Az adatkezelési szabályzat innen letölthető: https://rievtech.hu/custom/rievtech/image/data/dokumentumok/GDPR_rievtech.pdf
1. PREAMBULUM
1.1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE előírja, hogy az Adatkezelő megfelelő intézkedéseket hozzon annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtson, továbbá hogy az Adatkezelő elősegítse az érintett jogainak a gyakorlását.
1.2. Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény is előírja.
1.3. Az alábbiakban olvasható tájékoztatással, illetőleg szabályzattal e jogszabályi kötelezettségünknek teszünk eleget.
1.4. A szabályzatot közzé kell tenni az adatkezelő honlapján, vagy az érintett személy részére kérés esetén meg kell küldeni.
A fentiekre tekintettel az alábbiakban részletezett adatkezelő társaság az alábbi adatvédelmi szabályzatot (a továbbiakban: „Szabályzat”) alkotja:
2. ADATKEZELŐ, ADATFELDOLGOZÓ MEGNEVEZÉSE
2.1.
|
Cégnév: |
PLCszerviz Korlátolt Felelősségű Társaság |
|
Székhely: |
2330 Dunaharaszti, Kós Károly utca 24. |
|
Cégjegyzékszám: |
13-09-165138 |
|
Adószám: |
24662590-2-13 |
|
Képviseli: |
Csóka Zsolt |
|
Weboldal: |
https://rievtech.hu/ |
|
E-mail: |
info@rievtech.hu |
|
Telefonszám: |
+36 70 577 4700, +36 30 515 2263 |
(a továbbiakban: „Adatkezelő” vagy „Társaság”)
2.2. Az Adatkezelő kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfelel a hatályos jogszabályokban meghatározott elvárásoknak, az adatokat bizalmasan kezeli és bizalmas jelleg és az adatok integritásának megőrzése érdekében informatikai és egyéb biztonságos adatkezelést elősegítő technikai és szervezési intézkedéseket hajt végre.
2.3. Társaság https://rievtech.hu/ weboldalának üzemeltetője maga az Adatkezelő társaság. Tárhelyszolgáltató a 3 in 1 Hosting Bt., amely adatfeldolgozónak minősül.
2.4. Társaságunk az alábbi adatfeldolgozókat veszi igénybe az adatkezelés során, továbbá
Az adatok megismerésére jogosult lehetséges adatkezelők személye: a személyes adatokat a következő személyek kezelhetik, az adatkezelési alapelvek tiszteletben tartásával:
• DPD , OTP mobil Kft.
1093 Budapest Közraktár u. 30-32.
ugyfelszolgalat@simple.hu
Telefonszám: +36 1/20/30/70 3-666-611
A továbbított adatok köre: vezetéknév, keresztnév, ország, telefonszám, e-mail cím.
Az adattovábbítás célja: a felhasználók részére történő ügyfélszolgálati segítségnyújtás, a tranzakciók visszaigazolása és a felhasználók védelme érdekében végzett fraud-monitoring. simplepay.hu/vasarloknak/ Elfogadom, hogy a PLCszerviz Kft. által a rojaker.hu felhasználói adatbázisában tárolt alábbi személyes adataim átadásra kerüljenek az OTP Mobil Kft. (1093 Budapest, Közraktár u. 30-32.), mint adatkezelő részére. A továbbított adatok köre: vezetéknév,keresztnév, ország,telefonszám, e-mail cím.Az adattovábbítás célja: a felhasználók részére történő ügyfélszolgi segítségnyújtás, a tranzakciók visszaigazolása és a felhasználók védelme érdekében végzett fraud-monitoring.
• PLCszerviz Kft., 2330 Dunaharaszti, Kós Károly utca 24.
Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintett kérheti a házhoz szállító szolgáltató adatkezelőtől a személyes adatainak mielőbbi törlését.
Az adattovábbítás jogalapja: a Felhasználó hozzájárulása, az Infotv. 5. § (1) bekezdése, illetve az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.
|
Adatfeldolgozó |
Cím |
Tevékenység |
Milyen adatokat kezel? |
|
Mailchimp |
512 Means St Suite 404 Atlanta, GA 30318 USA |
Tárolja a feliratkozók adatait, a hozzájárulás visszavonásáig. |
Teljes név, E-mail cím |
|
M.I. Solution Kft. |
2030, Érd, Esztergályos utca 57. |
Különböző extra funkciók (pl. hírlevél-küldés) használata |
Teljes név, E-mail cím |
Az adatkezelés ténye, a kezelt adatok köre: A szolgáltatás használata során az érintett által megadott valamennyi személyes adat.
