Adatkezelési Szabályzat
10. Adatkezelési szabályzat
10.1. Általános tájékoztató
Az Adatkezelési Szabályzat célja, hogy rögzítse az adatkezelő – OPTIMA 2747 – által alkalmazott adatkezelési és adatvédelmi eljárást, amelynek betartásával, mint adatkezelő (továbbiakban: Adatkezelő) tevékenysége során különösen ügyel a személyes adatok védelmére és megőrzésére, továbbá a biztonságos és tisztességes adatkezelésre.
Az Adatkezelési Szabályzat tekintetében az alábbi jogszabályok az irányadók:
– 2001. évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről;
– 2008. évi XLVIII. tv. a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól;
– 2011. évi CXII. tv. az információs önrendelkezési jogról és az infószabadságról
– 2013. évi V. tv. a Polgári Törvénykönyvről;
– 2016/679/EU rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetébe történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről.
Az Adatkezelő egyoldalú kötelezettséget vállal arra, hogy jelen Adatkezelési Szabályzatot betartja annak érdekében, hogy a vonatkozó jogszabályok által körülírt módon tiszteletben tartsa a személyhez fűződő jogokat, ill. a magánszférát. Az Adatkezelő fenntartja magának a jogot, hogy az Adatkezelési Szabályzatot megváltoztassa, amelynek megfelelő módon történő közzétételére is egyoldalú kötelezettséget vállal.
10.2. A Szabályzatban alkalmazott fogalmak és törvényi értelmezések:
Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy
Személyes adat: az érintettre vonatkozó bármely információ
Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok
Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele
Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges
Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel
Adatállomány: az egy nyilvántartásban kezelt adatok összessége;
Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek
EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez
Harmadik ország: minden olyan állam, amely nem EGT-állam;
Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi
10.3. Az adatkezelés alapja
Az adatkezelő tevékenységét azon jogszabályi elv alapján végzi, hogy a személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie. Az Adatkezelő tevékenysége során a személyes adatok kezelése minden esetben jogszabályon, vagy önkéntes és kifejezett hozzájáruláson alapulhat.
Az adatkezelő annak az elvnek mentén jár el, hogy csak azok férhetnek hozzá az érintett személyes adataihoz, akik a jogszabály alapján jogosultak erre, illetve akinek az adott személy hozzájárulást ad.
A kezelt adatokat kizárólag Adatkezelő, valamint alkalmazottai, illetve az általa igénybe vett Adatfeldolgozó ismerheti meg, azokat Adatkezelő harmadik, az adat megismerésére jogosultsággal nem rendelkező személynek nem adja át.
10.4. A kezelt személyes adatok köre és a rögzítés módja
A személyes adatok rögzítésére kizárólag azt követően kerülhet sor, ha az Adatkezelő az érintett részére az adatkezelés alapjául szolgáló, jelen Adatkezelési Szabályzat megismerését lehetővé tette. A személyes adatok kezelése az érintett jelen tájékoztatás ismeretében adott önkéntes hozzájárulásán, illetve vásárlás esetén a hozzájárulástól függetlenül, jogszabályon (Ptk, ill. Számviteli tv.) alapul.
Az adatkezelő jelen Adatkezelési Szabályzat hatálya alá tartozó tevékenységével összefüggésben az alábbi személyes adatokat kezeli:
– Regisztráció esetén: Vezetéknév és keresztnév, Felhasználói név, Számlázási és/vagy szállítási cím, E-mail cím
– Eseti vásárlás esetén: Vezetéknév és keresztnév, E-mail cím, Számlázási és/vagy szállítási cím
– Panasz esetén: Vezetéknév és keresztnév, E-mail cím
A regisztrációt követően létrehozott Felhasználói fiók tartalmazza a Regisztráció során megadott adatokat és a Felhasználó korábbi vásárlásaira vonatkozó információkat. A Felhasználói fiók megadott adatait a felhasználó jogosult módosítani.
Az adatkezelés célja a honlapon történő vásárlás során a számla kiállítása, a vásárlók nyilvántartása, a megrendelések teljesítése, a vásárlás és fizetés dokumentálása, számviteli kötelezettség teljesítése. A felhasználói fiók létrehozása esetén a vásárlások kezelése, nyilvántartása, módosítása.
Panaszkezelés esetén az adatkezelés célja a panaszok nyilvántartása, kezelése és visszakeresése.
