Katkashop.hu Adatkezelési tájékoztató

Bevezetés

A Katka Kft. (Székhely: [címed], Adószám: [adószámod], Cégjegyzékszám/nyilvántartási szám: [számod], a továbbiakban: Szolgáltató vagy Adatkezelő) jelen adatvédelmi szabályzatban rögzíti az általa végzett adatkezelési tevékenység alapelveit.

A Szolgáltató tevékenységét az alábbi rendelet előírásainak megfelelően végzi:

  • Az Európai Parlament és a Tanács (EU) 2016/679 számú rendelete (általános adatvédelmi rendelet, GDPR),
    amely a természetes személyek személyes adatainak védelmét és az ilyen adatok szabad áramlását szabályozza.

Ez a szabályzat a következő weboldalon/mobilalkalmazáson történő adatkezelésekre vonatkozik:

https://katkashop.hu

Az adatkezelési tájékoztató folyamatosan elérhető az alábbi linken:

https://katkashop.hu/adatvedelem

A Szolgáltató fenntartja magának a jogot, hogy a jelen szabályzatot bármikor módosítsa. A módosítások a közzététel időpontjától érvényesek.

Az adatkezelő és elérhetőségei

Név:
Székhely:
Email:
Telefon:

Fogalom meghatározások

  1. Személyes adat:
    Minden olyan információ, amely egy azonosított vagy azonosítható természetes személyre (továbbiakban: Érintett) vonatkozik. Az Érintett akkor tekinthető azonosíthatónak, ha közvetlenül vagy közvetve, például név, azonosítószám, helymeghatározó adat, online azonosító, vagy a természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi azonosságára utaló tényezők alapján beazonosítható.
  2. Adatkezelés:
    Bármilyen művelet vagy műveletek összessége, amelyet személyes adatokon végeznek, akár automatizált, akár nem automatizált módon. Ide tartozik például az adatok gyűjtése, rögzítése, rendszerezése, tárolása, átalakítása, megváltoztatása, lekérdezése, betekintése, felhasználása, továbbítása, terjesztése, más módon történő hozzáférhetővé tétele, összehangolása, korlátozása, törlése vagy megsemmisítése.
  3. Adatkezelő:
    Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szervezet, aki vagy amely önállóan, vagy másokkal együtt meghatározza a személyes adatok kezelésének célját és módját. Ha az adatkezelés célját és módját uniós vagy tagállami jog írja elő, akkor az adatkezelőre vonatkozó szabályokat is ezek határozzák meg.
  4. Adatfeldolgozó:
    Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, aki az adatkezelő megbízásából személyes adatokat kezel.
  5. Címzett:
    Bármely természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, akivel személyes adatot közölnek, függetlenül attól, hogy harmadik félnek minősül-e. Nem minősülnek címzettnek azok a közhatalmi szervek, amelyek jogszabály alapján, egyedi vizsgálat keretében férnek hozzá személyes adatokhoz; az ilyen adatkezelésük külön jogszabályok hatálya alá tartozik.
  6. Az érintett hozzájárulása:
    Az Érintett önkéntesen, egyértelmű tájékoztatás birtokában adott, konkrét és világos nyilatkozata vagy egyértelmű cselekedete, amellyel kifejezi beleegyezését az őt érintő személyes adatok kezeléséhez.
  7. Adatvédelmi incidens:
    Olyan biztonsági esemény, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy hozzáférését eredményezi.

A személyes adatok kezelésére vonatkozó elvek

A vállalkozás kijelenti, hogy a személyes adatok kezelése során az alábbi elveket tartja be:

  1. Jogszerűség, tisztesség és átláthatóság
    A személyes adatokat mindig jogszerűen, tisztességesen és az érintettek számára átlátható módon kezeljük.
  2. Célhoz kötöttség
    Adatokat kizárólag meghatározott, világos és jogszerű célból gyűjtünk, és azokat nem használjuk fel ettől eltérő módon. Kivételt képez, ha az adatok közérdekű archiválás, tudományos vagy történelmi kutatás, illetve statisztikai célból kerülnek további feldolgozásra – ebben az esetben ez nem számít az eredeti céltól való eltérésnek.
  3. Adattakarékosság
    Csak olyan adatokat kezelünk, amelyek az adott cél eléréséhez valóban szükségesek, és ezekre korlátozzuk az adatkezelést.
  4. Pontosság
    Az általunk kezelt adatoknak pontosnak és – ha szükséges – naprakésznek kell lenniük. Minden ésszerű lépést megteszünk annak érdekében, hogy a hibás vagy pontatlan adatokat javítsuk vagy töröljük.
  5. Korlátozott tárolhatóság
    A személyes adatokat csak addig őrizzük meg, ameddig az adatkezelés céljai ezt indokolják. Hosszabb ideig kizárólag akkor tároljuk őket, ha az adatkezelés tudományos, történelmi vagy statisztikai célból történik, és megfelelő technikai, szervezési védelmi intézkedésekkel történik.
  6. Integritás és bizalmasság
    Az adatokat olyan módon kezeljük, hogy azok megfelelő védelemben részesüljenek – ideértve a jogosulatlan hozzáférés, jogellenes felhasználás, véletlen elvesztés, megsemmisülés vagy károsodás elleni védelmet is.
  7. Elszámoltathatóság
    Adatkezelőként teljes felelősséget vállalunk a fenti elvek betartásáért, és szükség esetén képesek vagyunk igazolni, hogy adatkezelésünk ezeknek megfelel.

