyanezen szakasz (4) bekezdése alapján a szervező vagy a jegyértékesítést a szervező megbízásából végző személy a belépőjegy, bérlet eladásakor, valamint a beléptetés során jogosult a néző személyazonosságát a személyazonosság igazolására alkalmas igazolvány alapján megállapítani.

Ugyanezen szakasz (5) bekezdése alapján a beléptető rendszer alkalmazása esetén a szervező vagy a jegyértékesítést a szervező megbízásából végző személy a belépőjegy vagy a bérlet értékesítésekor a néző személyazonosságát egybevetheti az SRNY adataival.

Az online felületen elvégzett regisztráció esetében az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés a) pontja szerint a vásárló önkéntesen megadott hozzájárulása. 

A számla kiállítása és megőrzése a Rendelet 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség, számla kiállítását az általános forgalmi adóról szóló 2007. évi CXXVI. törvény 159. § (1) bekezdése írja elő, a megőrzést a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése.

A jegyvásárlással kapcsolatos adatkezelés mögött általánosan megjelenik a Rendelet 6. cikk (1) bekezdés b) pontja szerinti szerződés teljesítésével kapcsolatos jogalap is, hiszen a jegyvásárláshoz megadott adatok kezelése nélkül az Interticket Kft. nem tud jegyet eladni a vásárló számára. 

4. Jegycsere

Adatkezelés folyamata, célja és adatkezelő személye

Amennyiben a vásárló névre szóló jegyet vásárolt és azt szeretné átadni más személynek, arra van lehetősége a jegycsere keretében. A jegycserét az Interticket Kft. végzi el a vásárló kérésére. 

A jegycserével kapcsolatban az új jegytulajdonos esetében is el kell végezni a jegyvásárlási folyamatnál írt adatkezeléseket, azzal az eltéréssel, hogy az új jegytulajdonosnak nem ad számlát az Interticket Kft.

Adatkezelés időtartama

Az új jegyvásárló adatainak tárolására a jegyvásárlásnál írtak az irányadók.

Adatkezelés jogalapja

Az adatkezelés jogalapja a jegycserére vonatkozóan a Rendelet 6. cikk (1) bekezdés b) pontja szerint korábbi jegytulajdonos felé a vele kötött szerződés teljesítése, amely magában foglalja a jegycsere lehetőségét is. Az új jegytulajdonos esetében az adatkezelés jogalapja a jegyvásárlásnál írtakkal egyezik meg.

5. Jegy vonalkódjának továbbítása a Puskás Aréna beléptető rendszere felé

Adatkezelés folyamata, célja és adatkezelő személye

Az Interticket Kft. számára kötelezettség a jegyvásárlásnál adott jegy vonalkódjának továbbítása a Puskás Aréna beléptető rendszere számára. Önmagában a vonalkód nem tartalmaz személyes adatot, viszont más adatokkal együtt az Interticket Kft. és az MLSZ be tudja azonosítani, hogy a vonalkódhoz tartozó jegynek ki a vásárlója (névre szóló jegyértékesítés esetén). 

A vonalkód továbbítása elengedhetetlen, mivel ennek hiányában a beléptető rendszer nem ismeri fel az érvényes jegyeket. 

Adatkezelés időtartama

A vonalkód elveszíti személyes adat minőségét, amikor az Interticket Kft. és az MLSZ törli a megismert, hozzá kapcsolódó személyes adatokat. A törlésre a jegyvásárlásnál írt szabályok az irányadóak.  

Adatkezelés jogalapja

Az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés b) pontja szerint az Interticket Kft. és a vásárló között létrejött szerződés teljesítése, mivel az adatátadás nélkül a beléptetés nem biztosítható a mérkőzésre beléptető rendszer alkalmazása esetében.

6. Az MLSZ számára riport adatok átadása

Az Interticket Kft. ennek adatkezelésnek keretében a hatályos jogszabályok szerint személyes adatokat átad az MLSZ-nek, mint a magyar válogatott mérkőzéseinek szervezőjének. Ebben az esetben az MLSZ jár el adatkezelőként. Az adatkezelés keretében az MLSZ megkapja a jegyvásárláshoz megadott adatokat az Interticket Kft. által biztosított jegyértékesítési rendszerben, a pontos ülőhely adatokkal kiegészítve. Az adatkezelés célja, hogy az MLSZ, mint a mérkőzés szervezője el tudja látni a sportól szóló törvény szerint előírt beléptetéssel, biztonságos megrendezéssel kapcsolatos feladatait. Emellett az adatok MLSZ általi kezelését előírja az UEFA Safety and Security Regulations 16.01 és 16.02 és 16.03 pontja is, amely elírja az MLSZ számára, hogy rendelkezzen a jegytulajdonosok személyes adataival. Az MLSZ az ülőhelyhez kapcsolt személyes adatok alapján tudja azonosítani a jegytulajdonost, személyéről tájékoztatást tudjon adni egészségügyi szükséghelyzet esetén a kiérkező egészségügyi ellátó személyzetnek is, valamint szabálysértés és bűncselekmény elkövetése, avagy pályarendszabályok megsértése esetében a feljelentés, vagy intézkedés megtételéhez is szükséges az adatok kezelése.

7. Speciális szabályok a kerekesszékes jegyvásárló és kísérője részére

Adatkezelés folyamata, célja

Egyes stadionokban, bizonyos mérkőzések, illetve rendezvények esetén lehetőség van speciálisan kerekesszékes vagy mozgáskorlátozott látogatónak kialakított helyről nézni a mérkőzéseket, illetve esetenként, korlátozott számban lehetőség van mozgáskorlátozottak számára kialakított parkolóhelyek lefoglalására is. Ezeket a helyeket kizárólag a jogosultság igazolásával lehet igénybe venni, a jogosultság ellenőrzése az online jegyvásárlási folyamat, valamint a beléptetés során történik meg. A jegy-, illetve parkolóhely igényeket erre kialakított online űrlapon kell eljuttatni az Interticket Kft.-hez. Az online űrlap eljuttatásával a mozgáskorlátozott jegyvásárló kifejezetten hozzájárul az alábbiakban részletezett adatai kezeléséhez, beleértve azt is, hogy az adatkezelő – a speciális kerekesszékes helyek és parkolóhelyek biztosítása érdekében – az egészségi állapotára vonatkozó adatot is kezel. Az online űrlapon meg kell adni az alábbi adatokat: e-mail cím, amelyre a jegyek kézbesítését kérik, név, születési hely és idő, anyja neve adatok, mind a kerekesszékes, illetve mozgáskorlátozott vásárló, mind a kísérője esetében (amennyiben a kísérő számára megfelelő hely van kialakítva az adott rendezvényen), valamint ezeken túlmenően a kerekesszékes vásárló mozgáskorlátozotti igazolványának száma.  

Az adatkezelő személye, az adatkezelés időtartama megegyezik az online jegyvásárlás pontnál leírtakkal.

Az adatkezelés jogalapja az érintett kifejezett hozzájárulása, amelyet a fentiek szerint az online űrlap kitöltésével és az adatkezelő számára való eljuttatással ad meg (GDPR 6. cikk (1) bek. a) pont).  

A kiemelt sportesemények esetében, amennyiben a Felhasználó kerekesszékes jegyet, illetve hozzátartozó kisérőjegyet igényel, valamint amennyiben kivizsgálásra szoruló adategyeztetéssel kapcsolatos észrevétele van egy Google Űrlapot szükséges kitöltenie. Az Űrlapon beérkező adatokat a Szolgáltató a Mérkőzést követő hatvanadik napon törli.  A Google Adatvédelmi és Általános Szerződési Feltételeiért kattintson ide. 

III/B. Speciális szabályok online rendezvények esetén

1. Személyes vásárlói fiók

Online rendezvények lehetnek élő, és vagy felvételről sugárzott színházi vagy más előadások, rendezvények, stb., amelyek – a jegyvásárlás során megjelölt időpontban vagy időszakban történő – megtekintésére a Vásárló a jegyvásárlással jogosultságot szerez.

Az adatkezelés célja: Az online rendezvények megtekintéséhez személyes vásárlói fiók létrehozása szükséges. A személyes vásárlói fiók kialakításához elérhető, hatályos e-mail címre, valamint a név és jelszó megadására van szükség. Az adatok megadását követően a Szolgáltató rendszere üzenetet küld a megjelölt e-mail címre, annak megerősítését kérve. Az egyes tartalmak megtekintésére szolgáló jogosultságok a személyes vásárlói fiókhoz kötődnek. A személyes vásárlói fiók kialakítása nem azonos a nem-online rendezvények esetében – opcionálisan felkínált, nem kötelező jelleggel alkalmazott –, a jelen Adatkezelési Tájékoztató III/9. pontjában részletezett regisztrációval. Technikai okokból, ennek megfelelően a III/9. pont szerint regisztrált vásárlóknak is szükséges a személyes vásárlói fiók kialakítása, amennyiben online rendezvényt kívánnak megtekinteni. A regisztráció és a személyes vásárlói fiók tehát nem függ össze, igénybevételük egymástól független. 

