Felhasználási feltételek

Adatkezelési szabályzat

Hydrocare Beauty Kft., székhely: 1141 Budapest, Örs vezér útja 17. 1. em. 6., telephely: 1066 Budapest, Ó utca 36. fszt. 2., adószám: 23975253-2-42, cégjegyzékszám: 01-09-987317, képviseletre jogosult: Keszei Zoltán, képviseletre jogosult tisztsége: ügyvezető (a továbbiakban: Társaság)

 

  1. Fejezet

Általános rendelkezések

 

  1. Bevezetés

 

  • A szabályzat célja:

 

  1. Annak biztosítása, hogy a Társaság adatkezelő tevékenysége megfeleljen AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK – (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek, továbbá ennek a megfelelésnek az igazolhatósága.
  2. A szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg, a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

 

  • A szabályzat hatálya:

 

  1. A szabályzat hatálya a Társaság által kezelt, természetes személyekre vonatkozó személyes adatok kezelésére terjed ki.
  2. Egyéni vállalkozó, egyéni cég, őstermelő, jogi személy képviselőjeként eljáró ügyfeleket, vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni.
  3. A szabályzat hatálya nem terjed ki a jogi személyekre vonatkozó adatkezelésre.
  4. A szabályzat hatálya kiterjed a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket az adatkezelő egy nyilvántartási rendszer részévé kíván tenni.
  5. A szabályzat 2018. május 25-től hatályos.

 

  • Fogalommeghatározások:

 

  1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
  2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
  4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
  5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
  6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
  9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
  10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
  13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
  14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
  15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
  16. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
  17. „felügyeleti hatóság”: az állam által létrehozott független közhatalmi szerv;
  18. „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
  • az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
  • az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
  • panaszt nyújtottak be az említett felügyeleti hatósághoz.

 

  1. A személyes adatok kezelésére vonatkozó általános előírások

 

  • Alapelvek

 

  1. A személyes adatok:
  • kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
  • az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
  • pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
  • tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
  • kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
  1. A Társaság felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

 

  • Az adatkezelés jogszerűsége

 

  1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy a Társaságra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
  1. Ha az adatkezelés hozzájáruláson alapul, a Társaságnak képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

 

  • Azonosítást nem igénylő adatkezelés

 

  1. Ha azok a célok, amelyekből a Társaság a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek a Társaság általi azonosítását, a Társaság nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen a vonatkozó jogszabályoknak.
  2. Ha a Társaság bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben az érintett hozzáférési jogára, a helyesbítés és törlés jogára, az adatkezelés korlátozásához való jogra, az adathordozhatósághoz való jogra, ill. az ezekhez kapcsolódó értesítési kötelezettségre vonatkozó rendelkezések nem alkalmazandóak, kivéve, ha az érintett abból a célból, hogy a felsorolt jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

 

  1. Fejezet

A Társaság által végzett adatkezelés jogszerűségét biztosító előírások

 

  1. Általános előírások:

 

  • Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező.

 

  • Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait a Társaság jelen Fejezet II. cikk (8) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

 

  • Kötelező adatkezelés esetén a tájékoztatás megtörténhet a (2) bekezdés szerinti információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

 

  • A Társaság a (2) bekezdésben felsorolt információkat is tartalmazó általános adatkezelési tájékoztatóját (1. sz. melléklet) az adatkezelés megkezdése előtt elérhetővé teszi az érintettek számára.

 

  • A Társaság az általános adatkezelési tájékoztatóját a honlapján megismerhetővé teszi az érintettek számára, ezzel együtt kifejezetten felhívja az érintettek figyelmét a tájékoztató elérhetőségére, illetve az adatkezeléshez való hozzájárulás lényeges lépéseinél külön linken keresztül is elérhetővé teszi.

 

  1. Hozzájáruláson alapuló adatkezelés:

 

  • Azon személyes adatok esetén, amelyek kezelése nem feltétlenül szükséges a szerződés teljesítéséhez, az adatkezeléshez kell az érintett hozzájárulása.

 

  • A Társaság honlapján az adatkezeléshez való hozzájárulás kizárólag aktív magatartással adható meg, ilyen aktív magatartás lehet bármely olyan nyilatkozat vagy cselekedet, amely az adott ügyben egyértelműen jelzi az érintett kifejezett és egyértelmű hozzájárulását adatainak kezeléséhez.