A vállalkozás nyilatkozik, hogy minden adatkezelési tevékenysége a fenti alapelvek szerint zajlik.

Adatkezelés a webáruház működtetésével / a szolgáltatás igénybevételével összefüggésben

1) A kezelt adatok köre, célja és jogalapja

Felhasználónév – azonosítás és a regisztráció lehetővé tétele.

Jogalap: GDPR 6. cikk (1) a) pont (hozzájárulás).

Jelszó – a felhasználói fiókhoz történő biztonságos hozzáférés biztosítása.

Jogalap: GDPR 6. cikk (1) a) pont.

Vezetéknév, keresztnév – kapcsolattartás, vásárlás lebonyolítása, szabályszerű számlázás, elállási jog gyakorlása.

Jogalap: GDPR 6. cikk (1) b) pont (szerződés teljesítése).

E-mail cím – kapcsolattartás a rendeléssel kapcsolatban.

Jogalap: GDPR 6. cikk (1) b) pont.

Telefonszám – gyors egyeztetés számlázási vagy szállítási kérdésekben.

Jogalap: GDPR 6. cikk (1) b) pont.

Számlázási név és cím – számla kiállítása, a szerződés létrehozása és teljesítésének nyomon követése, díjak számlázása, követelések érvényesítése.

Jogalap: GDPR 6. cikk (1) c) pont, a számvitelről szóló 2000. évi C. tv. 169. § (2).

Szállítási név és cím – a házhozszállítás teljesítése.

Jogalap: GDPR 6. cikk (1) b) pont.

A vásárlás/regisztráció időpontja – technikai naplózás.

Jogalap: Elker tv. 13/A. § (3).

A vásárlás/regisztráció kori IP-cím – technikai naplózás és biztonság.

Jogalap: Elker tv. 13/A. § (3).

2) Érintettek köre

Minden olyan természetes személy, aki a webáruházban regisztrál és/vagy vásárol. A felhasználónév és e-mail cím nem köteles személyes adatot tartalmazni.

3) Megőrzési idők, törlés

Az adatokat az érintett törlési kérelméig kezeljük, ha a GDPR 17. cikk (1) szerinti feltételek bármelyike fennáll. Törlésről a GDPR 19. cikk szerint elektronikusan értesítünk.

Kivétel: a számviteli bizonylatokat a 2000. évi C. tv. 169. § (2) alapján 8 évig meg kell őrizni (olyan formában, hogy visszakereshetők legyenek).

A szerződéses igények adatai a polgári jogi elévülési idő letelte után törölhetők az érintett kérelmére.

4) Hozzáférők, címzettek

A személyes adatokhoz az adatkezelő és az arra jogosult munkatársai férhetnek hozzá, az adatkezelési alapelvek tiszteletben tartásával.

5) Az érintett jogai

Az érintett kérheti személyes adatainak hozzáférését, helyesbítését, törlését, kezelésének korlátozását, valamint élhet adathordozhatósági jogával, és a hozzájárulást bármikor visszavonhatja.

6) Jogok gyakorlásának módja (elérhetőségek)

– Postai cím: ……………

– E-mail: ……………

– Telefonszám: ……………

7) Az adatkezelés jogalapjai összefoglalva

  1. GDPR 6. cikk (1) b) pont – szerződés teljesítése / szerződéskötést megelőző lépések.
  2. Elker tv. 13/A. § (3) – a szolgáltatás nyújtásához technikailag elengedhetetlen adatok kezelése.
  3. GDPR 6. cikk (1) c) pont – jogi kötelezettség teljesítése (számlázási kötelezettség).
  4. Polgári Törvénykönyv 2013. évi V. tv. 6:22. § – követelések 5 éves általános elévülése.

8) További tájékoztatás

– Az adatkezelés a szerződés teljesítéséhez és – ajánlatkérés esetén – ajánlattételhez szükséges.