Az érintettek köre: A weboldalt használó valamennyi érintett.
Az adatkezelés célja: Az adatfeldolgozó által nyújtott szolgáltatások működtetése a weboldalon.
Az adatkezelés időtartama, az adatok törlésének határideje: Az adatkezelő és az adatfeldolgozó közötti megállapodás megszűnéséig, vagy az érintettnek az adatfeldolgozó felé intézett törlési kérelméig tart az adatkezelés.
Az adatfeldolgozás jogalapja: a Felhasználó hozzájárulása, a GDPR 6. cikk (1) bekezdés a) és c) pontja, illetve az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.
Az adatfeldolgozó tevékenysége: A a jobb ügyfél élmény és az eredményesebb tájékoztatás érdekében az M.I. rendszerét használja (M.I. Solution Kft., Magyarország, 2030, Érd, Esztergályos utca 57.,), mely az Ön számítógépén tárolt szöveges fájlokat alkalmaz (sütik). Ezek a sütik eltárolják a webáruházunk felületén történt tevékenységét (kattintások). Az általunk használt szoftver és a sütik segítségével tudjuk megbecsülni, hogy Önt melyik termékünk, vagy szolgáltatásunk érdekelheti, ami segít nekünk abban, hogy Önnek olyan tartalmú emailt küldhessünk automatizáltan, mely informatív és arról szól, ami Önt érdekelheti. Amennyiben nem szeretne ilyen típusú leveleket kapni, illetve nem szeretné, hogy az Ön tevékenységét ilyen céllal kövessük, kérjük bármelyik levél láblécében levő “leiratkozás” feliratra kattintva azonnal leáll mind az automatán előállított levelek küldése, mind az Ön-, webáruházunkban történő tevékenységének nyomonkövetése.
Ezen túl webáruházunk felületén történő böngészés során kizárólag olyan sütit helyezünk el a gépén, mely a marketingünk optimalizálásához segít hozzá és semmilyen esetben sem köthetőek az így gyűjtött adatok egy konkrét személyhez.
3. FŐBB JOGSZABÁLYOK, FOGALMAK
FŐBB JOGSZABÁLYOK:
3.1. GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: „GDPR” vagy „Rendelet”)
A GDPR az Európai Parlament és a Tanács rendelete, amely így teljes egészében kötelező és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamban, így Magyarországon is.
3.2. Infotv.: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: „Infotv.”)
Abban az esetben, ha a GDPR szabályainak megfelelő módon magyar jogszabály – elsősorban az Infotv., de speciális adatkezelések esetében ágazati jogszabályok – részletszabályokat alkot meg, akkor a Társaság ezeket a szabályokat is alkalmazza. Abban az esetben, amennyiben az adatkezelés nem esik a GDPR hatálya alá, úgy az Infotv. szabályait alkalmazza a Társaság.
3.3. Társaság vagy Adatkezelő: WhiteIT Fintech Zrt.
3.4. NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „NAIH”)
3.5. Ptk.: a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”)
3.6. Magyarország Alaptörvénye (a továbbiakban: „Alapörvény”)
Magyarország Alaptörvényének E) cikke kimondja, hogy az Európai Unió joga megállapíthat általánosan kötelező magatartási szabályt, így a Szabályzat megalkotása és alkalmazása során a szabályok elsődlegesen a GDPR-ból fakadnak. Alaptörvény VI. cikk (3): Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (4): A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.
FOGALMAK:
3.7. Jelen Szabályzatban használt fogalmak megegyeznek a GDPR I. fejezet 4. cikkében meghatározott értelmező rendelkezésekkel:
Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.);
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.);
Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);
Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.);
Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.);
Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);
Érintett jogai, a Rendelet 12-21. cikkében rögzített jogok;
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);
Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);
Adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben [GDPR 18. cikk. (1)];
Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.);
Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.);
Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.);
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.);
Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.);
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);
EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.);
Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.); Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.);
Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.);
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.);
Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.);
Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra a rendelet értelmében háruló kötelezettségek vonatkozásában (GDPR 4. cikk 17.);
A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása:
1) adattovábbítás megfelelőségi határozat alapján,
2) adattovábbítás megfelelő garanciák alapján,
3) megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR által biztosított” az eltérés lehetősége különös helyzetekben történhet (GDPR 44-50. cikk);
Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);
Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);
Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy a Rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a Rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.);
Tevékenységi központ:
a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira, eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra a Rendelet szerint meghatározott kötelezettségek vonatkoznak [GDPR 4. cikk 16.];
Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is (GDPR 4. cikk 18.);
Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások (GDPR 4. cikk 19.);
Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.); (Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.)
Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy
c) panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.);
Személyes adatok határokon átnyúló adatkezelése:
a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket (GDPR 4. cikk 23.);
Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.);
Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.)
Amennyiben a mindenkori hatályos adatvédelmi előírások jelen Szabályzat hatályba lépését követően megváltoznak oly módon, hogy a jelen Szabályzatban rögzített fogalmak eltérnek az adatvédelmi jogszabályban meghatározott fogalommeghatározásoktól, akkor a mindenkor hatályos adatvédelmi jogszabályok rendelkezéseiben rögzített fogalmakat a megfelelő eltérésekkel kell figyelembe venni
4. SZABÁLYZAT CÉLJA ÉS HATÁLYA
CÉLJA:
4.1. A Társaság jelen Szabályzat megalkotásával és elérhetővé tételével biztosítja a GDPR III. fejezetében meghatározott érintetti jogokat azzal, hogy meghatározza az adatvédelmi elvek gyakorlati megvalósulását és a Társaság által folytatott adatvédelmi folyamatokat. A Szabályzat meghatározza a Társaság által kezelt személyes adatokat, azok forrását, az adatkezelés célját, jogalapját, időtartamát, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevét, címét és az adatkezeléssel összefüggő tevékenységét, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapját és címzettjét.
4.2. Szabályzattal a Társaság biztosítani kívánja az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát
HATÁLYA:
4.3. A Szabályzat személyi hatálya kiterjed minden olyan személyre, aki a Társasággal fennálló, így különösen munkavállalói-, munka-, adatfeldolgozói-, megbízási jogviszonya alapján (továbbiakban: a Társaság munkatársa) személyes adatokhoz hozzáfér, vagy azok birtokába jut.
4.4. A Szabályzat időbeli hatálya annak kihirdetésétől visszavonásáig tart.
5. ADATKEZELÉS ELVEI
5.1. A Társaság az adatkezelés során az alábbi alapelvek alapján szervezi meg folyamatait:
jogszerűség, tisztességes eljárás és átláthatóság elve [GDPR 5. cikk (1) a)]: A Társaság személyes adatot csak jogszerűen és a tisztességesen kezel, az adatkezelést az érintett számára átlátható módon, többek között jelen Szabályzat nyilvánosságra hozatalával, végzi.
célhoz kötöttség elve [GDPR 5. cikk (1) b)]: a Társaság minden esetben, ha személyes adatot kezel, az adat felvétele előtt meghatározza a személyes adat kezelésének célját, amely így előre meghatározott, egyértelmű és jogszerű. Személyes adatot a Társaság az előre meghatározott céllal össze nem egyeztethető módon nem kezel. Amennyiben teljesült az adatkezelés célja és jogszabály nem írja elő kötelezően az adat további kezelését, úgy a személyes adatot a Társaság törli.
adattakarékosság elve [GDPR 5. cikk (1) c)]: a Társaság az adatkezelés során csak olyan személyes adatot kezel, amely a cél eléréséhez megfelelő és releváns, a Társaság az adatkezelést csak a cél eléréséhez szükséges minimum adatmennyiségre korlátozza.
pontosság elve [GDPR 5. cikk (1) d)]: a Társaság törekszik rá, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek és a jelen Szabályzatba foglalt módon törekszik rá, hogy a pontatlan személyes adatokat haladéktalanul törölje vagy – az érintett kérelmére vagy tudomására jutása esetén – helyesbítse.
korlátozott tárolhatóság elve [GDPR 5. cikk (1) e)]: a Társaság személyes adatot csak úgy tárol, hogy a személyes adat érintettje csak az adatkezelés céljának eléréséig azonosítható az adatkezelés során, a személyes adatok ennél hosszabb ideig történő tárolását csak jogszabály kötelező előírása alapján végzi a Társaság.
integritás és bizalmasság elve [GDPR 5. cikk (1) f)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet.
elszámoltathatóság elve [GDPR 5. cikk (2)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy az adatkezelés bármely pillanatában képes legyen a jelen pontba foglalt elveknek való megfelelést igazolni.
6. ADATKEZELÉS SZABÁLYAI
6.1. A Társaság kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.
6.2. A Társaság személyes adatot csak és kizárólag a GDPR 6. cikkébe, a személyes adatok különleges kategóriáiba tartozó személyes adatot csak és kizárólag a GDPR 9. cikk (2) bekezdésében foglalt jogalapokkal, jog gyakorlása vagy kötelezettség teljesítés érdekében kezel.
6.3. A konkrét adatkezelési folyamattal érintett jogosultság vagy kötelezettség keletkezhet a Társaság, az érintett vagy harmadik fél oldalán is.