Az adatkezelés jogalapja: szerződés teljesítése GDPR 6. cikk (1) b) pont.

A kezelt adatok köre: e-mail cím, név, jelszó.  

Az adatok törlésének határideje: A megadott adatokat a Szolgáltató mindaddig kezeli, amíg a Felhasználó nem kéri a személyes vásárlói fiók törlését. Ha a Felhasználó nem végez aktivitást, így a Szolgáltató által nyújtott szolgáltatást nem veszi igénybe, a Szolgáltató az utolsó felhasználói aktivitástól számított 3 év elteltével a fiókot törli. 

Az adatszolgáltatás elmaradásának lehetséges következményei: az online rendezvényeket a Felhasználó nem tudja megtekinteni.  

A személyes adatok forrása: az érintett.

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg. 

2. IP cím

Az adatkezelés célja: A Szolgáltató az online rendezvényekre vonatkozó szolgáltatását – ha az adott előadás leírásánál ettől eltérő információ nem található – területi korlátozásoktól mentesen nyújtja. Egyes előadások esetén azonban lehetséges a területi korlátozás, a szerzői, előadói jogok korlátai, vagy más okok miatt. Ezekben az esetekben a vásárlást megelőzően e korlátozásokra a Szolgáltató, a rendezvény leírásánál felhívja a Vásárlók figyelmét. Területi korlátozás esetén a Szolgáltató jogosult a Vásárló IP címét ellenőrizni, a területi korlátozás betartásának ellenőrzésére, valamint a hozzáférést megtagadni, amennyiben a megtekintés helyszíne a területi korlátozásba ütközne.

Az adatkezelés jogalapja: szerződés teljesítése GDPR 6. cikk (1) b) pont. 

A kezelt adatok köre: IP cím.  

Az adatok törlésének határideje: Az online rendezvény megtekinthetőségének végéig. 

Az adatszolgáltatás elmaradásának lehetséges következményei: az olyan online rendezvényeket, amelyeknek megtekinthetősége területi alapon korlátozott, a Felhasználó nem tudja megtekinteni.  

A személyes adatok forrása: az érintett (gépi kommunikáció útján).

A személyes adatok címzettjei, a címzettek kategóriái: a személyes adatokat a Szolgáltató ügyfélszolgálatának munkatársai ismerik meg.

IV. Az adatok továbbítása, az Adatfeldolgozók megnevezése

1. A szolgáltatás igénybevételével a Felhasználó hozzájárul ahhoz, hogy a Szolgáltató az adatokat továbbíthassa az alábbi partnereknek. Az adattovábbítás jogalapja: a szerződés teljesítése, GDPR 6. cikk (1) bek. b) pont.

1.1. A III. 7.-8 pontokban jelzett adatkezelések esetén az adott rendezvény szervezőjének abból a célból, hogy a rendezvény szervezője a rendezvény elmaradásáról, időpontjának változásáról vagy a nézőt bármilyen szempontból érintő fontos körülményről közvetlenül és azonnali módon is tájékoztatást adhasson, illetve – az előadás elmaradása esetén – a jegyek visszaváltását vagy becserélését közvetlenül intézhesse, a vásárlót a rendezvényre beléptesse, valamint a szerződést teljesítse (az előadás megfelelő lebonyolítása). Az adatátadással az adott rendezvény szervezője önálló adatkezelővé válik az átadott adatok vonatkozásában. Az adatátadás megvalósulhat oly módon is, hogy a Szolgáltató a jegykezelésre szolgáló informatikai rendszeréhez («Tickets rendszer») megfelelő hozzáférést enged a rendezvény szervezőjének. Kezelt adatok köre: a III. 7-8. pontban megadott adatok. 

1.2. A III. 11. pont esetén a számlázás technikai feltételeit biztosító szolgáltatónak, mint Adatfeldolgozónak, amely az alábbi: Számlázz.hu, KBOSS.hu Kft. (adószám: 13421739-2-13, cégjegyzékszám: 13-09-101824, székhely: 2000 Szentendre, Táltos u. 22/b). Kezelt adatok köre: a III. 11. pontban megadott adatok.

1.3. A Felhasználóknak szóló e-mailek kiküldését, illetve amennyiben az érintett a profilalkotásra engedélyt adott, abban az esetben az ezzel összefüggő feladatokat is, az adatkezelővel kötött szerződés alapján, a Wanadis Kereskedelmi és Szolgáltató Kft. (1118 Budapest, Rétköz u. 7.), vagy az Emarsys eMarketing Systems AG (Marzstrasse 1, 1150 Bécs, Ausztria) mint adatfeldolgozó végzi. 

1.4. Minden olyan tranzakció esetén, ahol a termék/szolgáltatás ellenértékét online banki szolgáltatás útján lehet megfizetni, a Szolgáltató az adatokat átadja a vásárlás folyamatában részt vevő, a fizetést bonyolító pénzintézetek számára. A feltüntetett adatok átadását a pénzintézet követeli meg a fizetés lebonyolításához, a kért adatok köre pénzintézetenként eltérő. A pénzintézet saját adatbekérő oldalain megadott személyes adatokat a Szolgáltató nem ismeri meg. Az alábbiakban felsorolt pénzintézetek jelenhetnek meg fizetési szolgáltatóként a weboldalon, a táblázat tartalmazza továbbá azokat az adatokat, amelyek átadását az adott pénzintézet megkívánja. (Nem minden fizetési pénzintézet jelenik meg egy adott időpontban a weblapon.) A pénzintézetek által megkívánt adatok változhatnak, különös tekintettel az ún. erős ügyfélhitelesítés – bankonként eltérő határidőben történő – bevezetésére.

Fizetési szolgáltató megnevezése	Átadott adatok (kezelt adatok köre)
OTP	tranzakció összege, név, cím, IP  szám
OTP Mobil Kft. / SIMPLE	e-mail cím, telefonszám
CIB	tranzakció összege
K&H	tranzakció összege, pénznem
Barion	név, e-mail cím

– Az OTP Mobil Kft. / SIMPLE / SimplePay Adatkezelési tájékoztatója az alábbi linken tekinthető meg: https://simplepay.hu/adatkezelesi-tajekoztatok/

– A Barion Payment Zrt. a Magyar Nemzeti Bank felügyelete alatt álló intézmény, engedélyének száma: H-EN-I-1064/2013.

1.5. Amennyiben a Felhasználó valamely speciális kedvezményt biztosító eszközzel vásárol úgy az Adatkezelő a kedvezményt biztosító társaságnak vagy pénzintézetnek továbbítja a társaság által megkívánt vásárlói adatokat. Az erre vonatkozó adatkezelési szabályokról a Felhasználó közvetlenül az azt szolgáltató társaságnál kérhet tájékoztatást. Az Adatkezelő az ilyen eszközök azonosítóit, illetve egyéb adatait automatizáltan csak annyiban kezeli, amennyiben a szolgáltató társaság ezt – a vásárlás lebonyolításához, illetve a kedvezmények biztosításához – megköveteli. Az alábbiakban felsorolt társaságok és pénzintézetek jelenhetnek meg a weboldalon, a táblázat tartalmazza továbbá azokat az adatokat, amelyek átadását az adott társaság vagy pénzintézet megkívánja. (Nem minden fizetési szolgáltató vagy társaság jelenik meg egy adott időpontban a weblapon.)

Fizetési szolgáltató megnevezése	Átadott adatok (kezelt adatok köre)
OTP SZÉP kártya	tranzakció összege, név, cím e-mail cím, IP szám
Sponsorem	tranzakció összege, kártyaszám, pénznem
Supershop	tranzakció összege, kártyaszám, név, születési idő, e-mail cím
MKB SZÉP kártya	tranzakció összege
Cafe T-rend	tranzakció összege, kártyaszám

1.6. A III/A. pont esetén, amennyiben az adott mérkőzésre/mérkőzésekre vonatkozóan névre szóló jegyek/bérletek kerülnek kiadásra, valamint a jegy/bérlet tulajdonosa kérheti a jegy/bérlet kinyomtatását plasztikkártyára, úgy az InterTicket Kft. továbbítja a jegy/bérlet adatait, valamint a jegy/bérlet tulajdonosának adatait (név, születési hely és idő, kézbesítési cím, illetve a jegyvásárló által megadott további kézbesítési adatok) a nyomtatást és a kiszállítást végző vállalkozónak:

Cégnév: Szűcs Network Hungary Kft

Székhely cím: 4400 Nyíregyháza, Rákóczi u. 98.

Cégjegyzékszám: 15-09-073764

Adószám: 14617623-2-15

2. A Szolgáltató, mint Adatkezelő jogosult és köteles minden olyan rendelkezésére álló és általa szabályszerűen tárolt személyes adatot az illetékes hatóságoknak továbbítani, amely adattovábbításra őt jogszabály vagy jogerős hatósági kötelezés kötelezi. Ilyen adattovábbítása, valamint az ebből származó következmények miatt az Adatkezelő nem tehető felelőssé. 