– A személyes adatok megadása szükséges a rendelés feldolgozásához és kézbesítéséhez.

– Az adatszolgáltatás elmaradása esetén a megrendelést nem tudjuk teljesíteni.

Cookie-k (sütik) kezelése

1. Milyen sütikhez nem kell előzetes hozzájárulás?

A webáruház működéséhez elengedhetetlen sütik – pl. jelszóval védett munkamenet, bevásárlókosár, biztonsági és egyéb szükséges/funkcionális sütik, valamint a webhely alapvető statisztikáját biztosító technikai sütik – előzetes hozzájárulás nélkül is használhatók.

2. Kezelt adatok köre

Egyedi azonosító(k), dátum/időbélyeg(ek), esetenként eszköz- és munkamenet-információk.

3. Érintettek köre

Minden látogató és felhasználó, aki a weboldalt megnyitja és használja.

4. Célok

Felhasználói azonosítás és munkamenet-kezelés, a kosár és bejelentkezés működtetése, látogatói viselkedés alapú statisztika, valamint a felület működésének testreszabása.

5. Időtartam és jogalap – összefoglaló

Süti típusa

Jogalap

Időtartam

Munkamenet / elengedhetetlen sütik

a szolgáltatás nyujtásához szükséges működés

a böngésző bezárásáig

Statisztikai, marketing sütik

GDPR 6. cikk (1) a) hozzájárulás

a süti tájékoztatóban megadott 1 naptári év, vagy a hozzájárulás visszavonásáig

6. Ki férhet hozzá az adatokhoz?

Az adatkezelő és az arra feljogosított munkatársai, a vonatkozó adatvédelmi elvek betartásával.

7. Érintetti jogok a sütik kapcsán

A böngésződ beállításaiban bármikor törölheted vagy letilthatod a sütiket. A hozzájáruláson alapuló sütikhez adott engedélyed bármikor visszavonható a süti-beállítások felületen: ……………

8. Böngésző beállítások – hasznos súgók

  • Chrome: https://support.google.com/chrome/answer/95647?hl=hu
  • Edge/IE: https://support.microsoft.com/hu-hu/help/17442/windows-internet-explorer-delete-manage-cookies
  • Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn
  • Safari: https://support.apple.com/hu-hu/guide/safari/sfri11471/mac

Megjegyzés: A ténylegesen használt sütik köre attól függ, milyen szolgáltatásokat kapcsolsz be a webáruházban (pl. fizetési megoldás, chat, analitika). A hozzájárulás nélküli sütik köre csak a működéshez feltétlenül szükséges elemekre korlátozódik.

Süti-lista (kategória • név • cél • lejárat)

(Az alábbi felsorolás a jelenlegi beállításoknak megfelelő minta. Ha valamely szolgáltatást nem használod, a hozzá tartozó sütiket töröld a listából. Ha új szolgáltatót vezetsz be, vedd fel ide a sütijeit.)

Szükséges

  • _cfuid — … (Cloudflare szolgáltatás: terheléselosztás, tartalomkézbesítés, DNS) — munkamenet
  • __jid — … (Disqus belépés) — munkamenet
  • PHPSESSID — munkamenet állapot — munkamenet
  • device — eszköztípus (desktop/mobil/tablet) — munkamenet
  • JSESSIONID — munkamenet állapot — munkamenet
  • auroraOverlay — beléptetés/hirdetés oldal megjelenítésének jelzése — 1 nap
  • customer_group — vásárlói csoport — 1 nap
  • customer_logged_in — be van-e jelentkezve — 1 nap
  • currency — választott pénznem — 30 nap
  • admin_logged_in — admin belépés ellenőrzése — 1 nap
  • wishlist — kívánságlista — 1 hónap
  • token — admin azonosító — 1 óra
  • auroraMarketingCookieAccepted — marketing sütikhez adott hozzájárulás — 1 év
  • __zlcmid — chat (ZopIM) — 1 év
  • ba_test — Barion biztonságos tranzakció — munkamenet
  • ba_vid — fizetési ablak működéséhez — munkamenet
  • auroraNanobarAccepted — nanobar elfogadás — 1 év
  • _pfbsesid / _pfbuid / _prefixboxVariant — Prefixbox kereső — 1 nap

Statisztikai

  • _ga — Google Analytics azonosító — 2 év
  • _gat — lekérések szabályozása — munkamenet
  • _gid — GA azonosító — munkamenet
  • __utmz — forgalmi forrás/útvonal — 6 hónap
  • __utma — látogatásszám/időpontok — 2 év
  • __utmb, __utmc — munkamenet kezdete/vége — munkamenet
  • disqus_unique — Disqus statisztika — 1 év
  • PREF — YouTube használati statisztika — 8 hónap
  • YSC — megtekintett videók statisztika — munkamenet