Az Adatkezelő a megadott személyes adatokat jelen Adatkezelési Szabályzatban írt céloktól eltérő célokra nem használhatja fel. Személyes adatokat harmadik személynek, vagy a hatóságok számára kizárólag az érintett előzetes, kifejezett hozzájárulása esetén lehetséges kiadni, kivéve, ha a törvény ettől eltérően rendelkezik.
Az Adatkezelő a neki megadott személyes adatokat nem ellenőrzi – azok valóságtartalmáért kizárólag az azt megadó személy felel. Az érintett kizárólag saját személyes adatait adhatja meg, amennyiben más személy nevével regisztrál, úgy az érintett hozzájárulását az adatközlő köteles beszerezni.
Az érintett az e-mail címének megadásakor felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást.
Az Adatkezelő nem köteles ellenőrizni, hogy az így megadott e-mail cím valóban az azt megadó érintetthez tartozik – ily módon jogosult azt vélelmezni, hogy a megadott személyes adatok tekintetében az adatkezelés jogszerű.
Az adatrögzítés folyamatát az érintett maga irányítja, amennyiben az adatrögzítés során az érintett az adatrögzítés folyamatát akár kifejezetten, akár ráutaló magatartással megszakítja, úgy az Adatkezelő köteles a rögzítést megszakítani, és az addig megadott személyes adatokat kivétel nélkül törölni.
10.5. Az érintett jogai
10.5.1. Az érintett joga, hogy az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon (a továbbiakban: előzetes tájékozódáshoz való jog).
10.5.2. Az érintett kérelmére személyes adatait és az azok kezelésével összefüggő információkat az adatkezelő a rendelkezésére bocsássa (a továbbiakban: hozzáféréshez való jog). A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére az adatkezelő tájékoztatja arról, hogy személyes adatait maga az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e. Ez utóbbi esetben az adatkezelő az érintett rendelkezésére bocsátja az érintett általa és a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatait, és közli vele a 2011. évi CXII. törvény 17.§ (2) bekezdése szerinti körülményeket.
Adatkezelő kötelezi magát, hogy legkésőbb a kérelem benyújtásától számított 15 napon belül, a Felhasználó kérelmére megadja a tájékoztatást.
10.5.3. Az érintett joga, hogy kérelmére az adatkezelő helyesbítse, illetve kiegészítse
A helyesbítéshez való jog érvényesülése érdekében az adatkezelő, ha az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti. Az Adatkezelő mentesül a jelen pontban vállalt kötelezettség alól, ha a pontos személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja a rendelkezésére, vagy az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.
10.5.4. Az érintett joga, hogy kérelmére személyes adatai kezelését az adatkezelő korlátozza
Ezen érintetti jog érvényesülése érdekében az adatkezelő a törvényben meghatározott adatkezelési műveletekre korlátozza az adatkezelést
10.5.5. Az érintett joga, hogy kérelmére személyes adatait az adatkezelő törölje.
Az adatkezelő haladéktalanul törli az érintett személyes adatait, ha az adatkezelés jogellenes, az érintett az adatkezeléshez adott hozzájárulását visszavonja ill. személyes adatainak törlését kérelmezi vagy jogszabály ezt elrendeli.
10.5.6. Az érintett jogosult tiltakozni személyes adatának kezelése ellen, ha a személyes adatok kezelése, vagy továbbítása kizárólag az Adatkezelő, vagy valamely adatátvevő jogának, vagy jogos érdekeinek érvényesítéséhez szükséges; kivéve, ha az adatkezelést törvény rendelte el.
Az Adatkezelő – az adatkezelés egyidejű felfüggesztésével – a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben az érintett tiltakozása alappal bír, az Adatkezelő köteles az adatkezelést megszüntetni, és az adatokat zárolni, és mindazokat értesíteni erről a tényről, akik részére a személyes adatokat korábban továbbította.
Az érintett jogainak megsértése esetén az Adatkezelő ellen bírósághoz, vagy az adatvédelmi hatósághoz fordulhat panasszal, amelynek adatai:
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím. 1125 Budapest, Szilágyi Erzsébet fasor 22/c.
Telefon: 06 – 1 – 391-1400
Fax: 06 – 1- 391-1410
E-mail: [email protected]
Weboldal: www.naih.hu
10.6. Az adatok módosítása és törlése, az adatkezelés időtartama
Az érintett bármikor kérhet felvilágosítást az Adatkezelő által kezelt adatairól, az adatrögzítés időpontjáról, a kezelt adatok köréről, és a rögzítés módjáról.