3. A Szolgáltató a fentiekben nem jelzett adatátadást kizárólag a Felhasználó előzetes és tájékozott hozzájárulása esetén hajt végre. 

V. A személyes adatok tárolásának módja, az adatkezelés biztonsága

1. A Szolgáltató számítástechnikai rendszerei és más adatmegőrzési helyei a székhelyén és adatfeldolgozóinál találhatók meg. 

2. A Szolgáltató a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat: 

a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás); 

b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége); 

c) változatlansága igazolható (adatintegritás); 

d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen. 

3. A Szolgáltató az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. 

4. A Szolgáltató a különböző nyilvántartásaiban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. 

5. A Szolgáltató a technika mindenkori fejlettségére tekintettel olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt. 

6. A Szolgáltató az adatkezelés során megőrzi 

a) a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult; 

b) a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét; 

c) a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök. 

7. A Szolgáltató és partnereinek informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és más támadások ellen. Az üzemeltető a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik. 

8. A személyes adatok automatizált feldolgozása során a Szolgáltató további intézkedésekkel biztosítja

a) a jogosulatlan adatbevitel megakadályozását;

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

9. A Szolgáltató az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

10. A Szolgáltató olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

11. Az interneten továbbított elektronikus üzenetek protokolltól (e-mail, web, ftp stb.) függetlenül sérülékenyek a hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre vagy az információ felfedésére, módosítására vezethetnek. Az ilyen fenyegetésektől megvédendő a Szolgáltató megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen, és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. A rendszermegfigyelés ezen kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is. Azonban az Internet köztudomásúlag – így a Felhasználók számára is ismert módon – nem 100 %-os biztonságú. Az elvárható legnagyobb gondosság ellenére megvalósuló kivédhetetlen támadások által okozott esetleges károkért a Szolgáltatót felelősség nem terheli.

VI. Az érintettek jogai 

1. Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a kötelező adatkezelések kivételével – törlését, visszavonását, élhet adathordozási-, és tiltakozási jogával az adat felvételénél jelzett módon, illetve a Szolgáltatónak a jelen Adatkezelési Tájékoztató I. pontjában írt elérhetőségein. 

A személyes adatokban bekövetkezett változás, illetve a személyes adatok törlése iránti igény a regisztrált e-mail címen vagy postai úton küldött teljes bizonyító erejű magánokiratban kifejezett, írásos nyilatkozattal közölhető. Egyes személyes adatok módosítása emellett történhet a személyes profilt tartalmazó oldalon történő módosítással is.

2. A tájékoztatáshoz való jog

 A Szolgáltató megfelelő intézkedéseket hoz annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó információkat tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. A tájékozódáshoz való jog írásban a jelen Adatkezelési Tájékoztató I. pontjában írt elérhetőségeken keresztül gyakorolható. Az érintett részére kérésére – személyazonosságának igazolását követően – szóban is adható tájékoztatás. 

3. A hozzáféréshez való jog 

Az érintett jogosult arra, hogy az I. pontban megadott elérhetőségeken keresztül a Szolgáltatótól tájékoztatást kérjen arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy megismerje azt, hogy a Szolgáltató

• – milyen személyes adatait; – milyen jogalapon; – milyen adatkezelési cél miatt; – mennyi ideig kezeli; továbbá, hogy 

• mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait; 

• milyen forrásból származnak a személyes adatai; 

• alkalmaz-e automatizált döntéshozatalt, valamint annak logikáját, ideértve a profilalkotást is. 

A Szolgáltató az adatkezelés tárgyát képező személyes adatok másolatát az érintett erre irányuló kérésére első alkalommal díjmentesen bocsátja a rendelkezésére, ezt követően adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Az adatbiztonsági követelmények teljesülése és az érintett jogainak védelme érdekében a Szolgáltató köteles meggyőződni az érintett és a hozzáférési jogával élni kívánó személy személyazonosságának egyezéséről, ennek érdekében a tájékoztatás, az adatokba történő betekintés, illetve azokról másolat kiadása is az érintett személyének azonosításához kötött. 

E-mailben küldött tájékoztatáskérést – kivéve, ha az érintett magát más módon hitelt érintően azonosítja – az Adatkezelő csak akkor tekint hitelesnek, ha azt a Felhasználó regisztrált e-mail címéről küldik. A tájékoztatás iránti kérelmet e-mailben az interticket@interticket.hu címre kell eljuttatni.

4. Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása esetén az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó megfelelő garanciákról. 

5. Az érintett kérelmére az információkat a Szolgáltató elektronikus formában szolgáltatja. Az adatkezelő a kérelem benyújtásától számított legfeljebb egy hónapon belül adja meg a tájékoztatást. 

6. A helyesbítéshez való jog 

Az érintett személy az I. pontban megadott elérhetőségeken keresztül kérheti, hogy a Szolgáltató módosítsa valamely személyes adatát. Amennyiben az érintett hitelt érdemlően igazolni tudja a helyesbített adat pontosságát, a Szolgáltató a kérést legfeljebb egy hónapon belül teljesíti, és erről az általa megadott elérhetőségen értesíti az érintett személyt.

7. A törléshez való jog 

Az érintett – amennyiben az adatkezelés a hozzájárulásán alapul – jogosult arra, hogy kérésére a Szolgáltató indokolatlan késedelem nélkül törölje az érintettre vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben az adatok kezelésére más jogalapja nem áll fenn. 

Személyes adat törlésére vagy módosítására irányuló igény teljesítését követően a korábbi (törölt) adatok már nem állíthatók helyre.

8. Az adatok törlése nem kezdeményezhető, ha az adatkezelés szükséges az alábbi okok valamelyike alapján: a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve a Szolgáltató jogi igényeinek előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges. 

9. A zároláshoz (adatkezelés korlátozásához) való jog 

Az érintett személy az I. pontban megadott elérhetőségeken keresztül kérheti, hogy a személyes adatai kezelését a Szolgáltató korlátozza (az adatkezelés korlátozott jellegének egyértelmű jelölésével és az egyéb adatoktól elkülönített kezelés biztosításával) amennyiben 

– vitatja a személyes adatai pontosságát (ebben az esetben a Hatóság arra az időtartamra korlátozza az adatkezelést, amíg ellenőrzi a személyes adatok pontosságát); 

– az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; 

– az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy 

– az érintett tiltakozott az adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben).

10. Ha az adatkezelés korlátozás alá esik, a személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében lehet kezelni. A Szolgáltató az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja. 

11. Az adathordozhatósághoz való jog 

Az érintett az I. pontban megadott elérhetőségeken keresztül jogosult arra, hogy a rá vonatkozó, általa a Szolgáltató rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a Hatóság az automatizált módon megvalósított adatkezelési műveletekkel kapcsolatban. 

12. A tiltakozáshoz való jog 

Az érintett az I. pontban megadott elérhetőségeken keresztül tiltakozhat az adatkezelés ellen, ha álláspontja szerint a Szolgáltató a személyes adatát az adott eljárásra vonatkozó adatkezelési tájékoztatóban megjelölt céllal összefüggésben nem megfelelően kezelné. Ebben az esetben a Szolgáltatónak kell igazolnia, hogy a személyes adat kezelését olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. 

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. A személyes adatok közvetlen üzletszerzés érdekében történő kezelése elleni tiltakozás esetén az adatok e célból nem kezelhetők. 

13.Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Nem alkalmazható a fenti jogosultság, ha az adatkezelés 

– az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; 

– meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy 

– az érintett kifejezett hozzájárulásán alapul. 

14.Visszavonás joga

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. 

15.Eljárási szabályok 

A Szolgáltató indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Szolgáltató a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha az érintett azt másként kéri. 

16. Ha a Szolgáltató nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. 

17. A Szolgáltató a kért információkat és tájékoztatást díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Szolgáltató, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre, észszerű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. 

18. A Szolgáltató minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Szolgáltató tájékoztatja e címzettekről. 

19. A Szolgáltató az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért a Szolgáltató az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk elektronikus formátumban kerülnek rendelkezésre bocsátásra, kivéve, ha az érintett másként kéri. 

20.Kártérítés és sérelemdíj

Minden olyan személy, aki az adatvédelmi rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért. Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. 

VII. Jogérvényesítési lehetőségek:

1. Kérdéseivel, illetve észrevételeivel keresse az Adatvédelmi tisztviselőt a jelen Adatkezelési tájékoztató I. pontjában részletezett elérhetőségein. 

2. Bírósághoz fordulás joga: Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. 

3. Adatvédelmi hatósági eljárás: Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni: 

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság 

Székhely: 1055  Budapest, Falk Miksa utca 9-11. 

Levelezési cím: 1363 Budapest, Pf.: 9. 