Marketing

  • __utmv — egyedi GA szegmentálás — 2 év
  • fr — Facebook hirdetések — 3 hónap
  • impression.php/# — Facebook megjelenések — munkamenet
  • NID — eszköz azonosítása, célzott hirdetés — 6 hónap
  • VISITOR_INFO1_LIVE — YouTube sávszélesség becslés — 179 nap
  • tr — Facebook személyre szabás — munkamenet
  • ads/ga-audiences — Google Ads remarketing — munkamenet
  • OptiMonkShopAttributes / optiMonkClientId / om-country / optiMonkEmbedded133806 / OptiMonkVisitorAttributes / OptiMonkVisitorCart / optiMonkClient / optiMonkSession — OptiMonk kampányok és kosárhoz kötött ajánlatok — 1 év / 4 év / 14799 nap / munkamenet (szolgáltató szerint)
  • cdv / s / xp / scarab.mayAdd / scarab.profile / scarab.visitor — Scarab termékajánló, érdeklődés feltérképezése — munkamenet / 1 év
  • facebookpixel_purchase_* — Facebook konverziókövetés — 1 hét
  • _aku — Árukereső Megbízható Bolt azonosító — ……………

Hozzájárulás módosítása / visszavonása: …………… (link a süti beállításokra)

Utolsó frissítés: ……………

Google Ads konverziókövetés használata

  1. Az adatkezelő a Google Ads online hirdetési rendszert használja, és ennek keretében igénybe veszi a Google konverziókövetési szolgáltatását (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google”).
  2. Ha a Felhasználó Google-hirdetésre kattintva éri el a weboldalt, a böngésző egy, konverziókövetéshez szükséges sütit kap. Ez a süti rövid élettartamú, személyes adatot nem tartalmaz, a Felhasználó személy szerint nem azonosítható belőle.
  3. Amennyiben a Felhasználó a süti lejárata előtt a weboldal bizonyos oldalaira ellátogat, a Google és az adatkezelő látja, hogy a Felhasználó a hirdetésre kattintott.
  4. Minden Ads-ügyfél eltérő sütit kap; az egyes hirdetőknél keletkező sütik egymás webhelyein nem követhetők.
  5. A konverziós sütikből származó adatok célja, hogy a Google összesített konverziós statisztikát készítsen az Ads-ügyfeleknek (pl. hány felhasználó kattintott a hirdetésre és jutott el a konverziós oldalra). Személyazonosításra alkalmas információt a hirdetők nem kapnak.
  6. Ha nem kíván részt venni a konverziókövetésben, a sütik mentését a böngésző beállításaiban letilthatja; ebben az esetben nem jelenik meg a konverziós statisztikákban.
  7. A Google Consent Mode v2 szerint a Google két új hozzájárulás-alapú jelzést is használ: ad_user_data és ad_personalization. Előbbi a hirdetési célú adattovábbításhoz, utóbbi a hirdetések személyre szabásához (pl. remarketing) kapcsolódik. Az adatkezelő a cookie-banner / beállítási panel segítségével beszerzi és kezeli a szükséges hozzájárulásokat (és azok visszavonását). A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
  8. További tájékoztatás és a Google adatvédelmi nyilatkozata: https://policies.google.com/privacy

A Google Analytics alkalmazása

  1. A webhely a Google Analytics webelemző szolgáltatást használja (Google LLC). A szolgáltatás sütiket alkalmaz, amelyek a Felhasználó webhely-használatáról segítenek elemzést készíteni.
  2. A sütik által generált információk rendszerint a Google USA-beli szervereire kerülnek. IP-anonimizálás bekapcsolása esetén a Google a Felhasználó IP-címét az EU-n / EGT-n belül előzetesen lerövidíti.
  3. Teljes IP-cím továbbítására az USA-ba csak kivételes esetben kerül sor. A Google a webhely-üzemeltető megbízásából a kapott adatokat a használat kiértékelésére, jelentések készítésére és további, webhely- és internethasználathoz kapcsolódó szolgáltatások nyújtására használja.
  4. A Google Analyticsen belül a böngésző által továbbított IP-címet a Google nem kapcsolja össze más adataival. A sütik használata a böngészőben tiltható, de ez a webhely egyes funkcióit korlátozhatja. A Google általi adatgyűjtés és -feldolgozás megakadályozható a következő böngésző-kiegészítővel: https://tools.google.com/dlpage/gaoptout?hl=hu