 

  • A Társaság a szerződésekkel összefüggésben kezeli a vele bármilyen minőségben szerződött egyéni vállalkozó, egyéni cég, őstermelő, jogi személy képviselőjeként eljáró természetes személy Az adatkezeléshez az érintett hozzájárulása szükséges, a Társaság az érintett hozzájárulását adatai kezeléséhez külön adatkérő lapon kéri (2. sz. melléklet). Az adatkérést megelőzően az érintett számára megismerhetővé teszi az általános adatkezelési tájékoztatóját, amelynek megismeréséről érintettet az adatkérő lapon külön nyilatkoztatja.

 

  • Az adatkezelés jogalapja az érintett hozzájárulása.

 

  • Az adatkérést megelőzően a Társaság az érintett számára megismerhetővé teszi az általános adatkezelési tájékoztatóját, amelynek megismeréséről érintettet az adatkérő lapon külön nyilatkoztatja.

 

  • Az érintett hozzájárulása a konkrét üggyel kapcsolatos adatkezelési tevékenységre terjed ki, ha az adatkezelés több ügyet érint, akkor a Társaság az összes adatkezelési célra vonatkozóan megkéri a hozzájárulást.

 

  • Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e szabályzatot, vagy a vonatkozó jogszabályokat, kötelező erővel nem bír.

 

  • Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

 

  • A Társaság kizárólag olyan adatokat kezel, amelyek az adott ügy viteléhez (szerződés teljesítéséhez) szükségesek.

 

  • Amennyiben az érintett hozzájárult a személyes adatainak kezeléséhez, a Társaság a rá vonatkozó jogi kötelezettség teljesítése érdekében, illetve az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll – törvény eltérő rendelkezésének hiányában –, az adatokat külön erre vonatkozó hozzájárulás nélkül, illetve a hozzájárulás visszavonását követően is kezelheti.

 

  • A Társaság a szerződésekkel összefüggésben, az érintett képviselőként eljáró személy hozzájárulása alapján az alábbi személyes adatokat kezeli:
  1. név,
  2. telefonszám,
  3. e-mail cím.

 

  • Az adatok tárolásának időtartama a szerződés vagy a képviseleti jog megszűnését követő 5 év, kivéve, ha jogszabály más időtartamot határoz meg.

 

III. Munkaviszonyon alapuló adatkezelés:

 

  • A munkavállalótól csak olyan adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

 

  • A Társaság köteles a munkavállalót tájékoztatni személyes adatainak kezeléséről (3. sz. melléklet). A Társaság a munkavállalóra vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet. A munkavállalóra vonatkozó adatok statisztikai célra felhasználhatók és statisztikai célú felhasználásra – hozzájárulása nélkül, személyazonosításra alkalmatlan módon – átadhatók.

 

  • A munkaviszonyból származó kötelezettségek teljesítése céljából a Társaság a munkavállaló személyes adatait – az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint – adatfeldolgozó számára átadhatja. Erről a munkavállalót előzetesen tájékoztatni kell.

 

  • A Társaság a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. Az ellenőrzés és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető. A Társaság előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak. Az ellenőrzésre vonatkozó előírásokat a 4. számú melléklet tartalmazza.

 

  • Felvételre jelentkező munkavállalók esetén a kezelhető személyes adatok köre: a természetes személy neve, születési neve, születési helye, ideje, anyja neve, lakcím, képesítési adatok, telefonszám, e-mail cím, fénykép, a jelentkezőről készített munkáltatói feljegyzés. A személyes adatok tárolásának időtartama a ki nem választott, vagy a jelentkezésüket visszavonó jelentkezők esetén: az elbírálást vagy a jelentkezés visszavonását követő 3 napon belül.

A jelentkezés (pályázat) és az ahhoz kapcsolódó adat kizárólag az érintett érdekében, az esetleges jövőbeli alkalmazás céljából, az érintett kifejezett és egyértelmű hozzájárulásával őrizhető meg.

 

  • A Társaság a munkaviszonnyal összefüggésben az alábbi személyes adatokat kezeli:

 

  1. név,
  2. lakcím,
  3. anyja neve,
  4. születési hely, idő,
  5. személyigazolvány szám,
  6. TAJ szám,
  7. adóazonosító jel,
  8. bankszámlaszám,
  9. iskolai végzettséget igazoló dokumentumok.