Telefon: +36 (1) 391-1400 

Fax: +36 (1) 391-1410

E-mail: ugyfelszolgalat@naih.hu 

Honlap: http://www.naih.hu

MELLÉKLET

A jelen Adatkezelési Tájékoztatóban alkalmazott definíciók

1.személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 

2.adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; 

3.az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; 

4.profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; 

5.adatkezelő: az jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; 

6.adatfeldolgozó: az a jogi személy, amely az adatkezelő nevében személyes adatokat kezel; 

7.címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e;

8.harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; 

9.az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; 

10.adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon elvégzik;

11.adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

12.EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

13.érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

14.felhasználó: az a természetes személy, aki a Szolgáltató honlapján regisztrál vagy regisztráció nélkül vásárol;

15.harmadik ország: minden olyan állam, amely nem EGT-állam;

16.nyilvánosságra hozatal: a személyes adat bárki számára történő hozzáférhetővé tétele;

English version

PDF Download

Effective from 10 Dec 2020

I.             Data Controller (Service Provider)

Service Provider’s Name:	INTERTICKET Ltd.
Seat and Postal Address:	1139 Budapest, Váci út 99.
Registration Authority:	Metropolitan Court acting as Registry Court
Company Registration Number:	Cg. 01-09-736766
Tax number:	10384709-2-41
E-mail address:	interticket@interticket.hu
Website:	www.jegy.hu
Customer Service availability	Please send your message using the Chat function
Customer Service e-mail address:	interticket@interticket.huin case of live streaming (video): online @interticket.hu
Location and Contact for Complaints:	1139 Budapest, Váci út 99. Balance Building Please send your message using the Chat function interticket@interticket.hu Weekdays between 10.00 and 16.00
Name of Data Storage Provider:	T-Systems Adatpark
Address of Data Storage Provider:	1087 Budapest, Asztalos Sándor u. 13.
Data Protection Identifier:	NAIH-54216/2012.
Data Protection Officer’s e-mail address:	adatvedelmi.tisztviselo@interticket.hu

II. Privacy policy employed by the Company

1. As a data controller, the Service Provider undertakes that all data processing related to its activities complies with the requirements specified in these regulations and in national legislation and the legislation of the European Union.

2. Information regarding management of data by Service Provider is continuously available in the footer of the starting page of the Jegy.hu website operated by the Service Provider.

3. Service Provider reserves the right to modify the Prospectus on Data Management unilaterally. In the event of modification, Service Provider shall notify the User by publishing the changes on the jegy.hu website. User accepts the revised Prospectus on Data Management by using the service after the modification takes effect.

4. In order to protect the personal information of its customers and partners, Service Provider considers it important to respect its clients` right to information self-determination. Service Provider shall treat the personal data in a confidential manner and shall apply all security, technical and organizational measures that guarantee the security of data. Service Provider’s data management practices are contained in this Prospectus on Data Management.

5. Service Provider’s principles on privacy are in line with the current data protection legislation, thus especially with the following:

– Act CXII of 2011 on the Right of Informational Self‑Determination and on Freedom of Information (hereinafter referred to as Privacy Act);

 – Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR); 

– Act V of 2013 on the Civil Code (Civil Code); 

– Act C of 2000 on Accounting (Accounting Act); 

– Act CXXXVI of 2000 on the Prevention and Combating of Money Laundering and Terrorist Financing (PCMLTF);

– Act CVIII of 2001 on Certain Aspects of Electronic Commerce and Information Society Services (E‑Commerce Act);

– Act XLVIII of 2008 on the Basic Requirements and Certain Restrictions of Commercial Advertising Activities (Business Advertising Act).

6. Service Provider shall only use personal information based on the legal basis included in the GDPR and solely for the specified purpose.

7. Service Provider is committed that before collecting, recording or handling any personal data of its customers it will publish clear, soliciting Customers’ attention and unambiguous statements which inform Customers of the ways their data is recorded, their purpose and principles. If providing personal data is compulsory by law, the relevant rules and regulations must also be indicated. Those involved must also be informed of the purposes of data processing and by whom the personal data will be handled and processed.

8. If the Company intends to use the personal data provided for purposes other than it was originally provided for, the Company must inform the customer and obtain their express, prior consent and make it possible for the customer to prohibit such use.

III. The legal basis and purpose of data processing, the scope of the processed data, length of data processing, entities entitled to learn personal data

1. Service Provider`s data processing is based on the following legal rights (Paragraph 1 of Section 6 of the GDPR): 

a) the individual has given their consent to the processing of their personal data for one or more specific purpose (voluntary consent); 

b) data processing is necessary for the fulfilment of such a contract where the affected person is one of the parties or if it necessary to carry out steps required by the affected person before the contract is entered into (fulfilment of the contract);

c) data processing is necessary to fulfil the legal obligation for the data controller (legal obligation); 

d) data processing is necessary to validate legitimate interest of data controller or a third party (legitimate interest).

2. In case of data processing based on voluntary consent the affected person may withdraw their consent at any time during data processing.

3. Individuals with particular disabilities and children with limited ability may not use services via Service Provider`s system.

4. In some cases processing, storage and forwarding are made mandatory by law of which we will notify users separately.

5. Please note that if data provider is not providing their own personal data, it is their responsibility to obtain the consent of the person concerned.

6. Personal data may only be handled for a specific purpose. The purpose of data management must be met, data entry and management must be fair and legitimate at all stages of data processing. Only personal data that is essential for achieving the purpose of data processing can be handled to achieve this goal. Personal data can only be handled to the extent and for the duration required to achieve the goal. Service Provider will not use personal data for purposes other than those indicated.

7. Online web shop services (purchase of tickets, vouchers, books, audio recording, parking tickets, etc.) – purchase transaction, entry, notification (one-off purchase)

Purpose of data processing: to ensure the provision of a web shop service on the web site, the order, to fulfil the order, to document the purchase and payment and to fulfil the accounting obligation. Further purpose of data processing is to identify the user as a ticket buyer, as well as to deliver the ordered service and to send notifications (technical notifications related to the performance, such as changes to the performance, cancellation, change of times, parking information etc.), to carry out payment through payment service provider, to register users, differentiate between users, to transfer access data to the event organizer, and to fulfil the contract

Grounds for data processing: fulfilment of a contract, subsection b) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: surname and first name, phone number (optional if customer provides for receiving notifications, email address, password given at pre-registration, delivery address provided for home delivery, the number, date and time of the transaction, customer code, number of the gift card or culture voucher. In case of issuing and renaming name-specific/registered tickets, in addition to the listed data – place of birth, date of birth and possibly other personal data required by the event organizer as a condition for issuing the original name-specific/registered ticket (typically for special sport events, name-specific tickets are used by the organizers, according to the decisions of international sport federations).

Deadline to erase data: 210 days after the last performance in the transaction, supposed that the performance has a specific date. In case of performance without specific date, deadline to erase data is 18 months after the date of transaction. If in the same transaction there are tickets purchased for performances with and without specific date, the later date would be taken into consideration.If a dispute arises in connection with the purchase transaction, Service Provide shall maintain the data for the duration of the dispute; the legal basis of which is legitimate interest of Service Provider, subsection f) of Paragraph 1 of Section 6 of the GDPR.

Possible consequences of failure to provide data: Failure of purchase transaction.

8. Online purchase/renewal of season tickets, gift cards, discount cards, Culture Cards

Purpose of data processing: to ensure the provision of a web shop service on the web site, the order, to fulfil the order, to document the purchase and payment and to fulfil the accounting obligation. Further purpose of data processing is to identify the user as a ticket buyer, as well as to deliver the ordered service and to send notifications (technical notifications related to the performance, such as changes to the performance, cancellation, change of times, parking information etc.), to carry out payment through payment service provider, to register users, differentiate between users, to register the balance on the card, to register purchases made with the card, to register discounts and privileges connected to the card, to provide the rights in connection with the season ticket (including rights for renewal if provided by event organizer), to fulfil the contract. Further purpose of data processing is to provide information on the annual renewal of the season ticket (via email or post), reminder regarding the next performance for the season ticket (via email or post), in case of free season tickets twice monthly notification regarding the events of the venue (via email) to facilitate the choice of User.

Grounds for data processing: fulfilment of a contract, subsection b) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: surname and first name, phone number (optional if customer provides for receiving notifications, email address, password given at pre-registration, delivery address provided for home delivery, the number, date and time of the transaction, customer code, number and balance of the gift card, number and balance of culture card.

Deadline to erase data: 24 months following the date of the transaction for season tickets. In case of gift cards, discount cards, Culture Cards, deadline to erase data is 6 months following the expiration date, or – if the given card has no expiration date – 18 months following the date of transaction. If a dispute arises in connection with the purchase transaction, Service Provide shall maintain the data for the duration of the dispute; the legal basis of which is legitimate interest of Service Provider, subsection f) of Paragraph 1 of Section 6 of the GDPR. If tax benefits are connected to the purchased card (for instance Culture Card) the data retention period shall be specified in the effective regulations; grounds: subsection c) Paragraph 1 of Section 6 of the GDPR.

Possible consequences of failure to provide data: Failure of purchase transaction.