Hírlevél, DM tevékenység — hozzájárulás alapján

  1. A 2008. évi XLVIII. törvény 6. §-a alapján a Felhasználó előzetesen és kifejezetten hozzájárulhat, hogy a Szolgáltató a regisztrációkor megadott elérhetőségein reklám- és hírlevél-üzenetekkel megkeresse.
  2. A Felhasználó e tájékoztató figyelembevételével hozzájárulhat ahhoz is, hogy a Szolgáltató a hírlevelek és ajánlatok küldéséhez szükséges személyes adatait kezelje.
  3. A Szolgáltató nem küld kéretlen kereskedelmi üzenetet. A Felhasználó bármikor, indokolás és költség nélkül leiratkozhat; ekkor a Szolgáltató törli az ajánlatküldéshez szükséges személyes adatait, és nem küld további reklámot. A leiratkozás az üzenetekben elhelyezett hivatkozással is kezdeményezhető.
  4. Az adatgyűjtés ténye, a kezelt adatok köre és célja (hírlevél):
    • Név: …………… — cél: személyes megszólítás, szegmentálás
    • E-mail cím: hírlevelek és ajánlatok küldése — jogalap: hozzájárulás (GDPR 6. cikk (1) a))
    • Egyéb, önként megadott adat: …………… — cél: ……………
    • Leiratkozás időpontja: …………… — cél: jogalap és megfelelőség igazolása:
      • Név, e-mail cím – azonosítás, a hírlevélre / akciós kuponokra való feliratkozás lehetővé tétele.
        Jogalap: hozzájárulás (GDPR 6. cikk (1) a)), valamint a 2008. évi XLVIII. törvény 6. § (5).
      • Feliratkozás időpontja – technikai / adminisztratív naplózás.
        Jogalap: hozzájárulás (GDPR 6. cikk (1) a)).
      • Feliratkozáskor használt IP-cím – technikai / biztonsági naplózás.
        Jogalap: hozzájárulás (GDPR 6. cikk (1) a)).

      Érintettek köre: minden olyan személy, aki hírlevelünkre feliratkozik.

      Cél: reklámot tartalmazó elektronikus üzenetek (e-mail, SMS, push) küldése; információ aktuális hírekről, termékekről, akciókról, új funkciókról stb.

      Megőrzés: a hozzájárulás visszavonásáig (leiratkozás / törlési kérelem), illetve a hírlevél-szolgáltatás megszűnéséig.

      Hozzáférők / címzettek: az adatkezelő és annak értékesítési / marketing munkatársai, a fenti alapelvek tiszteletben tartásával.

      Érintetti jogok: hozzáférés, helyesbítés, törlés, adatkezelés korlátozása, adathordozhatóság, hozzájárulás visszavonása bármikor.

      Jogok gyakorlása (elérhetőségek):

      – Postai cím: ………………

      – E-mail: ………………

      – Telefon: ………………

      Leiratkozás: bármikor, ingyenesen — a hírlevelekben található hivatkozással is.

      Tájékoztatás:

      • Az adatkezelés hozzájáruláson alapul.
      • A megadás önkéntes, de nélküle nem tudunk hírlevelet küldeni.
      • A hozzájárulás visszavonása a korábbi (visszavonás előtti) adatkezelés jogszerűségét nem érinti.

Panaszkezelés

Kezelt adatok, cél, jogalap

  • Vezetéknév, keresztnév – azonosítás, kapcsolattartás.
    Jogalap: jogi kötelezettség teljesítése (GDPR 6. cikk (1) c)); fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7).
  • E-mail cím – kapcsolattartás.
    Jogalap: jogi kötelezettség (GDPR 6. cikk (1) c)).
  • Telefonszám – kapcsolattartás / egyeztetés.
    Jogalap: jogi kötelezettség (GDPR 6. cikk (1) c)).
  • Számlázási név és cím – azonosítás; a megrendelt termékkel kapcsolatos minőségi kifogások, kérdések, panaszok kezelése.
    Jogalap: jogi kötelezettség (GDPR 6. cikk (1) c)); 1997. évi CLV. 17/A. § (7).

Érintettek köre: minden vásárló, aki minőségi kifogást tesz / panaszt nyújt be.

Megőrzés: a panaszról felvett jegyzőkönyv, átirat és válasz másolatait 3 évig kell megőrizni (1997. évi CLV. 17/A. § (7)).

Hozzáférők / címzettek: az adatkezelő és felhatalmazott munkatársai, a fenti alapelvek szerint.

Érintetti jogok: hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság.

Jogok gyakorlása (elérhetőségek):

– Postai cím: ………………

– E-mail: ………………

– Telefon: ………………

Tájékoztatás:

  • A személyes adatok megadása jogi kötelezettség a panaszkezeléshez.
  • A szerződés teljesítéséhez és a panasz érdemi intézéséhez szükséges.
  • Ha az adatszolgáltatás elmarad, a panaszt nem tudjuk kezelni.