6.4. A Társaság kezelésében lévő személyes adat az adatkezelés során mindaddig megőrzi személyes adat minőségét, amíg belőle az érintett azonosított vagy azonosítható. A Társaság akkor tekint egy adatot személyes adatnak, amennyiben rendelkezik azzal a technikai feltétellel, amely segítségével képes az adatból azonosítani az érintettet.
6.5. A Társaság csak úgy folytat adatkezelést, hogy az minden szakaszában megfelel az adatkezelési célnak.
6.6. A Társaság jelen Szabályzat vagy a konkrét adatkezelési folyamatleírás nyilvánosságra hozatalával minden esetben közli az érintettel az adatkezelés célját, az adatkezelés jogalapját, valamint az adatkezeléssel kapcsolatos, a GDPR 13-14. cikkében meghatározott tényeket.
6.7. A Társaság munkaszervezési, fizikai, informatikai és jogosultságkezelési eszközökkel gondoskodik arról, hogy illetéktelen személyek a személyes adatokat ne ismerhessék meg.
6.8. A Társaság munkatársai és az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek munkatársai és megbízottjai (alvállalkozói) kötelesek az adatkezelés során megismert személyes adatokat titokként megőrizni.
6.9. A személyes adatok egyetlen része, vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt, kivéve, ha a személyes adat közérdekből nyilvános adatként történő nyilvánosságra hozatalát jogszabály írja elő.
6.10. A Társaság munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.
6.11. Személyes adatról papíralapú vagy elektronikus másolat csak abban az esetben készíthető, ha azt az adatkezelés folyamata szükségessé teszi vagy jogszabály előírja.
6.12. Ha a Társaság valamely munkatársa a Szabályzatot megszegi, a Társaság és közte lévő jogviszony jellegétől függően ezért felelősséggel tartozik.
7. ADATKEZELÉS JOGALAPJA, CÉLJA
JOGALAPJA:
7.1. Az adatkezelés jogalapját a Társaság minden adatkezelési folyamatnál meghatározza.
7.2. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) és 9. cikk (2) bekezdésekben rögzítettek szerint határoz meg a Társaság.
7.3. A Társaság az adatkezelési rendszerét úgy alakítja ki, hogy minden személyes adatra vonatkozóan bizonyítani tudja, hogy mikor, milyen formában történt a személyes adat felvétele és milyen tájékoztatást kapott az érintett a személyes adat felvételekor.
7.4. A személyes adatok különleges kategóriáiba tartozó személyes adatot főszabály szerint a Társaság nem kezel, kivéve abban az esetben, amennyiben bizonyítani tudja a 7.3. pontba foglalt valamely körülmény fennállását.
CÉLJA:
7.5. A webáruházban való vásárlás során a Vásárlónak, mint Érintettnek néhány személyes adatát meg kell adnia a Társaság, mint Eladó részére
7.6. A bekért adatokat a Társaság rögzíti, tárolja, feldolgozza és használja. A bekért adatok a webáruház használatához, a kapcsolattartáshoz, a megrendelés teljesítéséhez, lebonyolításhoz elengedhetetlenül szükségesek.
7.7. A Társaság a Vásárló érintett adatait kiemelt biztonsággal kezeli, használatuk során az adatvédelmi szabályoknak megfelelően jár el, és az adatokat csak a vásárlás érdekében szükséges ideig tartva nyilván.
7.8. Társaság harmadik személy vagy szervezet részére a Vásárló érintett adatait nem adja tovább. Ez alól kivételt csak a jogszabályon alapuló adatszolgáltatási kötelezettség, valamint az áru Vásárló részére történő eljuttatásához szükséges, a postai szolgáltatást nyújtó, illetve futárszolgálat felé történő adatszolgáltatás képez, kizárólag a szállítás lebonyolításához szükséges körben és mértékben. Online bankkártyás fizetés esetében a fizetési felület szolgáltatója felé is történik adattovábbítás a szolgáltató által a felhasználók részére történő ügyfélszolgálati segítségnyújtás, a tranzakciók visszaigazolása és a felhasználók védelme érdekében végzett fraud-monitoring érdekében, az Adatvédelmi nyilatkozat Adattovábbítás fejezetében részletezett adatok mértékéig.
7.9. Az adatkezelés minden esetben célhoz kötött. A Társaság szolgáltatásaival kapcsolatos adatkezelés során a személyes adatok felvétele és kezelése minden esetben az Érintett önkéntes hozzájárulásán alapul.