9. Registration

Purpose of data processing: By choosing a password during the pre-registration process it will be possible for the user to provide their details only once and not at each purchase. Some services are only available to registered users on the web site. Such services include blogging and comment writing, comment rating, and the following functionality (to be notified about artists, venues and events). As a convenience functionality, in a personal menu, User may edit their personal information, view and download their tickets and invoices, follow their comments, already visited pages, reviews, modify following and newsletter subscriptions and if they are part of the membership system, view the balance of their points. Managing multiple personal data stored in the account obviously means profiling as well.

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: email address, password and those personal data that User has provided during purchase or in their account: address, billing address, phone number. Processed data may furthermore be products purchased by User during their orders, date and invoice of the purchases, Comments made by User and their rating, comments, performances, artists, venues rated by the User, artists, venues and performances marked by User to be followed, pages viewed by User, newsletter subscriptions and balance of membership points collected.

Deadline to erase data: Data provided will be handled by Service Provider until such time as User prohibits use for this purpose by unsubscribing.

Possible consequences of failure to provide data: User cannot use the convenience functions and services of the website.

10. Notification service

The Notification Service allows the ticket buyer, in addition to technical information about the event (technical alerts related to the performance, such as changes to the performance, cancellation, change of times, parking information etc.), to use notification services such as pre-performance reminder, rating following the performance, as well as automated announcements (alerts for leaving the basket, ticket available to buy again, etc.).

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: email address, name, optional phone number if user would like to receive the notifications via text message, Facebook Messenger ID if user would like to receive the notifications via Messenger chatbot.

Deadline to erase data: Data provided will be handled by Service Provider until such time as User prohibits use for this purpose by unsubscribing.

Possible consequences of failure to provide data: User cannot use the convenience functions of the website, not notified of changes.

11. Billing

Purpose of data processing: to issue invoice related to the purchase transaction and to retain such for the duration specified in the relevant laws.

Grounds for data processing: to meet legal obligation, subsection c) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: first and family name, billing address provided for billing, number, date and time of the transaction, contents of invoice, tax number in case of VAT receipt (if provided by customer).

Deadline to erase data, period of data processing: 8 years or as specified in the currently effective legislation on taxation and accounting. 

Possible consequences of failure to provide data: Failure of purchase transaction.

12. Personalized offers, profiling

Purpose of data processing: Profiling helps User to see relevant and personalized offers on the website and in the newsletters` recommendations. Profiling helps data processor to create the most appropriate offers for the customers.

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: email address, name, address, information relating to the use of the website (time of the visit, duration, pages viewed, clicks on the page, search engine usage), basket usage (order identifier, products, product categories, values), purchases (transaction date, value, product, its category, discounts used, method of payment), technical information (IP address, cookie ID, browser type, device type, Google, Facebook, Hotjar, Findgore, Prefixbox identifiers, source page), newsletter and notification message usage information (time of opening the email, its tool, click-through links, purchase data), blog-related data (comments, ratings, click-through links).

The logic of profiling: the offer system offers a list of events to be displayed on the website and in the messages sent by Service Provider that are likely to be the most relevant to the customer.

Deadline to erase data: Data provided will be handled by Service Provider until such time as User prohibits use for this purpose by unsubscribing.

Possible consequences of failure to provide data: offers not relevant to the user are displayed on the website and the newsletters, User cannot use the convenience functions of the website.

13. Electronic newsletter

Purpose of data processing: Sending email newsletters containing advertisements to interested users. If user subscribes to the newsletter, Service Provider can send newsletters at a frequency at its own discretion. Service Provider shall endeavour to offer events relevant to the reader of the newsletter based on user`s place of residence, previous purchases and other data collected through profiling.

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: name, email address, post code, phone number and data collected through profiling.

Deadline to erase data: Data provided will be handled by Service Provider until such time as User prohibits use for this purpose by unsubscribing. To unsubscribe from the newsletter, click the Unsubscribe link at the bottom of the newsletter. The personal data will be deleted within 10 working days of receiving this request.

Possible consequences of failure to provide data: User is not notified of the events.

14. Participation in Service Provider`s loyalty program

Purpose of data processing: to provide participation in the loyalty program offered by Service Provider available to regular users of the Jegy.hu website.  

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: name, email address, post code, phone number and data collected through profiling.

Deadline to erase data: Data provided will be handled by Service Provider until such time as User prohibits use for this purpose by unsubscribing. 

Possible consequences of failure to provide data: User cannot take part in the loyalty program offered by Service Provider.

15. Cookie management («Cookie») 

Cookies are variable content alphanumeric information packets sent by the web server that is stored on the user’s computer and stored for a predetermined validity period. The use of cookies allows to query some data of the website`s visitor and track their internet usage. Cookies help to keep track of user`s interests, internet usage patterns and the website visit history in order to ensure that the user’s shopping experience is optimal. Since cookies are used as a kind of tag that allows a web page to recognize a visitor returning to the page, by using them valid username and password for that site can also be stored. If the browser sends back a previously stored cookie, service provider processing the cookie has the ability to link the current visit of the user to previous ones but only to relating to their own content.

The information sent by the cookies makes it easier to recognize web browsers therefore users can receive relevant and “personalized” content. Cookies make browsing more convenient, including online data security needs and relevant advertising. With the help of cookies, Service Provider can also create anonymous statistics on page viewers’ habits, so can better customize the look and content of the page.

Service Provider’s website uses two types of cookies:

– Temporary Cookies – session use (session–id) cookies necessary for the use of the website. Their use is essential for navigating on and for the functioning of the website. Without them, the site or parts of it will not be displayed, browsing becomes obstructed, placing tickets in the basket or bank payment cannot be properly implemented.

– Permanent cookies that will remain on the device, depending on the settings of the web browser, for a long time or until they are deleted by the user. Within these there are internal and external cookies. Internal cookies are created if Service Provider’s server installs the cookie and the data is forwarded to its own database. If the cookie is installed by the Service Provider’s server, but the data is forwarded to an external service provider, external cookie is used. Third party cookies placed by a third party in the user’s browser (Google Analytics, Facebook Pixel) are external cookies. These are put in the browser if the visited website uses services provided by a third party. The purpose of permanent cookies is to ensure that the site operates at the highest level in order to increase user experience.

When visiting the website User can give their consent to storing permanent cookies stored on their computer that can be accessed by Service Provider by clicking on the cookie alert button on the sign in page.

User can configure and prevent cookie related activities by using the browser program. Use To manage cookies, user can usually use the Cookies or Cookie tracing option in Privacy/History/Custom Settings menu under Tools/Settings menu of their browser. Please note however that without the use of cookies it is possible that User will not be able to every service provided by the website, thus especially the payment options. For further information on cookies please click on the link provided on the cookie alertbanner on Jegy.hu website. 

Purpose of data processing: carrying out payment transactions with the payment service provider, identifying and distinguishing users, identifying user’s current session, storing data created during the session, preventing data loss, identifying and tracking users, web analytics.

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: identification number, date, time and the previously visited webpage.

Period of data processing: temporary cookies are stored until all websites of the same type are closed. Permanent cookies are stored on user`s computer for a year or until user deletes them.

Possible consequences of failure to provide data: unavailability of certain services of the website, unsuccessful payment transactions, inaccuracies in analytics.

16. Location 

If user uses the service from a mobile device (e.g. smartphone), when the application is downloaded the program may ask for permission to use the location as data (egg. when using the “near” feature) for features that require location.

Purpose of data processing: If consent is given by user, the application can provide such personalized searches that takes into account where the user is currently located. The location as data is not stored in data processor`s system it is only facilitating the use of certain functions during a given transaction (more exact search, the “near” feature).

Grounds for data processing: voluntary consent of the affected person, subsection a) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: the geographical location of user at a certain time, IP address.

Scope of data processing: 3 days 

Possible consequences of failure to provide data: inability to use all services of the mobile device

17. Statistics

Data controller can use the data for statistical purposes. The use of data in a statistically aggregated form cannot contain the name or any other identifiable information of the user in any form.

18. Data technically recorded during the operation of the system

Technically recorded data are data from the user’s computer that has logged in that are generated when the service is being used and which are logged by the data management system of data controller as automatic results of technical processes (egg. IP address, session ID). Due to way the Internet works, the automatically recorded data will automatically be logged by the system, using the Internet, without a separate declaration or action from the User. The Internet does not work without this automatic server-client communication. Such data cannot be liked to other personal data of the User – with the exception of personal data for compliance with a legal obligation. This data can only be accessed by the data controller. Logs technically, automatically recorded during the operation of the system will be stored in the system for a reasonable period of time necessary for the operation of the system.

19. Recording phone calls

Service provider records incoming and outgoing phone calls of its customer services.

Purpose of data processing: to enforce the rights of customers and data controller, to provide evidence for possible disputes, to provide evidence to support subsequent verification and the possible un-collectability of a claim, and subsequent proof for agreements, quality assurance, compliance with legal obligations.

Grounds for data processing: voluntary consent of the person concerned.

Scope of processed data: identification number, caller`s phone number, called number, data and time of the call, audio recording of the call as well as other personal information provided during the call.

Deadline to erase data: 5 years. 

Possible consequences of failure to provide data: inability to access help via phone. 