Címzettek, akikkel a személyes adatokat közlik

„Címzett”: minden olyan természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szervezet, akinek személyes adatot továbbítunk – függetlenül attól, hogy harmadik félnek minősül-e.

1) Adatfeldolgozók (az adatkezelő megbízásából eljárók)

Az adatkezelő a saját feladatainak ellátásához, a szerződések teljesítéséhez és a jogszabályi kötelezettségek teljesítéséhez adatfeldolgozókat vehet igénybe.

Csak olyan partnereket vonunk be, akik megfelelő garanciákat nyújtanak a GDPR-követelmények és az érintetti jogok védelmére, és megfelelő technikai, szervezési intézkedéseket alkalmaznak.

Az adatfeldolgozó – és minden olyan személy, aki az adatkezelő vagy az adatfeldolgozó közvetlen irányítása alatt hozzáfér az adatokhoz – a személyes adatokat kizárólag az adatkezelő írásbeli utasításai szerint kezeli. Az adatfeldolgozó nem hoz érdemi döntést az adatok kezelésének céljáról és eszközeiről.

Az adatfeldolgozó tevékenységéért elsődlegesen az adatkezelő felel; az adatfeldolgozó akkor felel az okozott kárért, ha a rá vonatkozó GDPR-kötelezettségeket megszegte, vagy az adatkezelő jogszerű utasításaival ellentétesen járt el.

Az adatkezelő tipikusan az alábbi tevékenységekre vehet igénybe adatfeldolgozót: tárhely-szolgáltatás, webáruház-üzemeltetés/karbantartás, hírlevélküldés/marketing automatizáció, online számlázás, futárszolgálat (kiszállítás).

2) Konkrét adatfeldolgozók

(Az alábbi mezőket a tényleges partnerekkel töltse ki.)

  • Tárhely-szolgáltató: Név, cím, elérhetőség: ………………
  • Webáruház-platform / üzemeltetés: Név, cím, elérhetőség: ………………
  • Hírlevél / e-mail szolgáltató (pl. Brevo / Flodesk): ………………
  • Online számlázás (pl. Kulcs-Soft): ………………
  • Marketing / felugrók / A/B teszt (pl. OptiMonk): ………………
  • Webfejlesztés / karbantartás: ………………

3) Adattovábbítás 

harmadik fél

 részére

„Harmadik fél”: olyan önálló adatkezelő, aki nem azonos az adatkezelővel vagy az adatfeldolgozóval, és az átadott személyes adatot a saját szabályzata szerint, saját céljaira kezeli.

Kategóriák és kitöltendő adatok:

  • Fuvarozás / kiszállítás:
    – Név, cím, elérhetőség: ………………
    – Név, cím, elérhetőség: ………………
    – Név, cím, elérhetőség: ………………
  • Online fizetés / fizetési szolgáltató:
    – Név, cím, elérhetőség: ………………

Ezek a harmadik felek önálló adatkezelők, és az általuk végzett adatkezelés részletei a saját adatkezelési tájékoztatóikban találhatók.

Közösségi oldalak

Kezelt adatok köre: az adott platformon használt név/felhasználónév, nyilvános profilkép, valamint minden más, az érintett által nyilvánosan megosztott adat.

Érintettek köre: mindazok, akik a(z) Facebook / Instagram / YouTube / TikTok / Pinterest / LinkedIn stb. felületeken a márka oldalát követik, lájkolják, vagy ott kapcsolatba lépnek az adatkezelővel.

Cél: a weboldal és termékek tartalmainak megosztása, népszerűsítése, közösségi aktivitás kezelése.

Időtartam, mód, jogok: a közösségi oldalak saját szabályzatai irányadók; az adatok kezelése az adott platformon történik, a törlés/módosítás lehetőségeit is ezek szabályozzák.

Jogalap: az érintett önkéntes hozzájárulása az adott közösségi oldalon.

Facebook / Meta – közös adatkezelés (Oldalelemzések / Page Insights)

Az adatkezelő Facebook-/Meta-profilt üzemeltet. A Facebook-oldal statisztikai célú adatkezelését az adatkezelő és a Facebook Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, D02 Dublin, Írország) közösen végzi. A felelősségi viszonyokat a Page Controller Addendum (Oldalelemzések függeléke) rögzíti: https://www.facebook.com/legal/terms/page_controller_addendum

  • A Facebook Ireland a GDPR szerinti elsődleges felelőst vállalja az Oldalelemzésekhez kapcsolódó adatkezelésért, és biztosítja a megfelelő érintetti tájékoztatást.
  • Az adatkezelő gondoskodik arról, hogy az elemzési adatok kezeléséhez megfelelő jogalappal rendelkezzen, és teljesítse a rá vonatkozó jogi kötelezettségeket.
  • Az adatkezelő nem kérheti ki és nem kap egyedi felhasználói személyes adatokat a Facebooktól az Oldalelemzésekre hivatkozva.
  • Privát üzenetekre az adatkezelő válaszolhat; az ezeket érintő kommunikációt az érintett kérésére töröljük.