7.10. A Társaság által rögzített személyes adatokat a mindenkor hatályos adatvédelmi jogszabályokkal – így különösen a GDPR-val és az Infotv.-nyel – összhangban, a jelen Szabályzatnak megfelelően kezeli.
8. ÉRINTETTEK JOGAI
8.1. Az Érintett kérelmezheti az Adatkezelőnél az alábbiakat:
a) tájékoztatást személyes adatai kezeléséről (az adatkezelés megkezdését megelőzően, illetve az adatkezelés során)
A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint más tényezőkről. Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. A tájékoztatás főszabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A Társaság az érintettnek adott minden tájékoztatást főszabály szerint írásban tesz meg, ideértve az elektronikus utat is. Amennyiben az érintett kéri a szóbeli tájékoztatást, úgy személyazonossága igazolását követően a Társaság erre felhatalmazott munkatársa a tájékoztatást szóban is megadhatja. A Társaság az érintett számára tájékoztatást csak és kizárólag abban az esetben nyújt, ha a Társaság erre felhatalmazott munkatársa meggyőződött az érintett személyazonosságáról. Az érintett személyazonosságáról való meggyőződésnek számít, ha a Társaság erre felhatalmazott munkatársa előtt: − az érintett személyazonosságát a hatályos magyar jog szerinti személyazonosság igazolására alkalmas okmány bemutatásával (így különösen, de nem kizárólagosan személyazonosító igazolvánnyal, útlevéllel, vezetői engedéllyel) igazolja, − az érintett személyazonosságát az Európai Unió joga szerint személyazonosság igazolására alkalmas okmány bemutatásával igazolja, − az érintett kérelme a Társaság előtt már korábbi ügyből ismert, az érintetthez köthető e-mail címről érkezik, − az érintett kérelme a Társaság által biztosított, zárt, a megfelelő személyazonosítás megtörténte után használható csatornán érkezik. A Társaság nem fogadja el a személyazonosítás telefonos úton történő egyetlen formáját sem. Amennyiben a személyazonosság igazolása nem történik meg, a Társaság az érintetti joggyakorlási kérelmet elutasítja. A Társaság az érintettet a kérelem beérkezésétől számított egy hónapon belül tájékoztatja. Beérkezésnek az számít, ha az igényt az érintett: − szóban személyesen a Társaságnak személyazonosítást követően megteszi, − az írásba foglalt igény a Társaság elérhetőségére megérkezik. A határidőt a Társaság maximum további két hónappal meghosszabbítja, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma azt indokolja. A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül a Társaság tájékoztatja az érintettet. Amennyiben a Társaság nem intézkedik az érintett kérelmére, úgy az érintett jogorvoslati jogával élhet a Társaság ellen. A Társaság tájékoztatást és intézkedéseket díjmentesen végzi.
b) hozzáférést személyes adataihoz (személyes adatai Adatkezelő általi rendelkezésére bocsátását),
Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés célja;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket, nemzetközi szervezeteket; d) a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; h) automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az érintett továbbá jogosult arra is, hogy az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsássa. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani. kivéve, ha az érintett máshogy kéri. Az Érintett az 2.1. pontban meghatározott elérhetőségeken nyújthatja be Érintetti kérelmét az Adatkezelő részére. Az Adatkezelő az Érintett jogszerű kérelmét legfeljebb 30 napon belül teljesíti (figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő indokolt esetben további két hónappal meghosszabbítható), és erről az Érintettet az általa megadott elérhetőségen értesíti.
Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az Érintettet erről tájékoztatást kap. A hozzájárulás visszavonását a lehető legrövidebb időn belül írásban kell az Adatkezelőhöz eljuttatni.
c) személyes adatainak helyesbítését, kiegészítését,
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését. A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, a GDPR 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.
d) személyes adatainak törlését vagy korlátozását,
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;
Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles, valamint az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.
Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát; b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
d) az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. A személyes adatok helyesbítéséhez, vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelési korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan nagy erőfeszítést igényel. Az érintetett kérésére az Adatkezelő tájékoztatja e címzettekről.
e) adathordozhatósághoz való jog.
Az érintett – a GDPR 27. cikk (1) bekezdésében foglalt feltételek fennállása esetén - jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa
f) tiltakozhat személyes adatai kezelése ellen.
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Az érintett tiltakozhat személyes adatának kezelése ellen: ha a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az Adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint törvényben meghatározott egyéb esetben.
g) bírósághoz fordulás joga és panasztétel joga
Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.
(Rendelet 77. cikk)
Bírósági eljárás kezdeményezése
Az Érintett az Adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az Adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.
