Adatkezelő megnevezése:
név: Váradi Ágota egyéni vállalkozó
székhely: 2800 Tatabánya, Bánhidai ltp. 215.
adószám: 68481757-1-31
Az Adatkezelő elkötelezett ügyfelei és partnerei személyes adatainak védelmében és kiemelten fontosnak tartja az információs önrendelkezési, illetve az érintetti jogok tiszteletben tartását. A személyes adatokat bizalmasan kezeli és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, amely garantálja az adatok biztonságát.
Az alapszabályzat célja, hogy meghatározza az Adatkezelőnél a személyes adatok kezelését, valamint a személyes adatokat tartalmazó manuális vagy számítógépes nyilvántartások kezelésének a rendjét,
– biztosítsa az adatvédelem elveinek és az adatbiztonság követelményeinek az érvényesülését,
– megakadályozza az adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását, jogosulatlan nyilvánosságra hozatalát,
– és szabályozza az Adatkezelő – személyes adatok kezelésére vonatkozó – adatkezelés rendjét,
– az érintetteket a személyes adataik kezelésének körülményeiről tájékoztassa
A tájékoztató a szabályzat nyilvános kivonata.
Személyi és tárgyi hatálya
A tájékoztató személyi hatálya kiterjed az Adatkezelő valamennyi adatkezelést, adatfeldolgozást végző munkavállalójára, az Adatkezelővel szerződéses jogviszonyban álló természetes és jogi személyre, illetve egyéb szervezetre a velük kötött szerződésben, valamint titoktartási nyilatkozatban rögzített mértékben.
A tájékoztató tárgyi hatálya kiterjed az Adatkezelő bármely szervezeti egységénél folytatott valamennyi – személyes adatokat érintő – számítógépes és manuális adatkezelésre, illetve adatfeldolgozásra.
A személyes adatok kezelésére vonatkozó elvek
A személyes adatok:
kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);
az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok
kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”); kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). Az adatkezelő felelős a fenti elveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
A tájékoztató fogalom-meghatározásai:
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„személyes adatok különleges kategóriái”: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. Különleges adatkategóriának minősül továbbá a büntetőjogi felelősség megállapítására, bűncselekményekre vonatkozó személyes adat, valamint fokozott védelem alatt állnak a gyermekek személyes adatai;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
„biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
„tevékenységi központ”:
a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi
tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint
meghatározott kötelezettségek vonatkoznak;
„képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
„vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
„kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó tájékoztató, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
„felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
„érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén
rendelkezik tevékenységi hellyel;
b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a
felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
c) panaszt nyújtottak be az említett felügyeleti hatósághoz;
„személyes adatok határokon átnyúló adatkezelése”:
a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban
tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az
adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
„releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
„az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
„nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.
Az adatkezelés alapjául szolgáló jogszabályok
Az adatkezelésre az alábbi jogszabályok vonatkoznak:
az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR)
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény;
a számvitelről szóló 2000. évi C. törvény;
az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény;
Adatkezelések köre
Az Adatkezelő hírleveleire való feliratkozással kapcsolatos adatkezelése
A kezelt adatok köre és az adatkezelés célja
Az Adatkezelő a hírleveleire (ideértve a szakmai és képzési hírleveleket) való feliratkozók részére szolgáltatásairól küld tájékoztatót, valamint szakmai cikkeket tesz közzé, továbbá szakmai partnerei marketing célú ajánlatait is továbbíthatja.
Személyes adat az adatkezelés célja:
név: a hírlevélre feliratkozó neve a vele történő kapcsolatfelvételhez szükséges
e-mail cím: az e-mail cím az Adatkezelő és a hírlevélre feliratkozó közötti kapcsolattartáshoz szükséges
Az adatkezelés jogalapja: Az adatkezelés jogalapja a hírlevélre feliratkozó hozzájárulása, valamint jogos érdek.