 

  • Az adatkezelés jogalapja:

 

  1. az adatkezelés a munkaviszony létesítése, teljesítése vagy megszűnése céljából szükséges (szerződés teljesítése);
  2. az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges (statisztikai, adózási és számviteli kötelezettségek);
  3. az adatkezelés a Társaság jogos érdekeinek érvényesítéséhez szükséges (beléptetőrendszer, munkahelyi kamera rendszer használata).

 

(8) A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 3 év.

 

  1. Szerződéshez kapcsolódó adatkezelés:

 

  • A Társaság a szerződésekkel összefüggésben, a szerződés teljesítése céljából kezeli a vele bármilyen minőségben szerződött természetes személy adatait. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról (5. sz. melléklet).

 

  • A Társaság a szerződésekkel összefüggésben, a szerződés teljesítése céljából az alábbi személyes adatokat kezeli:

 

  1. név,
  2. cím,
  3. telefonszám,
  4. e-mail cím.

 

  • Az adatkezelés jogalapja a szerződés teljesítése.

 

  • Az adatok tárolásának időtartama a szerződés megszűnését követő 5 év, kivéve, ha jogszabály más időtartamot határoz meg.

 

  1. A Társaság honlapjának használatához kapcsolódó adatkezelés (cookie-k)

 

  • A cookie-k – magyar nevükön sütik – kisméretű adatfájlok, melyeket a böngészés során a webhely az oldalaira látogató számítógépén, illetve mobilkészülékén helyez el. A cookie nem tartalmaz személyes információkat, és önmagában nem képes a felhasználó azonosítására, kizárólag a böngészésre használt eszköz felismerésére alkalmas. A sütik segítségével a honlap bizonyos ideig megjegyzi a felhasználó egyes műveleteit és beállításait, ezzel megkönnyíti a honlap használatát és statisztikai jellegű információkat gyűjt a látogatóinkról. Az Európai Bizottság irányelvei alapján, amennyiben azok az adott szolgáltatás használatához nem elengedhetetlenül szükségesek, cookie-kat csak a felhasználó kifejezett engedélyével lehet elhelyezni.A honlap használ ideiglenes cookie-t, amely a honlap bezárása után megszűnik, illetve állandó cookie-t, amely a felhasználó általi törlésig a számítógépen marad. Bizonyos cookie-k nélkülözhetetlenek a honlap használatához, míg vannak olyan típusú cookie-k, amelyek a felhasználói élmény javítását szolgálják.

 

  • A honlap használatához elengedhetetlenül szükséges cookie-k lehetővé teszik a weboldal alapvető funkcióinak használatát, ezek hiányában számos funkció nem elérhető. Ezen cookie-k esetében az adatkezelés kizárólag a böngészés ideje alatt történik, a munkamenet végeztével, illetve a böngésző bezárásával a cookie-k törlődnek. Az ilyen típusú cookie-k használata nem igényli a felhasználó hozzájárulását, arról a honlapon történő első látogatás alkalmával kell tájékoztatást adni akként, hogy a honlapon a tájékoztatás lényegének összefoglalása megtalálható, emellett egy linken keresztül érhető el a teljes tájékoztató.

 

  • A felhasználói élmény javítását szolgáló cookie-k célja alapvetően a szolgáltatás hatékonyságának növelése, a honlap használatának kényelmesebbé tétele, emellett a teljesítmény javítására szolgálnak. Az ilyen típusú cookie-k használatához szükséges az adatkezelést megelőzően a felhasználó kifejezett hozzájárulása (6. sz. melléklet), ez a hozzájárulás kizárólag aktív magatartással adható meg, az erre vonatkozó négyzet bejelölésével. A hozzájárulással együtt az ilyen típusú cookie-k használatáról is tájékoztatást kell adni akként, hogy a honlapon a tájékoztatás lényegének összefoglalása megtalálható, emellett egy linken keresztül érhető el a teljes tájékoztató.

 

  • A Társaság a cookie-k használatával összefüggésben kizárólag a felhasználó egyes műveleteire és beállításaira vonatkozó adatokat kezel, nem kezeli a felhasználók személyes adatait. A felhasználó a honlap használata során ezen adatkezelést bármikor megtilthatja. A kezelt adatokat a Társaság nem kapcsolja össze a felhasználó egyéb adataival, és a felhasználó hozzájárulása nélkül nem adja át harmadik személynek.