A per elbírálása a törvényszék hatáskörébe tartozik. A per – az Érintett választása szerint – az Érintett lakóhelye vagy tartózkodási helye szerinti illetékes törvényszék előtt is megindítható.
Az Adatkezelő az Érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt megtéríti, ugyanakkor mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Az Adatkezelő nem téríti meg a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az Érintett személyiségi jogának megsértése esetén az Érintett sérelmdíjat követelhet.
Hatósági eljárás kezdeményezése
Az Érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (1055 Budapest, Falk Miksa utca 9-11, honlap: http://naih.hu; postacím: 1396 Budapest, Pf.: 9.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e mail: ugyfelszolgalat@naih.hu) jogainak érvényesítése érdekében vizsgálatot, illetve hatósági eljárás lefolytatását kezdeményezhet arra hivatkozással, hogy a személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, így különösen,
- ha véleménye szerint az Adatkezelő a 8.1. pontban meghatározott Érintetti jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja (vizsgálat kezdeményezése), valamint
- ha megítélése szerint személyes adatainak kezelése során az Adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat (hatósági eljárás lefolytatásának kérelmezése).
9. KEZELT SZEMÉLYES ADATOK
9.1. Az Adatkezelő az Érintett önkéntes hozzájárulása alapján az alábbi személyes adatait kezelheti az adatkezelés céljának – szállítás lebonyolítása – függvényében:
a) teljes név,
b) telefonszám,
c) e-mail cím
d) lakóhely (szállítási cím)
e) fizetendő összeg
9.2. A személyes adatok forrása az érintett. Az érintettek köre: a házhozszállítást kérő valamennyi érintett.
9.3. Az adatkezelés célja: a megrendelt termék házhoz szállítása.
9.4. A személyes adatok megismerésére és ellenőrzésére kizárólag az Adatkezelő és az általa alkalmazott személyek, illetve jogvita esetén az Adatkezelő jogi képviselője, illetve az illetékes hatóságok jogosultak.
9.5. Az Adatkezelő az érintett fenti személyes adatait nem továbbítja sem harmadik országba, sem nemzetközi szervezethez. Az Adatkezelő tevékenységének ellátása során az adatfeldolgozókat vehet igénybe, ebben az esetben az adatfeldolgozó személyéről haladéktalanul tájékoztatni köteles az érintettet.
9.6. Automatizált döntéshozatal és profilalkotás nem történik az adatkezelés során.
9.7. Társaság tájékoztatja az Érintettet, hogy az általa működtetett hírlevélre történő feliratkozás önkéntes alapon az Érintett hozzájárulása alapján történik, az bármikor visszavonható. A feliratkozással az Érintett hozzájárul ahhoz, hogy A hírlevél listára feliratkozó személy hozzájárul ahhoz, hogy a Társaság hírlevelet, akciós ajánlatot küldjön számára, valamint értesítse új termékek megjelenéséről. Társaság A Szolgáltató, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII törvény előírásait maradéktalanul betartva tartja nyilván és kezeli a regisztrálók alábbi adatait:
- email cím
A hírlevélre történő regisztráció bármikor visszavonható, minden a Társaság által küldött hírlevélben lehetőség van a leiratkozásra. A Társaság a regisztrált személy kérésére, személyes adatait haladéktalanul törli a nyilvántartásából. A fentebb kezelt adatok törlésére eltérő esetben a leiratkozást követően haladéktalanul sor kerül.
Az Adatkezelőt, a tudomására jutott adatok, tények, körülmények vonatkozásában titoktartási kötelezettség terheli, és azokat az Ügyfél/Érintett előzetes hozzájárulása nélkül nem hozhatja harmadik személy tudomására. A Társaság köteles a Megrendelőt az egyes fenti tevékenységei eredményéről haladéktalanul és folyamatosan értesíteni.
A Társaság kötelezettséget vállal arra, hogy a tudomására jutott üzleti ügyekről szerzett értesüléseket, információkat a jogviszony fennállása alatt, illetve ennek megszűnését követően is megőrzi, azokat illetéktelen személyek tudomására nem hozza. Üzleti titoknak minősül minden olyan tény, információ, megoldás vagy adat, amelynek titokban maradásához a Megrendelőnek méltányolható érdeke fűződik.
Az üzleti titokra és a know-how védelmére egyebekben az üzleti titok védelméről 2018. évi LIV. törvényben foglaltak irányadóak.
10. ADATKEZELÉS IDŐTARTAMA
10.1. Az adatokat csak a lehető legrövidebb ideig lehet tárolni, ennek megfelelően a kezelt adatok tárolásának időtartama az adatkezelés céljának megvalósulásáig tart, ennek megfelelően az adatok törlésének határideje: a házhozszállítás lebonyolításáig tart.
10.2. Az Adatkezelő azonban felhívja az érintett figyelmét, hogy a bűncselekménnyel okozott kár megtérítése esetén az Adatkezelés időtartama 5 év, ha a büntethetőség elévülési ideje ennél hosszabb, ennek megfelelő időtartam.
11. ADATBIZTONSÁGI SZABÁLYOK
11.1. A Társaság, illetőleg tevékenységi körében a Társaság által megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, valamint a Szabályzat érvényre juttatásához szükségesek.
11.2. A Társaság az adatbiztonsági folyamatait úgy alakítja ki, hogy azok a személyes adatokat megvédjék a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen.
11.3. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR, valamint az adatkezelésre vonatkozó külön törvények keretei között a Társaság határozza meg. Az általa adott utasítások jogszerűségéért a Társaság felel.
11.4. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni.
12. ADATVÉDELMI INCIDENS
12.1. Adatvédelmi incidensnek minősül minden olyan esemény, amely az Adatkezelő által kezelt, továbbított, tárolt vagy feldolgozott személyes adatokkal kapcsolatban a személyes adat véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
12.2. Adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság részére az adatvédelmi incidenst, kivéve, ha az Adatkezelő bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
12.3. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. A NAIH részére történő bejelentés legalább a következő információkat tartalmazza:
a) az adatvédelmi incidens jellege, az Érintettek és a személyes adatok hozzávetőleges száma és kategóriája;
b) Adatkezelő neve, elérhetősége, kapcsolattartó neve és elérhetősége;
c) az adatvédelmi incidensből származó, valószínűsíthető következmények;
d) a megtett vagy tervezett intézkedések az adatvédelmi incidens kezelésére, elhárítására, orvoslására, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
e) Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár, az Adatkezelő az adatvédelmi incidens észlelését követően indokolatlan késedelem nélkül, de 72 órán belül tájékoztatja az Érintetteket az adatvédelmi incidensről az Adatkezelő honlapján keresztül. A tájékoztatásnak legalább a jelen pontban meghatározott adatokat kell tartalmaznia, és világosan és közérthetően ismertetni kell az incidens jellegét.
12.4. Az adatvédelmi incidensekről az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az Érintettek tájékoztatása céljából nyilvántartást vezet. A nyilvántartás az alábbi adatokat tartalmazza:
a) az Érintett személyes adatok köre;
b) az Érintettek köre és száma;
c) az adatvédelmi incidens időpontja;
d) az adatvédelmi incidens körülményei, hatásai;
e) az adatvédelmi incidens elhárítására megtett intézkedések.
12.5. A nyilvántartásban szereplő adatokat az Adatkezelő az adatvédelmi incidens észlelésétől számított 5 évig őrzi meg.
12.6. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
12.7. A 12.7. pontban említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
12.8. Az érintettet nem kell az 12.6 pontban említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 12.6. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
12.9. Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a 12.8. pontban említett feltételek valamelyikének teljesülését
13. KORLÁTOZÁSOK
13.1. Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.
13.2. A 13.1. pontban említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
a) az adatkezelés céljaira vagy az adatkezelés kategóriáira,
b) a személyes adatok kategóriáira,
c) a bevezetett korlátozások hatályára,
d) a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
e) az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,
f) az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
g) az érintettek jogait és szabadságait érintő kockázatokra, és
h) az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját (Rendelet 23. cikk).
14. COOKIE, BÖNGÉSZŐ SÜTIK
14.1. Amennyiben az Érintett felkeresi a www.rievtech.hu vagy rievtech.info oldalt, a weboldal cookie-kat („sütik"), azaz rövid adatfájlokat helyez el a látogató érintett számítógépén. Ez lehetővé teszi, hogy honlapunk felismerje az érintett által használt eszközt, amikor kapcsolat jön létre az érintett eszköze és a honlapunk között.
14.2. Az ideiglenes cookie-kat a látogató eszközén weboldalunk csak egy adott munkamenet során helyezi el és az a munkamenet befejezésével törlődnek.
14.3. Honlapunkon alkalmazunk állandó cookie-kat is, amelyek addig a számítógépen maradnak, amíg a látogató le nem törli azt.
14.4. Honlapunk alkalmaz olyan cookie-t, mely az érintett internetezési szokásairól gyűjt adatokat. Ennek célja, hogy az érintett részére személyre szabott reklámokat jeleníthessünk meg a számítógépén.