20. Service Provider`s correspondence with customers (email) 

If you would like to contact our company you can get in contact with Service Provider on the contact details provided in this information leaflet or via the contacts specified on the website. Service Provider deletes all received emails, together with sender`s name, email address, date, time and other personal data provided in the email no later than 5 years after the disclosure. 

21. Web analytics

Google Analytics as an external service provider helps to independently measure website visits and other web analytics data. For detailed information on how measured data is handled please visit the following link: http://www.google.com/analytics. Google Analytics data is used by the Service Provider for statistical purposes only to optimize the functionality of the site.

22. Other data management

We provide information on data management not specified in this document at the time of the registration of such data. Please note that the court, prosecutor, investigating authority, offense authority and administrative authority, National Authority for Data Protection and Freedom of Information, Hungarian National Bank as well as other bodies under the authorization of the legislation may request Service Provider to provide information, provide and hand over data or provide documents. Service Provider shall only disclose personal information to the authorities – if the authority has specified the exact purpose and the scope of data – to the extent necessary for the purposes of the request.

23. Data controller shall not check the provided personal information. The person providing the information will be solely responsible for the compliance of the provided information. When Users provide their email address, they assume responsibility that only they will use the Service from this email address. In this respect the person who registers the email address will be responsible for every login used with the given email address. If User is not providing their own personal data, they have the duty to obtain consent from the affected person.

24. People in the employment of or in contractual relationship with Service Provider, employees of the courier company arranging the delivery of the products as well as the data processors will be entitled to get to know the personal data.

III/A. Special data management related to certain sporting events of major importance

1. According to the agreement between Interticket Ltd. and HFF (Hungarian Football Federation), Interticket Ltd. is entitled to sell tickets for the matches of the Hungarian national team on the order of HFF. The ticketing process and the essential elements of data management were jointly defined by KFF and Interticket, the ticketing process is carried out with the help of HFF, since HFF is the organizer of the matches HFF and Interticket Ltd. act as joint data controllers in ticket sales.

2. Introducing specific data management cases related to sporting events of major importance and the scope of the data managed:

Ticket sales are realized through the following data management process: 

a)Ticket purchase online or at the cashier with club card or by providing personal information 

b)Verification in the Register of Sports Security (hereinafter: RSS) in the case of sale of tickets by name

c)Checking Fan Club membership, applying discounts

d)Issue of tickets

e)Ticket exchange

f)Transmission of the ticket barcode to the Puskás Arena’s access control system

g)Transfer of reporting data to HFF

3. Purchase of tickets [data management pursuant to points a)-d)]

Process, purpose of data management; the identity of the data controller

The purchaser can buy tickets for the matches of the Hungarian national team held in the Puskás Arena both at the cashier and online.

Tickets can be purchased in person through InterTicket’s national ticket office network. The contact details of the ticket offices can be found on the Jegy.hu website.

Ticket purchase at cashier

If the purchaser wants to buy a ticket at the cashier and the sale is made by name, then he or she has to provide three mandatory details (name, date and place of birth), which must be entered in the Interticket Ltd. ticket sales system and, as optional data, the mother’s name can be recorded.

The purchase can also be made for another person, in which case the data management is no different than buying a ticket in their own name.

In principle, purchasing a ticket is not subject to a proof of identity. However, HFF, as the organizer, may decide to require the purchaser to present his or her Club Card, Football Card (collectively referred to as: “fan card”) or ID when purchasing a ticket.

A Club Card issued by club teams can also be used at HFF-organized matches for the purpose of ticket purchase.

Interticket Ltd. performing sale on commission carried out on behalf of HFF, manages the data provided in connection with the purchase of tickets. HFF’s role in data management is to require name-based ticketing and to process the data provided, as explained below, due to adherence to security and admission requirements.

Interticket Ltd. issues an invoice of the purchase to the purchaser, for which it manages the purchaser’s name and address.

According to Article 72/B of Act I of 2004 on Sports the purpose of data management related to the sale of name tickets and passes is to implement ticket sales in accordance with stadium safety requirements.

Under the legislation referred to, the data may be used for the purpose of criminal or infringements proceedings initiated in connection with criminal or administrative law offences committed during the approach to or departure from the venue of the sporting event or for the exclusion of participation in the sporting event.

Data management related to ticket sales, in case of using an access control system, based on Subsections (3) and (4) of Article 72 of the Sports Act is mandatory, but the use of a fan card is only mandatory if the HFF requires so for that match.

Before purchasing tickets, Interticket Ltd. checks for the existence of Fan Club membership discounts and applies a discount in case of a name ticket sale.

In case of mandatory proof of identity: 

•the purchaser must present his or her fan card or ID card (in case the purchase is made on behalf of another person, the club card or ID card of the person in whose name will be on the ticket), 

•through the fan card register, the fan card number (barcode) can be used to load the name, date and place of birth and time of the ticket purchase (including mother’s name, if provided when the card was redeemed), 

•in the absence of the above, the data required for the purchase of the ticket will be recorded in the system by the cashier on the basis of the identity card or fan card provided.

If the ticket purchase does not require the presence and presentation of a fan card, the cashier will record the data required for ticket purchase based on the information provided by the purchaser and issue a ticket based thereon, but may require a club card or the presentation of an ID card. 

However, in the event of a ticket sale by name, it should be taken into account that in this case the identity check is performed at the time of entry, and if the information on the ticket and the identity card information do not match, the purchaser cannot enter the match. 

Based on the data provided by the purchaser, the IT system operating the ticket purchase verifies whether the person is banned, prohibited or excluded (ie, queries the Sports Security Registry – SSR).

If there is a match in the system based on the personal information provided in advance, the purchaser may provide the name of his or her mother even if he or she has not provided it first. The system then performs another check. This option does not apply to the purchaser when purchasing with a Club Card or Football Card.

A person who is listed in the SSR for that match and / or venue may not may not purchase a ticket and no ticket may be purchased for a person listed in the SSR for such match and / or venue. 

If the answer is positive (banned / prohibited or excluded status), the ticket system does not store the personal data of the purchaser or the ticket holder, but the data of the affected person will be available in the SSR log, which can be traced back to the fact that the attempt to purchase constitutes an offence as well.

If the purchaser or the ticket holder is not listed in the SSR, the personal details of the customer (name, place and date of birth, optionally mother’s name) required to purchase the ticket are stored in the central ticketing information system database.

When selling a name ticket, the name and the date of birth are also included on the ticket.

Purchasing tickets online

Data required for ticket purchase: 

•in the case of name-based ticket sales: name, place and date of birth, an optional data: the name of the purchaser’s mother, and

•in the case of ticket sales related to a fan card, the card’s number and PIN.

When buying online, the ticket purchase is done via the web system operated by Interticket Ltd. The scope of the personal data processed and the process of purchasing tickets are the same as that of the cashier.

If ticket sales for a particular match are not made by name and are purchased online, the Interticket Ltd. manages only the data provided by the ticket purchaser upon registration. 

If you provide the information with a club card, the card number and associated secret PIN will be entered into the system, and the IT system will load the purchaser’s personal details required for the purchase based on the information provided.

If the payment is made by credit card, the purchaser shall provide the information requested by the bank concerned on the payment service provider’s own interface, in this connection Interticket Ltd. shall not have access to the card details or carry out any data processing operation.

Duration of data management

The data provided during the registration in the online ticketing system will be processed by Interticket Ltd. until the registration is cancelled or the consent is withdrawn.

Data processed from the ticketing system for the purpose of ticket sales will be deleted from the ticketing system three business days after the match, unless the competent authority instructs HFF as the organizer to retain the data for a maximum of 30 days.

The invoices, as accounting documents are kept by Interticket Ltd. for 8 years.

Legal grounds for data processing

The legal basis for data processing is the legal obligation defined in Article 6 (1) (c) of the Regulation, as pursuant to Subsection (1) of Article 72 of the Sports Act the organizer may use a security access and control system (hereinafter referred to as the access control system) that uniquely identifies participants. With regard to football sports, in the case of a special security risk sporting event and an increased security risk sporting event, where the obligation to use an access control system has been ordered by the National Police Headquarters or the organizer decides so independently, the organizer shall apply an access control system.

Where an access control system is applied pursuant to Subsection (2) of the same Article, the organizer or any person selling tickets and acting on behalf of the organizer may sell only name tickets or passes.

Pursuant to Subsection (4) of the same Article, the organizer or the person selling tickets on behalf of the organizer, at the time of sale of tickets, passes and entry tickets, is entitled to establish the identity of the spectator on the basis of an identity card.

According to Subsection (5) of the same Article, where an access control system is used, the organizer or the person selling tickets on behalf of the organizer may, at the time of sale of the ticket or pass, verify the spectator’s identity with that of the SSR. 

In the case of online registration, the legal basis for data processing is the voluntary consent of the purchaser pursuant to Article 6 Subsection (1) (a) of the Regulation.

The issue and preservation of the invoice is a legal obligation pursuant to Article 6 Subsection (1) (c) of the Regulation; the issue of an invoice is required by Article 159 Subsection (1) of the Act CXXVII of 2007 on value added tax, the preservation of the proof of payment is governed by Article 169 Subsection (2) of Act C of 2000 on Accounting.