 

  • A Társaság honlapja a használat során az alábbi adatokat rögzíti és kezeli:

 

  1. felhasználó által használt IP cím,
  2. böngésző típusa,
  3. operációs rendszer jellemzői,
  4. böngészés időpontja,
  5. a honlapon végzett tevékenység.

 

  • A Társaság a honlapon az alábbi cookie-kat alkalmazza:

 

  1. Google Analytics
  2. WooCommerce Google Analytics
  3. Google Analytics Dashboard for WP (GADWP)Mailchimp
  4. WordPress
  5. WooCommerce
  6. Hyyan WooCommerce Polylang
  7. Woo Checkout Field
  8. Woo Custom and Sequential Order Number Lite
  9. WooCommerce Menü Kosár
  10. WooCommerce SimplePay Payment Gateway
  11. YITH WooCommerce Ajax Search
  12. MailPoet

 

  • Az adatkezelés jogalapja a honlap használatához elengedhetetlenül szükséges cookie-k esetében az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése, míg a felhasználói élmény javítását szolgáló cookie-k esetében a felhasználó hozzájárulása.

 

  • Az adatok tárolásának időtartama:

 

  1. honlap használatához elengedhetetlenül szükséges cookie-k: a munkamenet végéig, illetve a böngésző bezárásáig,
  2. felhasználói élmény javítását szolgáló cookie-k: a felhasználó böngésző eszközén a felhasználó által a böngészési előzmények törléséig.

 

  1. A Társaság hírlevél szolgáltatásához kapcsolódó adatkezelés

 

  • A honlapon a felhasználóknak lehetősége van feliratkozni a Társaság hírlevelére. A hírlevél szolgáltatásra való feliratkozáshoz szükséges a felhasználó kifejezett hozzájárulása (7. sz. melléklet), ez a hozzájárulás kizárólag aktív magatartással adható meg, a hírlevél küldéséhez szükséges adatok megadásával, és a személyes adatok kezeléséhez való hozzájárulásra vonatkozó négyzet felhasználó általi bejelölésével.

 

  • A felhasználó a hozzájárulását bármikor visszavonhatja, írásban vagy a Társaság e-mail címére megküldött nyilatkozattal, ilyen esetben a felhasználó adatai haladéktalanul törlésre kerülnek.

 

 

  • A Társaság által a hírlevél szolgáltatással kapcsolatosan kezelt adatok:

 

felhasználó e-mail címe.

 

  • A hírlevél szolgáltatással kapcsolatos adatkezelés célja a felhasználó tájékoztatása a Társaság programjairól, akcióiról, termékeiről és szolgáltatásairól.

 

  • Az adatkezelés jogalapja az érintett hozzájárulása.

 

  • Az adatok tárolásának időtartama:

 

  1. a hírlevél szolgáltatás megszűnéséig, vagy
  2. a hozzájárulás visszavonásáig.

 

VII. A Társaság Facebook oldalához kapcsolódó adatkezelés

 

  • A Társaság a programjainak és szolgáltatásainak ismertetésére Facebook oldalt tart fenn. A Társaság Facebook oldalán található posztokhoz történő hozzászólás nem minősül a Társaság felé formális megkeresésnek.

 

  • A Társaság a Facebook oldalán, illetve ahhoz kapcsolódóan nem kezel személyes adatot, így a felhasználó által közzétett személyes adatot sem, a felhasználókra a Facebook adatkezelési szabályzata az irányadó (https://www.facebook.com/privacy/explanation).

 

  • A Társaság fenntartja magának a jogot, hogy a Facebook használati feltételeit (https://www.facebook.com/policies?ref=pf) sértő, vagy egyébként jogellenes, illetve a Társaság filozófiájával és üzletpolitikájával össze nem egyeztethető hozzászólás vagy ilyen tartalom közzététele esetén további értesítés nélkül letiltsa az érintettet és/vagy törölje a hozzászólást. A Társaság semmiféle felelősséget nem vállal az ilyen hozzászólásért vagy tartalomért.

 

  • A Társaság Facebook oldalán történő hírlevél szolgáltatáshoz kapcsolódó adatkezelésre a jelen Fejezet VI. cikkében foglaltak megfelelően alkalmazandók.

 

  • A Társaság Facebook oldalán történő regisztrációhoz kapcsolódó adatkezelésre a jelen Fejezet VIII. cikkében foglaltak megfelelően alkalmazandók.