Az adatkezelés időtartama: Az Adatkezelő a személyes adatokat a hírlevélre feliratkozó hozzájárulásának visszavonásáig, illetve jogos érdek alapján kezelt adatai vonatkozásában tiltakozásáig kezeli. A nyilatkozatát a hírlevélre feliratkozó bármikor korlátozás és indokolás nélkül, ingyenesen visszavonhatja az Adatkezelő elérhetőségein, illetve a mindenkori hírlevélben található „Leiratkozás” linkre kattintva, vagy a leiratkozási szándékot e-mailben jelezve az kapcsolat@hazrolhazta.hu e-mail címre megküldött elektronikus levélben.
3.5.4. Adattovábbítás: a 3.5.6 pontban feltüntetett adatfeldolgozók részére.
Adatfeldolgozó
A hírlevélre feliratkozó a hírlevelekre való feliratkozásakor az adatait az Adatkezelő honlapján (www.hazrolhazra.hu) vagy nyereményjátékok sokán adja meg, a hírlevelet a Webgalamb rendszeren keresztül kapja azt meg. Az adatok az Adatkezelő saját tárhely szerverén tárolódnak.
Az Adatkezelő nyereményjátékában (nyereményakciójában) való részvétellel kapcsolatos adatkezelése
A kezelt adatok köre és az adatkezelés célja: Az Adatkezelő az általa szervezett nyereményjátékra jelentkezők személyes adatait a nyereményjáték szervezése, sorsoláson való részvétel biztosítása, nyereményről való értesítés céljából kezeli. A nyereményjáték (nyereményakció) pontos leírását külön tájékoztató rögzíti, amely a nyereményjáték (nyereményakció) meghirdetésétől kezdve elérhető a kiírásban megjelölt linken keresztül pdf. formátumban.
Jellemzően kezelt személyes adatok:
név: a nyereményjátékban résztvevő neve a vele történő kapcsolatfelvételhez szükséges
e-mail cím: az e-mail cím az Adatkezelő és a nyereményjátékban résztvevő közötti kapcsolattartáshoz szükséges
Az adatkezelés jogalapja: Az adatkezelés jogalapja a nyereményjátékban résztvevő hozzájárulása, amely hozzájárulással elfogadja az nyereményjátékban (nyereményakcióban) foglaltakat is.
Az adatkezelés időtartama: Az Adatkezelő a személyes adatokat a nyereményjátékban résztvevő hozzájárulásának visszavonásáig, de legkésőbb a nyereményjáték nyerteseinek kisorsolását követő, a nyereményjáték tájékoztatóa által meghatározott időpontig kezeli. A nyereményjátékban résztvevő a nyilatkozatát bármikor korlátozás és indokolás nélkül, ingyenesen visszavonhatja az Adatkezelő elérhetőségein, illetve a mindenkori hírlevélben található „Leiratkozás” linkre kattintva, vagy a leiratkozási szándékot e-mailben jelezve az kapcsolat@hazrolhazra.hu e-mail címre megküldött elektronikus levélben.
Adattovábbítás: amennyiben a nyereményt nem az Adatkezelő biztosítja, úgy a nyertes adatait a nyereményt biztosító szervezetnek a nyertes hozzájárulása alapján továbbítja.
Szerződéses jogviszonyalapján kezelt személyes adatok
A kezelt adatok köre és az adatkezelés célja
Az Adatkezelővel szerződéses jogviszonyban álló partnerekkel (úm. szolgáltatási szerződés, vállalkozási szerződés, közüzemi szerződés, stb.) való kapcsolattartás érdekében a kapcsolattartó személyes adatainak kezelése.
Személyes adat az adatkezelés célja
kapcsolattartó neve: a kapcsolattartáshoz szükséges
e-mail cím: az e-mail cím az Adatkezelő és a partner közötti kapcsolattartáshoz szükséges
telefonszám: a telefonszám az Adatkezelő és a partner közötti kapcsolattartáshoz szükséges
Az adatkezelés jogalapja: Az Adatkezelő a partner kapcsolattartójának személyes adatait szerződés alapján illetve jogos érdek alapján kezeli.
Az adatkezelés időtartama: Az Adatkezelő a partner kapcsolattartójának személyes adatait a szerződés alapján a szerződés megszűntét követő öt évig tartja nyilván és kezeli, illetve a számlázással kapcsolatban az adatokat a számla kibocsátását követő 8. év december 31-éig.