Érintettek kategóriái:

– akik követik/lájkolják az oldalunkat;

– akik privát üzenetben lépnek velünk kapcsolatba.

Kezelt adatok: nyilvános profiladatok (név, profilkép), valamint az érintett által megadott egyéb nyilvános információk; üzenetváltás esetén a küldött üzenetek tartalma.

Jogalap: GDPR 6. cikk (1) a) – hozzájárulás (a Facebook platformon adott műveletekkel).

Hozzájárulás visszavonása: az érintett a közösségi platformon bármikor törölheti hozzászólását/üzenetét vagy megszüntetheti a követést; mi az üzenetváltást az érintett kérésére töröljük. A visszavonás a korábbi adatkezelés jogszerűségét nem érinti.

Kapcsolat az érintetti jogok gyakorlásához:

– Postai cím: ………………

– E-mail: ………………

– Telefon: ………………

Megőrzés: hozzájárulás visszavonásáig; privát üzenetek esetén legfeljebb 2 év.

Adattovábbítás/címzettek: az adatokat csak jogszabályi kötelezettség alapján adjuk át hatóságoknak (pl. bíróság, ügyészség, nyomozóhatóság, NAIH).

Automatizált döntéshozatal / profilalkotás: nem alkalmazzuk.

Ügyfélkapcsolatok és egyéb adatkezelések

  1. Kapcsolatfelvétel
    Ha az érintettnek kérdése vagy problémája merül fel, az adatkezelővel a honlapon megadott csatornákon (telefon, e-mail, közösségi oldalak stb.) felveheti a kapcsolatot.
  2. Megőrzés
    A beérkező e-maileket, üzeneteket és a telefonon/közösségi csatornákon közölt adatokat (név, e-mail, valamint az önként megadott személyes adatok) az adatközléstől számított legfeljebb 2 évig őrizzük, ezt követően töröljük.
  3. Nem felsorolt adatkezelések
    Az ebben a tájékoztatóban külön nem nevesített adatkezelésekről az adatok felvételekor adunk külön tájékoztatást.
  4. Hatósági megkeresések
    Jogszabályi felhatalmazás vagy hivatalos megkeresés esetén az adatkezelő köteles adatot szolgáltatni (tájékoztatás, adatszolgáltatás, iratátadás).
  5. Adatminimum
    Ilyen esetekben az adatkezelő csak a cél megvalósításához elengedhetetlen mennyiségű és körű személyes adatot ad át, ha a megkeresés célja és az adatkör pontosan meg van jelölve.

Az érintettek jogai

1. Hozzáféréshez való jog – Visszajelzést kérhet arról, kezelünk-e Önre vonatkozó adatot; ha igen, jogosult az adatokhoz és a vonatkozó információkhoz hozzáférni.

2. Helyesbítés joga – Kérheti a pontatlan adatok indokolatlan késedelem nélküli helyesbítését, illetve a hiányos adatok kiegészítését.

3. Törlés joga – Meghatározott feltételek fennállásakor kérheti személyes adatainak törlését; az adatkezelő ilyen esetben késedelem nélkül töröl.

4. Elfeledtetés joga – Ha az adat nyilvánosságra került és törölni kell, az adatkezelő ésszerű lépéseket tesz, hogy értesítse azokat, akik a személyes adatot kezelik, a hivatkozások/másolatok törléséről.

5. Korlátozás joga – Kérheti az adatkezelés korlátozását például ha:

• vitatja az adatok pontosságát;

• jogellenes az adatkezelés, de nem kéri a törlést;

• az adatkezelőnek már nincs szüksége az adatokra, Önnek viszont igen jogi igényekhez;

• tiltakozott az adatkezelés ellen (a vizsgálat idejére).

6. Adathordozhatóság joga – Jogosult az Önre vonatkozó, általunk kezelt adatokat tagolt, géppel olvasható formátumban megkapni és kérni azok továbbítását egy másik adatkezelőhöz.

7. Tiltakozás joga – Jogos érdeken vagy közhatalmi jogosítványon alapuló adatkezelés ellen bármikor tiltakozhat (ideértve az ezeken alapuló profilalkotást).