 

VIII. A Társaság honlapján történő regisztrációhoz kapcsolódó adatkezelés

 

  • A honlapon a felhasználóknak lehetősége van regisztrációra, amihez szükséges a felhasználó kifejezett hozzájárulása (8. sz. melléklet), ez a hozzájárulás kizárólag aktív magatartással adható meg, a regisztrációhoz szükséges adatok megadásával, és a személyes adatok kezeléséhez való hozzájárulásra vonatkozó négyzet felhasználó általi bejelölésével.

 

  • A felhasználó a hozzájárulását bármikor visszavonhatja, írásban vagy a Társaság e-mail címére megküldött nyilatkozattal, ilyen esetben a felhasználó adatai haladéktalanul törlésre kerülnek.

 

  • A Társaság által a regisztráció szolgáltatással kapcsolatosan kezelt adatok:

 

  1. felhasználó e-mail címe
  2. felhasználónév,
  3. jelszó.

 

  • A regisztrációval kapcsolatos adatkezelés célja:

 

a felhasználó tájékoztatása a Társaság programjairól, akcióiról, termékeiről és szolgáltatásairól.

 

  • Az adatkezelés jogalapja az érintett hozzájárulása.

 

  • Az adatok tárolásának időtartama:

 

  1. a regisztráció szolgáltatás megszűnéséig, vagy
  2. a hozzájárulás visszavonásáig.

 

  1. A Társaság honlapján történő üzenetküldési lehetőséghez kapcsolódó adatkezelés

 

  • A honlapon a felhasználóknak lehetősége van üzenetküldésre, amihez szükséges a felhasználó kifejezett hozzájárulása (9. sz. melléklet), ez a hozzájárulás kizárólag aktív magatartással adható meg, az üzenetküldéshez szükséges adatok megadásával, és a személyes adatok kezeléséhez való hozzájárulásra vonatkozó négyzet felhasználó általi bejelölésével.

 

  • A felhasználó a hozzájárulását bármikor visszavonhatja, írásban vagy a Társaság e-mail címére megküldött nyilatkozattal, ilyen esetben a felhasználó adatai haladéktalanul törlésre kerülnek.

 

 

  • A Társaság által az üzenetküldés szolgáltatással kapcsolatosan kezelt adatok:

 

  1. felhasználó teljes neve,
  2. felhasználó e-mail címe,
  3. üzenetben megadott adatok.

 

  • Az üzenetküldéssel kapcsolatos adatkezelés célja:

 

a felhasználó tájékoztatása.

 

  • Az adatkezelés jogalapja az érintett hozzájárulása.

 

  • Az adatok tárolásának időtartama:

 

  1. az üzenetküldés szolgáltatás megszűnéséig, vagy
  2. a hozzájárulás visszavonásáig.

 

  1. A Társaság webáruházához kapcsolódó adatkezelés

 

  • A webáruházban történő vásárlással összefüggésben, a szerződés teljesítése céljából kezeli a vele szerződött természetes személy adatait. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról (10. sz. melléklet).

 

  • A webáruházban történő vásárlással összefüggésben történő adatkezelés megfelel az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény és a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló 45/2014. (II. 26.) Korm. rendelet rendelkezéseinek.

 

 

  • A Társaság a szerződésekkel összefüggésben az alábbi személyes adatokat kezeli:

 

  1. név,
  2. lakcím,
  3. szállítási cím,
  4. telefonszám,
  5. e-mail cím,
  6. rendelésszám.

 

  • Az adatkezelés jogalapja a szerződés teljesítése.

 

  • Az adatok tárolásának időtartama a szerződés megszűnését követő 5 év, kivéve, ha jogszabály más időtartamot határoz meg.

 

  1. A Társaság által folytatott direkt marketinggel kapcsolatos adatkezelés

 

  • A Társaság direkt marketinget (közvetlen megkeresés) kizárólag a reklám címzettjének előzetes, egyértelmű és kifejezett hozzájárulásával (11. sz. melléklet) alkalmaz, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló évi XLVIII. törvény rendelkezéseinek betartásával. Az adatkezelés célja az érintett tájékoztatása a Társaság programjairól, akcióiról, termékeiről és szolgáltatásairól, postai vagy elektronikus úton.

 

  • Az érintett a hozzájárulását bármikor visszavonhatja, írásban vagy a Társaság e-mail címére megküldött nyilatkozattal, ilyen esetben az érintett adatai haladéktalanul törlésre kerülnek.