The processing of ticket purchase data is supported by the legal grounds defined in to Article 6 Subsection (1) (b) of the Regulation related to the performance of the contract, since without processing the data provided for the purchase of tickets, Interticket Ltd. cannot sell the tickets to the customer.

4. Ticket exchange

Process, purpose of data management; the identity of the data controller

If the customer has bought a name ticket and would like to hand it over to another person, he / she has the opportunity to exchange it. At the request of the customer Interticket Ltd. shall exchange the tickets.

Regarding the ticket exchange, the new ticket holder shall also be subject to the data management of the ticket purchase process, except that the new ticket holder will not be billed by Interticket Ltd. 

Duration of data management 

The storage of new ticket purchaser’s data is governed by the rules of the ticket purchase.

Legal grounds for data processing

The legal basis for data processing for the exchange of tickets pursuant to Article 6 Subsection (1) (b) of the Regulation is the performance of a contract with the former ticket holder which includes the possibility of exchanging tickets. For the new ticket holder, the legal basis for data management is the same as for the ticket purchase.

5. Transmission of the ticket barcode to the Puskás Arena’s access control system 

Process, purpose of data management; the identity of the data controller

It is the obligation of Interticket Ltd. to forward the barcode given at the time of the ticket purchase to Puskás Arena’s access control system. The barcode itself does not contain any personal information, however, together with other data, Interticket Ltd. and HFF can identify purchaser of the ticket associated to the bar code (in the case of a name ticket sale).

The transmission of the barcode is essential, as otherwise the valid tickets will not be recognized by the access control system.

Duration of data management

The barcode loses the quality of personal data when Interticket Ltd. and HFF delete the accessed personal data related to it. Cancellation is governed by the rules of ticket purchase.

Legal grounds for data processing

The legal basis for the data management is the fulfilment of the contract between Interticket Ltd. and the purchaser according to Article 6 Subsection (1) (b) of the Regulation, as without data transfer, entry to the match cannot be ensured when an access control system is used.

6. Transmission of report data to HFF

Interticket Ltd., in the framework of this data management, transfers personal data to HFF, as the organizer of the matches of the Hungarian national team. In this case, HFF acts as data controller. In the context of data management, the HFF receives the data provided for the purchase of tickets in the ticketing system provided by Interticket Ltd., supplemented with the exact seating data. The purpose of data management is to enable the HFF, as the organizer of the matches, to perform its duties in connection with entry and secure organization as required by the Sports Act. Additionally, HFF’s processing of data is required by sections 16.01 and 16.02 and 16.03 of the UEFA Safety and Security Regulations, which require HFF to have the personal information of ticket holders. The MLSZ can identify the ticket holder based on the personal data associated with the seat, provide information to the incoming health care personnel in case of a medical emergency, and in the case of the commission of an offense or a crime, or a violation of the rules of the course, the processing of the data is also necessary for the purpose of making a complaint or taking action.

7. Special rules for ticket buyers in wheelchairs and their companions

Process and purpose of data management

In some stadiums for certain matches or events, it is possible to watch matches from an area specially designed for disabled spectators or those in a wheelchair, or to reserve occasionally a limited number of parking spaces designed for disabled people. These spaces can only be accessed through proof of entitlement, which is verified during the online ticketing process and at the check-in for the event. Such ticket and parking requests must be sent to InterTicket Kft. on a form prepared for this purpose. By submitting the online form, the disabled ticket buyer explicitly consents to the processing of his/her information detailed below, including that the controller also manages health information in order to provide special wheelchair and parking spaces. The following information must be provided on the online form: e-mail address to which the tickets are to be sent, name, place and date of birth, mother’s name, both for the handicapped buyer or the buyer in a wheelchair and the accompanying person (if an appropriate space is created for the accompanying person at the event) and, in addition, the wheelchair person’s disability card number.

The identity of the data controller and the duration of the data processing is the same as described in the section for online ticket purchases.

The legal basis for data processing is the explicit consent of the data subject, as stated above, by completing the online form and submitting it to the controller (Article 6 (1) (a) GDPR).

III/B. Special rules for online events

1. Personal customer account

Online events can be live or broadcast theatrical or other performances, events, which – at the time or during the period specified during the ticket purchase – the Buyer acquires the right to watch with the ticket purchase.

Purpose of data processing: To view online events creating a personal customer account is needed. For this it is necessary to give a valid e-mail address, name and a password. After entering the data, the Service Provider’s system will send a message to the indicated email address, requesting its confirmation. The rights to view each content are tied to a personal customer account. The design of the personal customer account is not the same for non-online events – optionally offered, used on a non-mandatory basis – in accordance with the registration detailed in Section III / 9 of this Privacy Policy. For technical reasons, customers registered in accordance with III / 9. also need to create a personal customer account if they want to view an online event. The registration and the personal customer account are therefore not linked, their use is independent of each other.

Grounds for data processing: fulfilment of a contract, subsection b) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: email address, name, password

Deadline to erase data: Data provided will be handled by Service Provider until such time as User prohibits use for this purpose by asking for deleting personal customer account. If the User does not do any activity, the Service Provider, therefor does not use the services offered by the service Provider, the Service Provider will delete the personal customer account 3 years after the last activity. 

Possible consequences of failure to provide data: the user cannot watch the online events

Source of data: the affected person

Recipients of personal data, categories of recipients: personal data is known to the staff of the Service Provider’s customer service.

2. IP address

Purpose of data processing: The Service Provider provides its services related to online events – if no other information can be found in the description of the given performance – without territorial restrictions. However, some events might have territorial restrictions, based on restrictions of copyright, performer rights, or other reasons. In these cases, prior to the purchase, the Service Provider provides this information at the event description. In case of territorial restriction, the Service Provider is entitled to check the IP address of the Customer, to monitor compliance with the territorial limitation, and to refuse access if the place of viewing would violate the territorial restriction.

Grounds for data processing: fulfilment of a contract, subsection b) Paragraph 1 of Section 6 of the GDPR.

Scope of processed data: IP address. 

Deadline to erase data: Until the end of the online event. 

Possible consequences of failure to provide data: the user cannot watch online events that are restricted on a territorial basis.

Source of data: the affected person (by device communication).

Recipients of personal data, categories of recipients: personal data is known to the staff of the Service Provider’s customer service.

IV. Date forwarding, specifying the Data Processors

1. By using the Service, User agrees that Service Provider may forward data to the following partners. Grounds for data forwarding: fulfilment of a contract, subsection b) Paragraph 1 of Section 6 of the GDPR.

– to the organizer of the given event in order to make it possible for the organizer of the event to inform customer directly and without delay if the event is cancelled, its time is changed or of any other detail that might be of interest, furthermore, if the event is cancelled, to refund or exchange tickets directly, and to allow entry to the event and fulfil the contract (appropriate management of the event). With the data transfer the organizer of the given event will become independent data processor in relation to the transferred data. Data transfer may also take place in such a way that Service Provider gives the organizer of the event suitable access to the IT system used for ticketing (Tickets system).

– to the service provider providing the technical conditions for invoicing, as data processor, as follows: Számlázz.hu, operator: KBOSS.hu Kft. (tax number: 13421739-2-13, company registration number: 13-09-101824, head office: 2000 Szentendre, Táltos u. 22/b) or Billzone.hu, operator: N-Ware Kft. (head office: 1139 Budapest, Csongor utca 7/A fszt. 1., tax number: 14825679-2-41, EU tax number: HU14825679, company registration number: 01-09-921789).

– Tasks related to sending emails to the Users and if the person concerned has given permission for profiling, any tasks related to such are carried out by Wanadis Kereskedelmi és Szolgáltató Kft. (1118 Budapest, Rétköz u. 7.), or Emarsys eMarketing Systems AG (Marzstrasse 1, 1150 Vienna, Austria) as data processors, based on their contracts with data controller. 

– to OJT Kft.- which provides customer services (Only relevant to those customers who use Service Provider`s contact information to seek help, information or voice a complaint.

– Service Provider will hand over those data to financial institutions that take part in the purchase process by carrying out the payment which are required by the financial institution for executing the payment. The range of required data may vary by financial institutions. Service Provider will not obtain any of the personal data provided at the financial institution`s own data request page.

– If user carries out the purchase using a method providing special discount (e.g. Supershop card) data controller will forward the requested customer information to the company providing the discount. User may request further information on the relevant data processing rules directly from the company providing this service. Data controller will only handle identifiers and other data of such methods in an automatic format insofar it is required by the service provider company to carry out the purchase and provide the discount.

– Analysis of Service Provider`s web usage data, operation of the blog system and the related commenting and rating system, as well as the messaging service of the following service are carried out by Webb & Flow LTD. (Kemp House, 152-160 City Road, London, EC1V 2NX, UK), as data processor.  

2. Service Provider as Data Controller is entitled and obliged to transmit to the competent authorities any personal data that is available and is legally stored which is subject to statutory or legally binding obligation by a public authority. Data Controller cannot be held responsible for such data transmission or consequences resulting from such.