Adattovábbítás: nincs adattovábbítás
Az Adatkezelőhöz tévesen érkezett küldemények (ún. eltévedt levelek) adatkezelése
A kezelt adatok köre és az adatkezelés célja
Az Adatkezelőhöz tévesen érkezhetnek küldemények, e-mailek, amelyet a feladó például a Házról Házra online magazin, vagy az azt működtető egyéni vállalkozó részére kíván megküldeni, azonban a címzést eltéveszti a címzett hasonló elnevezése és székhelycíme okán. Az adatkezelő ezen leveleket egyéni döntés alapján megsemmisíti, vagy felveszi a kapcsolatot a vélhetően helyes címzettel egyeztetés kapcsán.
Személyes adat az adatkezelés célja
a feladó neve: a feladóval történő kapcsolatfelvételhez szükséges
a feladó címe, e-mail esetén e-mail címe: az Adatkezelő és a feladó közötti kapcsolattartáshoz szükséges
Az adatkezelés jogalapja: Az adatkezelés jogalapja a feladó hozzájárulása, azzal, hogy a küldeményt megküldi az Adatkezelő részére.
Az adatkezelés időtartama: Az eltévedt leveleket az Adatkezelő a küldemény beérkezése napján, de legkésőbb (ha ez munkaidő vége, munkaszüneti nap) a következő munkanapon továbbítja a valódi címzett részére. Az Adatkezelő az adatkezelés kapcsán az adatokat nem rögzíti, nem tartja nyilván.
Tájékoztatás a cookie (süti) alkalmazásáról
Mi az a cookie (süti)?
Az anonim látogatóazonosítók (sütik) olyan fájlok vagy információk, amelyek az érintett felhasználó számítógépén, internetes készülékén, okostelefonján, iPadjén kerülnek tárolásra a Webáruház meglátogatásakor.
Nem alkalmazunk, és nem engedélyezünk a weboldalon olyan sütiket, amelynek eredményeképpen harmadik személyek a felhasználó hozzájárulása nélkül adatokat gyűjthetnek.
Az adatkezelő kizárólag olyan sütiket alkalmaz, amelyekről egyértelműen meg lehet állapítani, hogy a webáruházak milyen adatokat kezelnek a sütin keresztül, illetve milyen célból és mely harmadik személy számára gyűjtenek adatokat. A hatályban lévő adatvédelmi irányelvre épülő 2012/4. számú vélemény (a GDPR 29. cikk szerinti Munkacsoport (WP29) véleménye) alapján a felhasználó által rögzített adatokat tároló sütikről, a hitelesítési munkamenet sütikről, a felhasználóközpontú sütikről, a multimédia-lejátszó munkamenet sütikről, a terheléskiegyenlítő munkamenet sütikről, illetve a felhasználói felület testreszabását segítő munkamenet sütikről az érintettet előzetesen tájékoztatni szükséges, azokhoz az érintett hozzájárulása azonban nem szükséges. Egyéb sütik alkalmazása esetén az érintett előzetes hozzájárulását is be kell szerezni. Az alábbiakban az adatkezelő által alkalmazott sütikről nyújtunk előzetes tájékoztatást:
A weblapon végzett webanalitika
Az adatkezelő a www.hazrolhazra.hu weboldal látogatottságának méréséhez és a látogatók viselkedésének figyeléséhez, statisztikák készítéséhez és hirdetései eredményességéhez a Google Analytics programokat használja.
A fentiekben hivatkozott program a felhasználó számítógépén cookie-kat helyeznek el, amelyek felhasználói adatokat gyűjtenek. Az adatkezelő weboldalaira látogató felhasználók engedélyezik az adatkezelő részére a Google Analytics program használatát és egyúttal hozzájárulnak felhasználói viselkedésük figyeléséhez, követéséhez és a programok által nyújtott valamennyi szolgáltatás igénybevételéhez az adatkezelő részére.
A felhasználónak lehetősége van bármikor a cookie-k adatrögzítését és adattárolást a jövőre vonatkozóan letiltani (ls: cookie-k letiltása). A Google Analytics program beállításai és a program használata teljes mértékben megfelel az adatvédelmi hatóság által megszabott követelményeknek.
A cookie-ról további információ található a Google adatvédelmi és általános szerződési feltételekben. (https://policies.google.com/technologies/cookies?hl=hu )
Az adatkezelő a Google Analytics programot elsősorban statisztikái előállításához használja és méri a kampányai, hirdetései eredményességét. A program használatával az adatkezelő információt szerez arról, hány látogató kereste fel weboldalát és a látogatók mennyi időt töltöttek a weboldalon. A program képes felismeri a látogató IP címét, tudja követni, hogy visszatérő vagy új látogató-e, a látogató milyen utat tett meg a weboldalon és hova lépett be.
Az adatkezelő hirdetéseit külső szolgáltatók is megjelenítik internetes webhelyeken. Az adatkezelő és külső szolgáltatók, például a Google, saját cookie-kat (például a Google Analytics cookie-jait) és harmadik féltől származó cookie-kat (például a DoubleClick cookie-t) használnak együttesen a felhasználók által a felhasználó webhelyén tett korábbi látogatások alapján történő tájékozódásra, illetve a hirdetések optimalizálására és megjelenítésére.
Cookie-k letiltása
Ha felhasználóként a cookie beállításait szeretné kezelni, vagy letiltani a funkcióról azt a saját felhasználói számítógépéről megteheti böngészőjében. A saját böngésző eszköztárától függően található meg a cookie-k/sütik/követési funkciók elhelyezkedései, általában az Eszközök azon belül a Beállítások azon belül az Adatvédelem beállításai cím alatt állíthatja be milyen követési funkciókat engedélyez/tilt meg a számítógépén.
Azok a felhasználók, akik nem szeretnék, hogy a Google Analytics jelentést készítsen a látogatásukról, telepíthetik a Google Analytics letiltó böngészőbővítményt, amely a Google Analytics letiltó oldalán érhető el (https://tools.google.com/dlpage/gaoptout) és telepíteni kell a bővítményt a saját böngészőhöz. A bővítmény telepítéséről és eltávolításáról további tájékoztatásért tekintse meg az adott böngészőhöz tartozó súgót.
Az adatokhoz való hozzáférés és az adatbiztonsági intézkedések, incidensek kezelése
Az adatokhoz való hozzáférés és az adattovábbítás
Az érintett által megadott személyes adatokhoz az Adatkezelő fér hozzá a feladata ellátása érdekében. Az Adatkezelő jogosult a személyes adatokat továbbítani, ha azt jogszabály előírja. Ilyen eset például a hatósági ellenőrzés.
Az Adatkezelő a fentiekben kifejezetten nevesített jogszabályi kötelezettségek teljesítésén túl csak kivételes esetben adhatja át a személyes adatokat állami szervek számára. Ilyen például, amennyiben az érintettet érintő ügyben bírósági eljárás indul, és az eljáró bíróság számára szükséges az érintett személyes adatait tartalmazó iratok átadása; a rendőrség megkeresi az Adatkezelőt és a nyomozáshoz az érintett személyes adatait tartalmazó iratok továbbítását kéri.
Adatvédelmi rendszer
Az Adatkezelő sajátosságainak figyelembe vételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységekre vonatkozó feladat- és hatásköröket, kijelöli az adatkezelés felügyeletét ellátó személyt.
Az Adatkezelő adatvédelmi rendszerének felügyeletét az Adatkezelő maga látja el, mint adatvédelmi tisztviselő:
Adatbiztonsági szabályok
Fizikai védelem
A papíralapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza:
a dokumentumokat jól zárható, száraz, tűz- és vagyonvédelmi előírásoknak megfelelő szekrényben helyezi el,
amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági rendelkezéseket alkalmazza az Adatkezelő.
Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy az Adatkezelő intézkedik a papír megsemmisítéséről az iratkezelési tájékoztatónak megfelelően.
Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy a fizikai eszköz megsemmisítésére a papíralapú adatkezelésre vonatkozó megsemmisítési szabályok irányadóak.
Informatikai védelem
A számítógépen illetve a hálózaton tárolt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket és garanciális elemeket alkalmazza:
az adatkezelés során használt számítógépek az Adatkezelő tulajdonát képezik,
amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje eltelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető,
a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos mentéssel kerüli el az Adatkezelő az adatvesztést, a mentés a szerver teljes adatállományára vonatkozik,
a hálózat vírusvédelméről az Adatkezelő folyamatosan gondoskodik,
a személyes adatokat tartalmazó szoftverek a személyre szóló, azonosítható jogosultsággal védettek, az adatok módosítását naplózza a szoftver.
Adatbiztonsági intézkedések
Az Adatkezelő az érintett által megadott személyes adatokat az Adatkezelő székhelyén található szerverén tárolja.
Az Adatkezelő megfelelő intézkedésekkel gondoskodik arról, hogy a személyes adatait védjük többek között a jogosulatlan hozzáférés vagy azok jogosulatlan megváltoztatása ellen. Így például a szerveren tárolt személyes adatokhoz való hozzáférést az Adatkezelő naplózza, vagyis mindig ellenőrizhető, ki, mikor, milyen személyes adataihoz fért hozzá.
Az Adatkezelő a személyes adatok kezeléséhez a szolgáltatási nyújtása során alkalmazott informatikai eszközöket úgy választja meg, és akként üzemelteti, hogy a kezelt személyes adatok az arra feljogosítottak részére hozzáférhetővé (rendelkezésre állás), hitelessége biztosított legyen (adatkezelés hitelessége), a változatlanságukat igazolni tudja (adatintegritás), illetve a jogosulatlan hozzáférése ellen védje (adat bizalmassága).
Az Adatkezelő a különböző nyilvántartásaiban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a tárolt adatok közvetlenül ne legyenek összekapcsolhatóak.
Az adatvédelmi incidensek kezelése
Az 1. pont fogalom-meghatározása szerint az incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Mi minősülhet adatvédelmi incidensnek? Ilyen eset lehet olyan technikai eszköznek pl. laptopnak, vagy mobiltelefonnak az elvesztése, amin személyes adatok is szerepelnek, de akár ilyen egy személyes adatot tartalmazó levél illetéktelennek való téves megküldése, vagy személyes adatokat tartalmazó iratok megsemmisítés nélküli szemetesbe helyezése, zsarolóprogram támadása, adatvesztés vagy a tárolt személyes adatokhoz való jogosulatlan hozzáférés stb.
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, így többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a személyazonosság-lopást, személyazonossággal való visszaélést, pénzügyi veszteséget, jó hírnév sérelmét, adatok bizalmas jellegének sérülését, stb.
Fentiek alapján amint az Adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül és ha lehetséges legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem történik meg, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az adatvédelmi incidensről szóló bejelentésben legalább:
ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
közölni kell a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségét;
ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az adatvédelmi incidens súlyossága értékelésének fő kritériumai:
az adatkezelési környezet vizsgálata, amely a megsérült adatok fajtáját veszi górcső alá beleértve az adatkezelés valamennyi körülményét;
az azonosíthatóság mértékének meghatározása, amely azt tárja fel, hogy az incidenssel érintett adatokból mennyire könnyen lehet az érintettek azonosítását elvégezni;
a sérülés körülményeinek leírása, amely elsősorban a megsérült adat biztonságának csökkenését, illetve a rosszindulatú támadásra és szándékosságra irányuló jeleket vizsgálja.
A veszély súlyosságát a három fenti kritérium szerint osztályozzuk.
A vizsgálat eredményeként az adatvédelmi incidens súlyossága alacsony, közepes, magas vagy nagyon magas fokozatát állapíthatjuk meg.
Az Adatkezelő az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezet.
A nyilvántartás tartalmazza: az adatvédelmi incidens
időpontját,
az érintett szervezeti egységet,
az észlelés releváns körülményeit,
érintett személyes adatok körét,
érintettek körét és számát,
körülmények leírását,
hatásait,
elhárítására tett intézkedések leírását,
az értesítési folyamat (érintett és hatóság) megindításának időpontját, módját és kötelezettség teljesítésének idejét.