 

  • A Társaság a direkt marketinggel összefüggésben az alábbi személyes adatokat kezeli:

 

felhasználó e-mail címe.

 

  • Az adatkezelés jogalapja az érintett hozzájárulása.

 

  • Az adatok tárolásának időtartama:

 

  1. a direkt marketing tevékenység megszűnéséig, vagy
  2. a hozzájárulás visszavonásáig.

 

XII. Jogi kötelezettségen alapuló adatkezelés:

 

  • A Társaság törvényben előírt adó és számviteli kötelezettségek teljesítése céljából kezeli a vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról (12. sz. melléklet).

 

  • A Társaság jogi kötelezettség teljesítése céljából az alábbi személyes adatokat kezeli:

 

  1. a) név,
  2. b) lakcím.

 

  • Az adatkezelés jogalapja a Társaságra vonatkozó jogi kötelezettség teljesítése.

 

  • Az adatok tárolásának időtartama az alapul szolgáló jogviszony megszűnését követő 8 év.

 

  1. Kötelező adatkezelés:

 

  • Személyes adat akkor is kezelhető, ha azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról.

 

  • Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.

 

  • Jelenleg a Társaság ezen a jogcímen adatot nem kezel.

 

  1. Fejezet

Az érintett jogai

 

  1. Átláthatóság és intézkedések

 

  • A Társaság vállalja, hogy az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtja, különösen a gyermekeknek címzett bármely információ esetében. Az információkat az érintett választása szerint írásban vagy elektronikus úton adja meg, de az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

 

  • A Társaság elősegíti az érintett jogainak a gyakorlását. Az 1. Fejezet II/5. b) pontban említett esetekben a Társaság az érintett jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

 

  • A Társaság indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a Társaság a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

 

  • A Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

 

  • A Társaság az információkat, illetve a tájékoztatást és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Társaság, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a Társaságot terheli.

 

  • Ha Társaságnak megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

 

  • Az érintett részére a következő szakasz alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.

 

  1. Tájékoztatás és a személyes adatokhoz való hozzáférés

 

  • Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, a Társaság a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét, ill. tájékoztatja az alábbiakról:

 

  1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
  2. az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  4. amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, az adatkezelő vagy harmadik fél jogos érdekei;
  5. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  6. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  7. az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint joga van az adathordozhatósághoz;
  8. az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  9. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  10. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

 

Ha a Társaság a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és az 1. bekezdésben említett minden releváns kiegészítő információról.

 

A bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

 

  • Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

 

  1. az (1) bekezdés a)-i) és k) pontjaiban felsoroltak;
  2. az érintett személyes adatok kategóriái;
  3. a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.

 

A Társaság a (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:

  • a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  • ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  • ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

 

Ha a Társaság a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

 

A bekezdés nem alkalmazandó, ha és amilyen mértékben

  • az érintett már rendelkezik az információkkal;
  • a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelés esetében, vagy amennyiben az e bekezdésben említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
  • az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
  • a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

 

III. Az érintett hozzáférési joga

 

  • Az érintett jogosult arra, hogy a Társaságtól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

 

  1. az adatkezelés céljai;
  2. az érintett személyes adatok kategóriái;
  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.

 

  • A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

 

  • A (2) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

 

  1. A helyesbítéshez való jog

 

Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

 

  1. A törléshez való jog („az elfeledtetéshez való jog”)

 

  • Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Társaság pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

 

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. az érintett a 3. Fejezet IX. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 3. Fejezet IX. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
  4. a személyes adatokat jogellenesen kezelték;
  5. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. a személyes adatok gyűjtésére az 1. Fejezet II. cikk (3) bekezdés a) pontjában említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

  • Ha a Társaság nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

 

  • Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

 

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  2. a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy a Társaságra ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  3. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

 

  1. Az adatkezelés korlátozásához való jog

 

  • Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

 

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Társaság ellenőrizze a személyes adatok pontosságát;
  2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az érintett a 3. Fejezet IX. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a Társaság jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

 

  • Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

 

  • A Társaság az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

 

VII. Tájékoztatás helyesbítésről, törlésről vagy adatkezelés-korlátozásról

 

A Társaság minden olyan címzettet tájékoztat a fentiek szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.

 

VIII. Az adathordozhatósághoz való jog

 

  • Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az adatkezelés az 1. fejezet II. cikk (2) bekezdés a) pontja vagy az 1. fejezet II. cikk (4) bekezdése szerinti hozzájáruláson, vagy az 1. fejezet II. cikk (2) bekezdés b) pontja szerinti szerződésen alapul; és az adatkezelés automatizált módon történik.

 

  • Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

 

  • Az (1) bekezdésben említett jog gyakorlása nem sértheti a törléshez való jogot szabályozó rendelkezéseket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy a Társaságra ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
  • Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.
  1. A tiltakozáshoz való jog
  • Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen – ideértve az említett rendelkezéseken alapuló profilalkotást is –, ha az adatkezelés közérdekű vagy a Társaságra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, illetve a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha a Társaság bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

  • Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
  • Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
  • Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
  • Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
  1. A felügyeleti hatóságnál történő panasztételhez való jog
  • Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
  • Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.
  1. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
  • A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
  • Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

XII. Az érintettek képviselete

  • Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, jogainak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.
  • A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a fent említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.

XIII. A kártérítéshez való jog és a felelősség

  • Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
  • Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
  • Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
  • Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és – a (2) és (3) bekezdés alapján – felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.
  • Ha valamely adatkezelő vagy adatfeldolgozó a (4) bekezdéssel összhangban teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon adatkezelésben érintett többi adatkezelőtől vagy adatfeldolgozótól visszaigényelje a kártérítésnek azt a részét, amely megfelel a (2) bekezdésben megállapított feltételek értelmében a károkozásért viselt felelősségük mértékének.
  • A kártérítéshez való jog érvényesítését célzó bírósági eljárást az előtt a bíróság előtt kell megindítani, amely a XI. cikk (2) bekezdésében említett tagállam joga szerint illetékes.
  1. Fejezet

A Társaság, mint adatkezelő és az adatfeldolgozó

  1. A Társaság adatkezelői feladatai
  • A Társaság, mint adatkezelő képviselője és elérhetőségei:

Keszei Zoltán ügyvezető, cím: 1066 Budapest, Ó utca 36., telefonszám: +36 1 269 1279, +36 70 414 5945, e-mail: zoltan.keszei@hydrocare. com

  • A Társaság az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket a Társaság felülvizsgálja és szükség esetén naprakésszé teszi.
  • Ha az az adatkezelési tevékenység vonatkozásában arányos, a (2) bekezdésben említett intézkedések részeként a Társaság megfelelő belső adatvédelmi szabályokat is alkalmaz.
  • A Rendeletben foglaltaknak megfelelően jóváhagyott magatartási kódexekhez vagy tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy a Társaság teljesíti kötelezettségeit.
  1. Az adatok címzettjei
  • Általános, bármely jogcímen kezelt adat kezelésére kiterjedő jogkörrel rendelkező címzettek:
  1. adatkezelő képviselője;
  2. adatkezelésre kijelölt munkavállaló.
  • Hozzájáruláson alapuló adatkezelést végző címzettek:
  1. az (1) bekezdésben felsoroltak;
  2. ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalók.
  • Munkaviszonyon alapuló adatkezelést végző címzettek:
  1. az (1) bekezdésben felsoroltak;
  2. adatfeldolgozók.
  • Szerződéshez kapcsolódó adatkezelést végző címzettek:
  1. az (1) bekezdésben felsoroltak;
  2. ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalók.
  • Jogi kötelezettségen alapuló adatkezelést végző címzettek:
  1. az (1) bekezdésben felsoroltak;
  2. ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalók;
  3. adatfeldolgozók.
  • Kötelező adatkezelést végző címzettek: az (1) bekezdésben felsoroltak.