A honlapunkon alkalmazott sütik a következők:
A cookie neve: Google Analytics
• A cookie célja: Összetett statisztikai adatok gyűjtése
• A cookie jellege: viselkedésfigyelő
• A cookie élettartama: 1 év
• Az adatkezelés jogalapja: az érintett hozzájárulása, melyről a GDPR 6. (1) a) pontja rendelkezik, valamint az Infotv. 5. § (1) bekezdésének a) pontja, és az E-kertv. 13/A. § (4) bekezdése.
A cookie neve: Google Tag Manager
• A cookie célja: Konverzió mérés
• A cookie jellege: nem viselkedésfigyelő
• A cookie élettartama: 2 év
• Az adatkezelés jogalapja: az érintett hozzájárulása, melyről a GDPR 6. (1) a) pontja rendelkezik, valamint az Infotv. 5. § (1) bekezdésének a) pontja, és az E-kertv. 13/A. § (4) bekezdése.
A cookie neve: Facebook
• A cookie célja: Facebook tagjait (és akik nem tagok) követi piackutatási elemzés és termékfejlesztés céljával
• A cookie jellege: viselkedésfigyelő
• A cookie élettartama: 1 év
• Az adatkezelés jogalapja: az érintett hozzájárulása, melyről a GDPR 6. (1) a) pontja rendelkezik, valamint az Infotv. 5. § (1) bekezdésének a) pontja, és az E-kertv. 13/A. § (4) bekezdése.
A cookie neve: Facebook Pixel
• A cookie célja: Konverzió mérés
• A cookie jellege: nem viselkedésfigyelő
• A cookie élettartama: 1 év
• Az adatkezelés jogalapja: az érintett hozzájárulása, melyről a GDPR 6. (1) a) pontja rendelkezik, valamint az Infotv. 5. § (1) bekezdésének a) pontja, és az E-kertv. 13/A. § (4) bekezdése.
15. ADATVÉDELMI TISZTVISELŐ
15.1. Az adatkezelő nem köteles adatvédelmi tisztviselő kinevezésére, tekintettel arra, hogy főtevékenysége nem foglal magában nagymértékű különleges adatkezelést vagy rendszeres, szisztematikus megfigyelést. Egyebekben adatkezelő fenntartja a jogot, amennyiben az adatkezelésére tekintettel adatvédelmi tisztviselő kijelölése válna szükségessé, abban az esetben haladéktalanul intézkedik annak kinevezéséről és jelen tájékoztatót annak megfelelően módosítja. Adatkezelő rögzíti, hogy adatvédelmi tisztségviselő az alábbi esetekben kötelező:
- Az adatkezelő vagy feldolgozó állami feladatot vagy jogszabályban meghatározott egyéb közfeladatot lát el. Ez alól kivételt képeznek a bíróságok
- Törvény vagy az Európai Unió jogi aktusa azt előírja
15.2. GDPR az alábbi esetekben teszi kötelezővé adatvédelmi tisztségviselő kinevezését:
- Az adatkezelést közhatalmi vagy egyéb közfeladatot ellátó szerv végzi. Ez alól kivételt képeznek a bíróságok.
- Az olyan adatkezelések esetében, amikor az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése történik.
Nagymértékű megfigyelésnek minősülnek az általános adatvédelmi rendelet (91) preambulum-bekezdése szerint például:
• ha jelentős mennyiségű személyes adat kezelése történik regionális, nemzeti vagy szupranacionális szinten,
• ha az érintettek száma jelentős,
• új technológia nagy arányú alkalmazása valósul meg,
• amennyiben a profilalkotás alapján az érintettek értékelése történik, stb.
A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik. A rendszeres, szisztematikus és nagymértékű megfigyelés alatt nem csupán a szó hétköznapi értelmében vett megfigyelést, például kamerázást kell érteni, hanem a felhasználói magatartást nagy részletességgel rögzítő, naplózó tevékenységeket is, mint például a számlázási célból végzett tevékenység.
- Akkor, amikor az adatkezelő vagy adatfeldolgozó fő tevékenysége során nagy számban kezel különleges vagy bűnügyi személyes adatokat.
16. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, AZ ADATKEZELŐ INTÉZKEDÉSEI
16.1. Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.
16.2. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
16.3. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
16.4. Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
16.5. Az Adatkezelő a Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
16.6. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
16.7. Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
Jelen Adatkezelési Szabályzat visszavonásig hatályos. Az Adatkezelő fenntartja magának a jogot jelen tájékoztató megváltoztatására, illetőleg az Európai Unió vagy a magyarországi jogszabályok változásai esetén a szabályzat megfelelő módosítására.
Jelen Adatkezelési Tájékoztató hatályos: 2025.09.01. napjától