A magánszemély adatkezeléssel kapcsolatos jogai
Az átlátható tájékoztatáshoz való jog
Az érintett az 1. pontban megadott elérhetőségeken keresztül írásban tájékoztatást kérhet az Adatkezelőtől, hogy az Adatkezelő tájékoztassa:
milyen személyes adatait;
milyen jogalapon;
milyen adatkezelési cél miatt;
milyen forrásból;
mennyi ideig kezeli;
az Adatkezelő kinek, mikor, milyen jogszabály/jogalap alapján, milyen személyes adataihoz biztosított hozzáférést, vagy kinek továbbította a személyes adatit;
harmadik országba történő adattovábbítás tényéről, illetve garanciáiról;
jogairól;
történt-e automatizált döntéshozatal, profilalkotás.
Az Adatkezelő tömören, átláthatóan, érthetően, könnyen hozzáférhető formátumban, világosan és közérthető módon, ingyenesen tájékoztatja az adatkezelés körülményeiről illetve az érintettet megillető jogosultságokról. Az Adatkezelő az érintett kérelmét legfeljebb 30 napon belül, az érintett által megadott elérhetőségekre – a kérelmével megegyező módon – küldött levélben teljesíti.
Amennyiben az Adatkezelő nem képes eleget tenni a kérésének, 30 napon belül tájékoztatnia kell az érintettet, egyben informálni azon jogáról, hogy bírósághoz fordulhat vagy kérheti a Nemzeti Adatvédelmi és Információszabadság Hatóság eljárását.
Amennyiben a válaszadás teljesítésére hosszabb határidő szükséges, úgy az Adatkezelő 60 nappal meghosszabbíthatja a válaszadás teljesítését, azonban erről és a késedelem konkrét okáról tájékoztatja az érintettet.
A helyesbítéshez való jog
Az érintett az 1. pontban megadott elérhetőségeken keresztül írásban kérheti, hogy az Adatkezelő módosítsa valamely személyes adatát (például az e-mailcímét, postai elérhetőségét). Az Adatkezelő a kérelmét legfeljebb 30 napon belül teljesíti és erről az érintett által megadott elérhetőségre küldött levélben értesíti.
A hozzáférés joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e. Amennyiben folyamatban van, jogosult arra, hogy a személyes adataihoz és a következő információkhoz hozzáférést kapjon:
adatkezelés céljai,
az érintett személyes adatok kategóriái,
azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket és a nemzetközi szervezeteket.
adott esetben a személyes adatok tárolásának tervezett időtartama, ezen időtartam meghatározásának szempontjai,
az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen személyes adatok kezelése ellen,
a valamely felügyeleti hatósághoz címzett panasz benyújtásának a joga,
ha az adatokat nem az érintettől gyűjtötte az Adatkezelő, a forrására vonatkozó minden elérhető információ,
profilalkotás esetén alkalmazott logika és az arra vonatkozó információk, hogy ezen adatkezelés milyen jelentőséggel bír és az érintettekre vonatkozóan milyen várható következményekkel jár.
Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken
alapuló, ésszerű mértékű díjat számíthat fel. Az érintett kérelmére az információkat az Adatkezelő elektronikus formában szolgáltatja.
Az elfeledtetéshez való jog
Azt jelenti, hogy bizonyos személyes adatok ne vagy csak nehezen legyenek elérhetőek. Az érintett jogosult, azt Adatkezelő pedig köteles arra, hogy kérésére az Adatkezelő az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok közül valamelyik fennáll:
a személyes adatára nincsen szükség abból a célból, amelyből az Adatkezelő azt beszerezte, illetve kezelte;
az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja, illetve a 9. cikk (2) bekezdésének a) pontja értelmében az adatai kezeléséhez való hozzájárulását és az adatkezelésnek nincsen más jogalapja;
az érintett tiltakozik a GDPR 21. cikk (1) bekezdése alapján az adatai kezelése ellen és nincsen elsőbbséget élvező jogszerű ok az adatai kezelésére;
a személyes adatait az Adatkezelő jogellenesen kezelte;
a személyes adatait az Adatkezelőre alkalmazandó uniós vagy hazai jogban előírt kötelezettség teljesítéséhez törölni kell.