III. Beépített és alapértelmezett adatvédelem

  • A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
  • A Társaság megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
  • A Rendeletben foglaltaknak megfelelően jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy a Társaság teljesíti az e cikk (1) és (2) bekezdésében előírt követelményeket.
  1. Közös adatkezelők
  • Ha az adatkezelés céljait és eszközeit a Társaság egy vagy több adatkezelővel közösen határozza meg, azokkal együtt közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 3. fejezet II. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
  • Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
  • Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.
  1. Az adatfeldolgozó
  • Ha az adatkezelést a Társaság nevében más végzi, a Társaság kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
  • A Társaság által igénybe vett adatfeldolgozók: könyvelő, futár, alvállalkozók, informatikai szolgáltatók.
  • A Társaság által igénybe vett adatfeldolgozóknak átadott adatok
  1. hozzájárulás alapján kezelt személyes adatok közül (informatikai szolgáltató):
  • felhasználó e-mail címe,
  • felhasználónév,
  • jelszó,
  • üzenetben megadott adatok.
  1. a szerződésekkel összefüggésben, a szerződés teljesítése céljából kezelt személyes adatok közül (informatikai szolgáltató):
  • név,
  • lakcím,
  • szállítási cím,
  • telefonszám,
  • e-mail cím,
  • rendelésszám.
  1. a szerződésekkel összefüggésben, a szerződés teljesítése céljából kezelt személyes adatok közül (futár):
  • név,
  • szállítási cím,
  • e-mail cím,
  • telefonszám,
  • rendelésszám.
  1. jogi kötelezettség teljesítése céljából kezelt személyes adatok közül (könyvelő, alvállalkozók):
  • név,
  • lakcím.
  • Az adatfeldolgozó a Társaság előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
  • Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
  1. a személyes adatokat kizárólag a Társaság írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha a Társaság értesítését az adott jogszabály fontos közérdekből tiltja;
  2. biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  3. meghozza az adatkezelés biztonsága körében előírt intézkedéseket;
  4. tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
  5. az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a Társaságot abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
  6. segíti a Társaságot az adatbiztonságra vonatkozó kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
  7. az adatkezelési szolgáltatás nyújtásának befejezését követően a Társaság döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
  8. a Társaság rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti a Társaság által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Ezzel kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja a Társaságot, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
  • Ha az adatfeldolgozó bizonyos, a Társaság nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek a Társaság és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik a Társaság felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
  • A Rendeletben foglaltaknak megfelelően jóváhagyott magatartási kódexekhez vagy tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.
  • A Társaság és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a Társaságnak vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.
  • A Bizottság – a Rendelet 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
  • A felügyeleti hatóságok a Rendelet 63. cikkében említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
  • A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
  • Ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

 A Társaság vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

Az adatfeldolgozó és bármely, a Társaság vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag a Társaság utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

VII. Az adatkezelési tevékenységek nyilvántartása

  • A Társaság és – ha van ilyen – a Társaság, mint adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet (13. sz. melléklet). E nyilvántartás a következő információkat tartalmazza:
  1. az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  2. az adatkezelés céljai;
  3. az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  4. olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  5. ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  6. ha lehetséges, az adatbiztonság érdekében végrehajtott technikai és szervezési intézkedések általános leírása.
  • Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:
  1. az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
  2. az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
  3. ha lehetséges, az adatbiztonság érdekében végrehajtott technikai és szervezési intézkedések általános leírása.
  • Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.
  • A Társaság vagy az adatfeldolgozó, valamint – ha van ilyen – a Társaság, mint adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.

VIII. Együttműködés a felügyeleti hatósággal

A Társaság vagy az adatfeldolgozó, valamint – ha van ilyen – a Társaság, mint adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködik.

  1. Fejezet

Adatbiztonság

 Az adatkezelés biztonsága

  • A Társaság és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
  1. a személyes adatok álnevesítését és titkosítását;
  2. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  3. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
  • A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
  • A Társaság, illetve az adatfeldolgozó a Rendeletben foglaltaknak megfelelően jóváhagyott magatartási kódexekhez vagy tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.
  • A Társaság és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy a Társaság vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
  • A Társaság az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
  • A Társaság a személyes adatokat bizalmas adatként minősíti és kezeli, a munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő.
  • A Társaság a személyes adatokhoz való hozzáférést jogosultsági szintek megadásával korlátozza.
  • A Társaság által adatkezelésre és az adatok nyilvántartására használt számítógép jelszóval és vírusvédelemmel védett.
  • A Társaság által papíralapon kezelt adatok a Társaság székhelyén, zárható szekrényben kerülnek tárolásra.
  1. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

 

  • Az adatvédelmi incidenst a Társaság indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
  • Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
  • Az (1) bekezdésben említett bejelentésben legalább:
  1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  2. közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  4. ismertetni kell a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
  • A Társaság nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket (14. sz. melléklet). E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

III. Az érintett tájékoztatása az adatvédelmi incidensről

  • Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
  • Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az előző cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
  • Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
  1. a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
  • Ha a Társaság még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

Hydrocare Beauty Kft.

                                                                                            Keszei Zoltán

                                                                                               ügyvezető

0