3. Service Provider performs the above-mentioned data transfer only in the case of prior and informed consent of the User.

V. The method of storing personal data, security of processing

1. Service Provider`s IT systems and other data retention systems are located at its own seat and at its data processors`. 

2. Service provider selects and manages the IT tools used to manage personal data in the provision of the service so that the data:

a) is available for those entitled (availability); 

b) authenticity and validation is provided (data authenticity); 

c) integrity can be verified (data integrity); 

d) is protected against unauthorized access (data confidentiality). 

3. Service Provider will protect the data with appropriate measures, especially against unauthorized access, alteration, transmission, disclosure, deletion or loss, as well as accidental destruction, harm, as well as unavailability due to any change to the technology used.

4. In order to provide security to the data stored electronically in its various registers, Service Provider shall ensure, by using suitable technology, that the stored data could not be directly linked and linked to the data subject, unless permitted by law.

5. Service Provider will employ such technical, structural and organizational measures to defend the security of data management that provides appropriate level of security to the risks arising in connection with data management.

6. During data processing Service Provider shall maintain: 

a) confidentiality: to protect information so that only persons authorized are able to aces it;

b) integrity: to protect accuracy and totality of information and method of processing; 

c) availability: to ensure that if eligible user needs it, they can actually access the required information and have the tools available for such.

7. Service Provider’s IT System and network, as well as its partners`, are protected against computer‑assisted fraud, espionage, sabotage, vandalism, fire, flood, furthermore against computer viruses, cyber intrusions and attacks leading to refusal of Services. Service Provider uses server‑level and application‑level protection features to ensure security.

8. In the automated processing of personal data, Service Provider provides additional measures

a) to prevent unauthorized data entry;

b) to prevent the use of automatic data processing systems by unauthorized persons by means of data transmission devices;

c) verifiability and determination of which bodies personal data has been or may be transmitted to by means of data transmitting equipment;

d) verifiability and determination of when and who entered which personal data into the automatic data-processing systems;

e) the recoverability of installed systems in case of malfunction and

f) report are prepared on errors occurring during automated processing.

9. Service Provider shall take into account the prevailing development of technology when determining and applying measures for data security. If there are several possible solutions for data processing, the one that ensures the highest possible protection of personal data must be chosen unless this would be disproportionate.

10. Service Provider shall ensure the protection of data procession security by such means of technical, organizational and institutional measures that provide a level of protection appropriate to the risks associated with data processing.

11. Electronic messages transmitted via the Internet are vulnerable to network threats irrespective of protocol (email, web, ftp, etc.) which may result in fraudulent activity or disclosure or modification of information. Service Provider shall take all reasonable precautions to protect from such threats. Service Provider shall monitor the Systems in order to record any security deviation and to provide proof in case of all security related events. However, the Internet is commonly – therefore, also to the User – known to be not one hundred percent secure. Service Provider shall not be responsible for damages caused by inevitable attacks despite its best efforts.

VI. Data subjects` rights 

1. Data subject may request information on the use of their personal data, furthermore may request correction and, with the exception of compulsory data processing, erasure or revocation of such, may exercise their right to recording and to object as indicated at the time of data recording a well as via the contacts of Service Provider specified in Section 1 of the present document.

Requests for changes in personal details or for deleting personal details can be sent from the registered email address or by post, via a written, fully conclusive private document expressing such request. Certain personal data can also be modified using the website’s personal profile page.

2. Right to be informed: Service Provider shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language. The information shall be provided in writing via the contacts specified in section I of the present Information on Data Processing document. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means. 

3. Right of access by the data subject: The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

–	purposes of the processing;
–	the categories of personal data concerned;
–	the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;
–	the envisaged period for which the personal data will be stored

–   the right to request rectification or erasure or restriction of processing of personal data; 

–   the right to lodge a complaint with a supervisory authority;-   any available information as to the source of data;

–    the existence of automated decision-making, including profiling, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

Data Controller shall only see credible any information request sent by email – unless the person concerned otherwise identifies the credibility – if the request is sent from the User`s registered email address. Request for information must be sent via email tointerticket@interticket.huaddress.

4. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards relating to the transfer.

5. The Service Provider shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the data controller may charge a reasonable fee based on administrative costs. Service Provider shall provide information to data subject by electronic means. Information shall be provided within a maximum of one month from the request.

6. Right to rectification: Affected person may request from Service Provider to rectify or complete the processed personal data. 

If personal data is not accurate and accurate data is available to the data controller, data controller shall rectify the personal data.

7. Right to erasure: The data subject shall have the right to obtain from the Service Provider the erasure of personal data concerning him or her without undue delay where one of the following grounds applies: 

– the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;; 

– the data subject withdrew consent on which the processing is based and where there is no other legal ground for the processing;

– the data subject objects to the processing and there are no overriding legitimate grounds for the processing; 

– the personal data have been unlawfully processed;

– the personal data have to be erased for compliance with a legal obligation in Union or Member State law; 

– the personal data have been collected in relation to the offer of information society services.

The previous (erased) data can no longer be recovered after the request for erasure or modification has been completed.

8. Erasure of the data cannot be requested if the processing is necessary for either of the following reason: for compliance with a legal obligation which requires processing by Union or Member State law or if the data are needed for the establishment, exercise or defence of legal claims of Service Provider.

9. Right to restriction of processing: The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

– the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data; 

– the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead; 

– the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims; or 

– the data subject has objected to processing; in this case restriction shall apply for a period enabling the verification whether the legitimate grounds of the controller override those of the data subject.

10. Where processing has been restricted, such personal data shall, with the exception of storage, only be processed with the data subject’s consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person. The data subject shall be informed by the Service Provider before the restriction of processing is lifted.

11. Right to data portability: The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller. 

12. Right to object: The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her, including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing. Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes.

13. Automated individual decision-making,including profiling: The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. The above right shall not apply of the data processing

– is necessary for entering into, or performance of, a contract between the data subject and a data controller;

– is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

– is based on the data subject’s explicit consent.

14. Right to withdrawal: The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent does not affect the lawfulness of processing based on consent before its withdrawal.

15. Procedural rules: Service Provider shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The Service Provider shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

16. If the Service Provider does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

17. Service Provider shall provide the requested information and any communication free of cha Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the Service Provider may charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested or refuse to act on the request.

18. The Service Provider shall communicate any rectification or erasure of personal data or restriction of processing carried out to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.

19. The Service Provider shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the Service Provider may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form.

20. Compensation and grievance money: Any person who has suffered material or non-material damage as a result of an infringement of the data protection regulation shall have the right to receive compensation from the controller or processor for the damage suffered. A processor shall be liable for the damage caused by processing only where it has not complied with obligations of the data protection regulation specifically directed to processors or where it has acted outside or contrary to lawful instructions of the controller. Where more than one controller or processor, or both a controller and a processor, are involved in the same processing and where they are responsible for any damage caused by processing, each controller or processor shall be held liable for the entire damage. A controller or processor shall be exempt from liability if it proves that it is not in any way responsible for the event giving rise to the damage.

VII. Law enforcement options:

1. For questions and comments please contact the Data Protection Officer at the contact details specified in section I of this Information on Data Processing document.

2. Right to Court: In case of infringement of his or her rights the data subject may bring these to the attention of the court. The court shall hear the case without delay.

3. Data Protection Authority procedures: Complaints may be made to the National Authority for Data Protection and Freedom of Information.

Name: National Authority for Data Protection and Freedom of Information

Seat: 1125 Budapest, Szilágyi Erzsébet fasor 22/C. 

Postal address: 1530 Budapest, Pf.: 5. 

Phone: 06.1.391.1400 

Fax: 06.1.391.1410 

Email: ugyfelszolgalat@naih.hu 

Website: http://www.naih.hu

ANNEX

Definitions used in the present Information on Data Processing document

1. personal data: means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

2. processing: means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

3. restriction of processing: means the marking of stored personal data with the aim of limiting their processing in the future;

4. profiling: means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

5. controller: means the legal person which, alone or jointly with others, determines the purposes and means of the processing of personal data;

6. processor: means a legal person which processes personal data on behalf of the controller;

7. recipient: means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not;

8. third party: means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data; 

9. consent: of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; 

10. data processing: carrying out technical tasks connected to data processing operations, irrespective of the method and tool used to carry out this operations as well as the place of application, provided that the technical task is carried out on the data;

11. data erasure: making the data unrecognizable in such a way that they may not be restored;

12. EEA country: a member state of the European Union and another state party to the Agreement on the European Economic Area, as well as a state the national of which enjoy the same legal state as a citizen of the state party to the Agreement on the European Economic Area on the basis of the agreement between the European Union and its member states and a state not party to the Agreement on the European Economic Area;

13. data subject: any specified natural person identified or – directly or indirectly – identifiable by personal data;

14. customer: any natural person who registers on the website of Service Provider or carries out a purchase without registration:

15. third country: any stat the is not a member of the EEA;

16. disclosure: making personal data available for anyone.