A beérkezett törlési kérelem alapján az Adatkezelő – a kérelmező beazonosítását követően – megvizsgálja, hogy az adatkezelésnek mi a pontos jogalapja. Amennyiben a kezelt személyes adat jogérvényesítéshez vagy hatóság felé történő kötelezettség teljesítéséhez szükséges, úgy az adatkezelés jogi kötelezettség teljesítése, illetve jogos érdek alapján folytatható. Ilyen eset például az, ha a számviteli jogszabályban foglalt határidő még nem telt le.
Az érintett az 1. pontban megadott elérhetőségeken keresztül írásban kérheti, hogy az Adatkezelőtől a személyes adatainak törlését.
Amennyiben törlési kérelme nem ütközik jogszabályi előírásba, akkor az Adatkezelő az érintett kérelmét legfeljebb 30 napon belül teljesíti, és erről az érintett által megadott elérhetőségre küldött levélben értesíti.
Adathordozhatósághoz való jog
Az érintett jogosult az adatkezelő rendelkezésére bocsátott adatait megkapni:
tagolt, széles körben használt, géppel olvasható formátumban
jogosult más adatkezelőhöz továbbítani
kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz – ha ez technikailag megvalósítható.
Ez a joga akkor gyakorolható, ha az adatokat az Adatkezelőnél automatizált módon történik az adatkezelés, és az Adatkezelő az adatokat az érintett hozzájárulása vagy a szerződéses jogalap alapján kezeli.
Az adathordozást követően az Adatkezelő köteles törölni az adatokat, ha az érintett úgy rendelkezik, hogy már kizárólag az új adatkezelő szolgáltatásait kívánja használni. Ellenkező esetben az eredeti feltételek mellett tárolhatja az adatokat az Adatkezelő is.
Az adathordozhatósághoz való jogot az érintett úgy gyakorolhatja, hogy azt kérelemben jelzi és az Adatkezelő a megadott e-mailcímre továbbítja a hordozni kívánt személyes adatait. Az adatok adathordozóra való kiírását az Adatkezelő adatbiztonsági okokból nem teljesíti.
Az adatkezelés korlátozása
Korlátozás esetén a személyes adatokat pusztán tárolni lehet, egyéb adatkezelés kizárólag az érintett hozzájárulása, jogi igény előterjesztése céljából, illetve közérdekből történhet.
Kérésére az Adatkezelő korlátozza személyes adatai kezelését, amennyiben:
az érintett vitatja a személyes adatai pontosságát (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg az Adatkezelő ellenőrzi a kezelt adatok pontosságát) );
az adatkezelés jogellenes és az érintett az adatai törlését ellenzi azok felhasználásának korlátozását kérelmezi;
az Adatkezelőnek már nincsen szüksége a személyes adataira adatkezelés céljából, azonban az érintett igényli azokat jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez;
az érintett tiltakozott az adatkezelés ellen, ez esetben arra az időtartamra vonatkozik, amíg megállapításra kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
A tiltakozáshoz való jog
Az érintett tiltakozhat személyes adatának kezelése ellen, ha
a személyes adatok kezelése vagy továbbítása kizárólag az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
törvényben meghatározott egyéb esetben.
Az Adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről az érintettet írásban tájékoztatja. Ha az Adatkezelő a tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:
Nemzeti Adatvédelmi és Információszabadság Hatóság Székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C. Honlap: www.naih.hu
Amennyiben az érintett az Adatkezelőnek a meghozott döntésével nem ért egyet, az ellen – annak közlésétől számított 30 napon belül – bírósághoz fordulhat. Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. (http://birosag.hu/ugyfelkapcsolati-portal/illetekessegkereso )
Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti. Az Adatkezelő mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
Tatabánya, 2020.04.27
Váradi Ágota
egyéni vállalkozó