A Felhasználói fiók megadott adatait a felhasználó bármikor jogosult módosítani (úgy azonban, hogy folyamatban lévő megrendelés esetén a cím, csak abban az esetben kerülhet módosításra, ha a szállítás teljesítését nem befolyásolja).
Az érintett bármikor indokolás és korlátozás nélkül ingyenesen kérheti adatainak módosítását, továbbá azoknak az Adatkezelő adatbázisából való törlését az Adatkezelő jelen ÁSZF 1.1 pontjában megadott elérhetőségén.
Az adatrögzítés során megadott személyes adatok kezelése a rögzítés időpontjában kezdődik, és annak törléséig, illetve a törvényben meghatározott egyéb időpontig tart.
Az adatkezelő a nem regisztrált vásárlók esetén az adatokat a vásárlástól számított 5 évig őrzi. Regisztrált felhasználók esetén ez a regisztráció törléséig, de maximum 5 évig áll fenn.
Az adatkezelő tájékoztatja az érintetteket, hogy vásárlás esetén a Ptk. (2013. évi V. törvény) 6:22. § értelmében a vásárlás napjától számított 5 (öt) évig kezeli a követelések és jogok érvényesítéséhez szükséges adatokat. Szintén vásárlás esetén a számviteli kötelezettségek teljesítése érdekében az adatkezelő a bizonylaton szereplő adatokat a mindenkor hatályos magyarországi számviteli jogszabályokban előírt ideig őrizni köteles.
10.7. Adatbiztonság
Az Adatkezelő kötelezi magát arra, hogy az adatfeldolgozás folyamatában gondoskodik az adatok biztonságáról, és megtesz minden olyan szervezési és technikai intézkedést, amelyek az adatok biztonságos tárolásához szükségesek.
Az adatokat megfelelő technikai eszközzel kell védeni a jogosulatlan hozzáférés, megváltoztatás, jogosulatlan továbbítás, a jogosulatlan nyilvánosságra hozatal, a törlés, vagy megsemmisítés, valamint a véletlenszerű megsemmisülés és sérülés, és az ebből következő hozzáférhetetlenné válás ellen. Olyan technikai védelmi eszközöket szükséges alkalmazni, amellyel – kivéve, ha azt a törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók, és az érintetthez rendelhetők.
A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az adatkezelő, illetve tevékenységi körében az adatfeldolgozó megfelelő módon biztosítja, hogy a nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
A személyes adatok kezelésére az Adatkezelő megbízásából eljáró adatfeldolgozó is jogosult. Az adatkezelő fenntartja a jogot, hogy adatfeldolgozót vonjon be az adatkezelésbe
10.8. Adatvédelmi incidens
Adatvédelmi incidensnek minősül minden olyan esemény, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatkezelő az általa, vagy az általa igénybevett adatfeldolgozó által észlelt adatvédelmi incidenst köteles 72 órán belül bejelenteni a Hatóságnak. Az adatvédelmi incidenst nem kell bejelenteni, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére. A bejelentés tartalmazza az incidens jellegét, – ha lehetséges akkor- az érintettek körét és számát, az érintett adatok körét, a valószínűsíthető következményeket, ill. az Adatkezelő tett vagy tervezett intézkedéseit.
Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja a honlapon való közzététel útján. Mentesül a tájékoztatási kötelezettség alól,
– ha az incidenst megelőzően megfelelő – így különösen az adatokat a jogosulatlan személy általi hozzáférés esetére értelmezhetetlenné alakító, azok titkosítását eredményező – műszaki és szervezési védelmi intézkedéseket alkalmazott,
– ha az adatvédelmi incidensről való tudomásszerzését követően alkalmazott intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
– ha az érintett (1) bekezdés szerinti közvetlen tájékoztatása csak az adatkezelő aránytalan erőfeszítésével lenne teljesíthető, ezért az adatkezelő az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
– amennyiben a jogszabály a tájékoztatást kizárja.
Az adatvédelmi incidensekről az Adatkezelő nyilvántartást vezet.
10.9. A személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően
Az érintett halálát követő öt éven belül a jogszabályban meghatározott adatkezelési műveletek esetén az elhaltat életében megillető jogokat az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal – ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal – meghatalmazott személy jogosult érvényesíteni.
Ha az érintett nem tett megfelelő jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult az elhaltat életében megillető jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak e bekezdés szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
10.10. Záró rendelkezések
A jelen Adatkezelési Szabályzat hatályba lépését a társaság ügyvezetője rendeli el, és az a társaság honlapjára történő feltöltéssel válik hatályossá, ez vonatkozik a szabályzat jövőbeli módosításaira is.