8. Tiltakozás közvetlen üzletszerzés ellen – Direkt marketing célú adatkezelés ellen bármikor tiltakozhat; ilyen tiltakozás esetén a személyes adatok további marketing célú kezelése megszűnik.

9. Automatizált döntéshozatal elutasítása – Nem terjedhet ki Önre kizárólag automatizált döntés (profilalkotást is beleértve), amely joghatással jár vagy Önt jelentősen érinti, kivéve ha:

• szerződéskötés/teljesítés érdekében szükséges; vagy

• uniós/tagállami jog írja elő megfelelő garanciákkal; vagy

• Ön kifejezetten hozzájárult.

Kérelmek benyújtása / kapcsolat: ……………… (postai cím) • ……………… (e-mail) • ……………… (telefon)

Intézkedési határidők

Az adatkezelő indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja Önt az intézkedésekről. Szükség esetén ez a határidő legfeljebb 2 hónappal meghosszabbítható; a hosszabbítás okáról 1 hónapon belül értesítjük.

Ha nem teszünk intézkedést, 1 hónapon belül tájékoztatunk az okokról és a panasz/jogorvoslat lehetőségéről.

Az adatkezelés biztonsága

Az adatkezelő és az adatfeldolgozó a kockázatokhoz igazodó technikai és szervezési intézkedéseket alkalmaz, különösen:

  • álnevesítés és titkosítás lehetősége;
  • rendszerek/szolgáltatások bizalmasságának, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása;
  • incidens esetén az adatokhoz való hozzáférés és rendelkezésre állás ésszerű időn belüli helyreállítása;
  • a biztonsági intézkedések rendszeres tesztelése és értékelése.

Tárolás és hozzáférés:

  • A személyes adatokhoz csak jogosult személyek férhetnek hozzá.
  • Papíralapú adatok: zárt, biztonságos helyiségben; illetéktelen hozzáférés megakadályozása.
  • Elektronikus adatok: felhasználónév+jelszó, jogosultságkezelés, vírusvédelem, rendszeres mentés és archiválás.
  • Törlés: az adatok a törlési határidő elérésekor visszaállíthatatlanul törlésre kerülnek.
  • Megsemmisítés: papíron iratmegsemmisítővel vagy erre szakosodott szolgáltatóval; elektronikus adathordozó esetén a vonatkozó selejtezési szabályok szerint, szükség esetén biztonságos törléssel.

Adatvédelmi incidens

Érintettek tájékoztatása:

Ha az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira, az adatkezelő haladéktalanul értesíti az érintettet, közérthetően leírva az incidens jellegét, a lehetséges következményeket, a kapcsolattartó/elérhetőséget, valamint a megtett/tervezett intézkedéseket és enyhítő lépéseket.

Az értesítés mellőzhető, ha például:

  • az adatok megfelelő védelemmel (pl. titkosítással) érinthetetlenné váltak;
  • utólagos intézkedésekkel a magas kockázat valószínűsége megszűnt;
  • az egyedi értesítés aránytalan erőfeszítést igényelne (ilyenkor nyilvános tájékoztatás szükséges).

Hatósági bejelentés:

Az adatvédelmi incidenst indokolatlan késedelem nélkül, lehetőség szerint 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnak, kivéve, ha valószínűsíthetően nem jár kockázattal a jogokra és szabadságokra. Késedelmes bejelentés esetén a késedelem okát indokolni kell.

Felülvizsgálat kötelező adatkezelésnél

Ha jogszabály nem ír elő konkrét időtartamot/felülvizsgálati ütemet, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy a kezelt adatok szükségesek-e a kitűzött célhoz. A felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, és a vizsgálatot követően 10 évig megőrzi; kérésre a NAIH rendelkezésére bocsátja.

Panasztételi lehetőség

Nemzeti Adatvédelmi és Információszabadság Hatóság

1055 Budapest, Falk Miksa utca 9–11.

Levelezési cím: 1363 Budapest, Pf. 9.

Telefon: +36-1-391-1400 • Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

Zárszó

A tájékoztató elkészítése során figyelemmel voltunk az alábbi jogszabályokra:

  • A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (GDPR)(2016. április 27.);
  • 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.);
  • 2001. évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (főképp a 13/A. §a);
  • 2008. évi XLVII. törvény – a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról;
  • 2008. évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (különösen a 6.§a);
  • 2005. évi XC. törvény az elektronikus információszabadságról;
  • 2003. évi C. törvény az elektronikus hírközlésről (kifejezetten a 155.§a);
  • 16/2011. sz. vélemény a viselkedésalapú online reklám bevált gyakorlatára vonatkozó EASA/IABajánlásról;
  • A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről.