Adatvédelmi- és adatkezelési tájékoztató

Az alábbiak szerint részletesen tájékoztatjuk Önt személyes adatainak kezeléséről, annak módjáról, illetőleg az adatkezeléssel és adatvédelemmel kapcsolatos jogairól.

Jelen adatvédelmi- és adatkezelési tájékoztató az alábbi oldalak adatkezelését szabályozza: http://zagabag.hu/

Az adatkezelést az

  • AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) továbbiakban: GDPR);
  • a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.);
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.);
  • a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Grt.);
  • az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Eker tv.)

szabályozzák.

Tájékoztatónk elkészítésekor az alábbi jogszabályokra is tekintettel voltunk:

  • 2008. évi XLVII. törvény – a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról;
  • 2005. évi XC. törvény az elektronikus információszabadságról
  • 2003. évi C. törvény az elektronikus hírközlésről (kifejezetten a 155.§-a)
  • 16/2011. sz. vélemény a viselkedésalapú online reklám bevált gyakorlatára vonatkozó EASA/IAB-ajánlásról

Amennyiben a jogszabályi változások adatkezelési tájékoztatónk módosítását teszik szükségessé, erről haladéktalanul tájékoztatjuk Önt, szükség esetén pedig ismételten kérjük hozzájárulását az adatkezeléshez. A tájékoztató módosításai az alábbi címen történő közzététellel lépnek hatályba. https://.zagabagu.hu/adatkezelesitajekoztato

Az adatkezelő

Az adatkezelő elnevezése:  Róna Ágnes egyéni vállalkozó

Az adatkezelő székhelye: 7300 Komló. Hegyhát u. 2.

E-mail: info@zagabag.hu

Telefon: +36-70/3293346

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény kimondja, hogy az érintettel – aki jelen esetben honlapunk, webshop használója, a továbbiakban: felhasználó – az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező.

Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, valamint az adatkezelés időtartamáról. Tájékoztatni kell az érintettet az Info tv. 5. § (1) bekezdése alapján arról is, hogy személyes adat akkor kezelhető, ha

  • azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,
  • az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,
  • az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy
  • az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.

A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Jelen adatkezelési tájékoztató folyamatosan elérhető a http://zagabag.hu/adatkezelesitajekoztato felületen. Adatkezelő a www.zagabagu.hu oldal tulajdonosa.

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) 4. cikk) értelmében:

  1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

  2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

  4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

  5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

  6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

  7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

  9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

  10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

  11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

  12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

  13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

  14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

  15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

  16. „tevékenységi központ”: a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

  17. „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

  18. „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

  19. „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

  20. „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

  21. „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

  22. „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz;

  23. „személyes adatok határokon átnyúló adatkezelése”: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

  24. „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

  25. „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv ( 1 ) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

  26. „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

Az adatkezelés jogalapja a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 5. §-a, melynek értelmében személyes adat akkor kezelhető, amennyiben:

  • azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,
  • az a) pontban meghatározottak hiányában az az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,
  • az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy
  • az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) 6. cikke értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az megfelel legalább egy feltételnek az alábbiak közül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. (Nem alkalmazható a közhatalmi szervezk által feladataik ellátása során végzett adatkezelésre.)

A személyes adatok kezelésére vonatkozó elveket az 5. cikk tartalmazza, melynek értelmében a személyes adatok

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Adatkezelő felelős azért, hogy a fenti elveknek megfelelően kezelje az adatokat, illetőleg képesnek kell lennie arra, hogy eljárása ilyetén megfelelőségét igazolni tudja.

Egyes adatkezelések az adatkezelő által

Adatkezelő adatkezelésének jogalapja:

  • Felhasználó hozzájárulása;
  • a GDPR 6. cikk (1) bekezdés b) pontja;
  • a számviteli jogszabályoknak megfelelő számla kiállítása esetén a GDPR 6. cikk (1) bekezdés c) pontja;
  • az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

Adatkezelő a webáruház működéséhez szükséges mértékben és ahhoz kapcsolódóan az alábbi adatokat kezeli.

 

Személyes adat típusa

Az adatkezelés célja

Vezeték-és keresztnév

A kapcsolatfelvételhez, a vásárláshoz és a szabályszerű számla kiállításához szükséges.

E-mail cím

Kapcsolattartás.

Telefonszám

Kapcsolattartás, a számlázással, vagy a szállítással kapcsolatos kérdések hatékonyabb egyeztetése.

Számlázási név és cím

A szabályszerű számla kiállítása, továbbá a szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése.

Szállítási név és cím

A házhoz szállítás lehetővé tétele.

A vásárlás időpontja

Technikai művelet végrehajtása.

A vásárlás kori IP cím

Technikai művelet végrehajtása.

 

A szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.

Tájékoztatjuk, hogy az adatkezelés a szerződés teljesítéséhez szükséges, tekintettel arra, hogy a tárgyi személyes adatok megadása nélkül megrendelését nem tudjuk teljesíteni. Az adatszolgáltatás elmaradása esetén a megrendelést feldolgozni, illetőleg ennek nyomán teljesíteni nem áll módunkban.

Az adatkezeléssel érintett: valamennyi vásárló, aki a webshopon keresztül vásárol, ott rendelését leadja.

Az adatkezeléssel érintett kérelmezheti az adatkezelőtől fentiekre tekintettel – különösen – a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintettnek joga van adathordozhatósághoz, továbbá az adatkezeléshez való hozzájárulásának bármely időpontban való visszavonásához.

Az adatkezeléssel érintett személyeket az alábbi jogosultságok illetik:

  • hozzáférés joga: az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz hozzáférést kapjon;
  • helyesbítéshez való jog: az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, illetőleg figyelembe véve az adatkezelés célját, kérje a hiányos személyes adatok kiegészítését;
  • törléshez való jog: az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, adatkezelő pedig a meghatározott feltételek fennállása esetén köteles a személyes adatokat indokolatlan késedelem nélkül törölni;
  • elfeledtetéshez való jog: Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését;
  • adathordozhatósághoz való jog: az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatogat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt az adatkezelő akadályozná;
  • tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen;
  • tiltakozás közvetlen üzletszerzés esetén: amennyiben az adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen;
  • automatizált döntéshozatal egyedi ügyekben: az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, kivéve ha a döntés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése céljából szükséges, meghozatalát az adatkezelőre alkalmazandó olyan jog teszi lehetővé, mely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket megállapít, vagy az érintett kifejezett hozzájárulásán alapszik.
  • adathordozáshoz való jog: az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, amennyiben

-az érintett vitatja a személyes adatok pontosságát

-az adatkezelés jogellenes

-az adatkezelőnek már nincs szüksége a személyes adatokra az adatkezeléshez, az érintett viszont igényli azokat

-az érintett tiltakozott az adatkezelés ellen.

A személyes adatokhoz való hozzáférést, azok törlését, módosítását, az adatkezelés korlátozását, illetőleg adatkezelés ellen tiltakozás kifejezését az alábbi elérhetőségeken tudja az érintett kezdeményezni:

E-mail: info@zagabagu.hu

Telefon: +36-70/3293346

Az adatkezeléssel érintett törlési kérelme esetén, amennyiben a kérelem az e-mail cím törlésére is kiterjedt, úgy adatkezelő vonatkozó tájékoztatást követően azt is törli. Adatkezelő a GDPR 19. cikke alapján elektronikus úton tájékoztatja az érintettet személyes adatának, adatainak törléséről.

Adatkezelő személyes adatok törlésére vonatkozó kötelezettségének korlátja a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése, mely alapján adatkezelő köteles a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatokat legalább 8 évig olvasható formában, visszakereshető módon megőrizni.

Az adatok megismerésére jogosult lehetséges adatkezelők személye: A személyes adatokat az adatkezelő munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.

Adattovábbítás

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény alapján, meg kell határozni a weblap adattovábbítási tevékenysége körében a következőket:

  1. a) az adatgyűjtés ténye,
  2. b) az érintettek köre,
  3. c) az adatgyűjtés célja,
  4. d) az adatkezelés időtartama,
  5. e) az adatok megismerésére jogosult lehetséges adatkezelők személye,
  6. f) az érintettek adatkezeléssel kapcsolatos jogainak ismertetése.

Az adatkezelés ténye, a kezelt adatok köre: A továbbított adatok köre a szállítás lebonyolításához, illetőleg az online fizetés lebonyolításához szükséges adatok az alábbiak szerint.

Az adattovábbítás jogalapja: az érintett hozzájárulása.

Az igénybe vett adatfeldolgozók

  1. Szállítással összefüggő adatfeldolgozás

Adatfeldolgozó neve és elérhetősége: Magyar Posta Zrt. (székhely: 1138 Budapest, Dunavirág utca 2-6.)

Az adatfeldolgozó által ellátott tevékenység: Az adatkezelőtől megrendelt termékek kiszállítása, fuvarozása a vásárló részére.

Az adatkezeléssel érintett adatok köre: szállítási név, szállítási cím, telefonszám és e-mail cím.

Az adatkezeléssel érintettek köre: valamennyi vásárló, aki házhozszállítással rendeli meg valamely termékünket.

Az adatkezelés célja: a megrendelt termék házhoz szállítása.

Az adatkezelés tartama: Az adatkezelés a házhozszállítás lebonyolításáig tart, ezt követően az adatok törlésre kerülnek.

Az adatfeldolgozás alapja: GDPR 6. cikk (1) bekezdés c) pontja.

  1. Online fizetéssel összefüggő adatfeldolgozás

Adatfeldolgozó neve és elérhetősége: PAYPAL (EUROPE) SARL ET CIE SCA (L-2449 Luxembourg, Boulevard Royal 22-24. 5th floor; e-mail: resolutions@paypal.com; tel.: 00352 26639100)

Az adatfeldolgozó által ellátott tevékenység: Online fizetés lebonyolítása.

Az adatkezeléssel érintett adatok köre: számlázási név, számlázási cím és e-mail cím.

Az adatkezeléssel érintettek köre: valamennyi vásárló, aki online fizetéssel vásárolja meg a kiválasztott terméket.

Az adatkezelés célja: az online fizetés lebonyolítása, a tranzakciók visszaigazolása, illetőleg a felhasználók érdekében az esetleges visszaélések megelőzése, ellenőrzése (fraud-monitring).

Az adatkezelés tartama: Az adatkezelés az online fizetés lebonyolításáig tart, ezt követően az adatok törlésre kerülnek.

Az adatfeldolgozás jogalapja: GDPR 6. cikk (1) bekezdés c) pontja, illetőleg az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

  1. Tárhely-szolgáltatással összefüggő adatfeldolgozás

Adatfeldolgozó neve és elérhetősége: SiteGround Spain S.L. (székhely: Calle de Prim 19,28004 Madrid, Spain; e-mail: legal@siteground.com)

Az adatfeldolgozó által ellátott tevékenység: Tárhely-szolgáltatás.

Az adatkezeléssel érintett adatok köre: valamennyi, az érintett által megadott személyes adat.

Az adatkezeléssel érintettek köre: a weboldalt használó valamennyi érintett.

Az adatkezelés célja: a weboldal megfelelő működtetése, elérhetővé tétele a felhasználók számára.

Az adatkezelés tartama: Az adatkezelés az adatkezelő és a tárhely-szolgáltató közötti megállapodás megszűnéséig, illetőleg az érintettnek a tárhely-szolgáltató felé intézett törlési kérelméig tart.

Az adatfeldolgozás jogalapja: GDPR 6. cikk (1) bekezdés c) és f) pontja, illetőleg az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

Harmadik személyeknek átadott adatok

  • Google Adwords: A webshop, mint hirdető a Google Adwords remarketing követő kódjait használja. A remarketing egy olyan funkció, amelynek segítségével a webshop azoknak a felhasználóknak, akik korábban már felkeresték a webhelyet, releváns hirdetéseket jelenítsen meg, miközben a Google Display Hálózat egyéb webhelyeit böngészik. A remarketing kód cookie-kat használ a látogatók megjelöléséhez. A webáruházat felkereső felhasználók letilthatják ezeket a cookie-kat, és egyéb, a Google adatkezelésével kapcsolatos információt is olvashatnak az alábbi címeken: http://www.google.hu/policies/technologies/ads/ és https://support.google.com/analytics/answer/2700409. Amennyiben felhasználó letiltja a remarketing cookie-kat, számukra nem fognak megjelenni személyre szabott ajánlatok a webshop.
  • Google analytics: A webshop látogatottsági adatait a Google Analytics szolgáltatás igénybevételével méri a Szolgáltató. A szolgáltatás használata során adatok kerülnek továbbításra. A továbbított adatok az érintett azonosítására nem alkalmasak. A Google adatvédelmi elveiről bővebb információ itt olvasható: http://www.google.hu/policies/privacy/ads/

Nem szükséges előzetes hozzájárulást kérni az érintettektől a webáruházakban használatos „jelszóval védett munkamenethez használt cookie”, „bevásárlókosárhoz szükséges cookie” és „biztonsági cookie” használatához, melyek a webshopok optimális működéséhez elengedhetetlenek. Az érintettől hozzájárulás nem szükséges, amennyiben a cookie-k használatának kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás vagy arra az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.

Az adatkezeléssel érintett adatok köre: egyedi azonosítószám, dátumok és időpontok.

Az adatkezeléssel érintettek köre: a weboldalt látogató valamennyi érintett.

Az adatkezelés célja: A felhasználók azonosítása, a bevásárlókosár nyilvántartása és a látogatók nyomon követése.

Az adatkezelés tartama: a vonatkozó látogatói munkamenet lezárásáig tart.

Az adatkezelés jogalapja: az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

Weboldalunk, illetőleg webshopunk használatával a felhasználók tudomásul veszik, hogy a természetes személyes összefüggésbe hozhatók az általuk használt készülékek, eszközök, alkalmazások, illetőleg protokollok által rendelkezésre bocsátott azonosítókkal. Ilyen azonosítók többek között a cookie-azonosítók, rádiófrekvenciás azonosító címkék, IP-címek stb. Az azonosítók segítségével olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szervezek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személy profiljának létrehozására és az adott személy azonosítására.

Hírlevél küldés

A 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól 6 §-a értelmében a felhasználó előzetesen és kifejezetten hozzájárulhat ahhoz, hogy Szolgáltató reklámajánlatávaival, egyéb küldeményeivel megrendeléskor megadott elérhetőségein megkeresse.

Felhasználó a jelen adatkezelési tájékoztató rendelkezéseit szem előtt tartva hozzájárulhat ahhoz, hogy adatkezelő a reklámajánlatai megküldéséhez szükséges személyes adatait kezelje. Adatkezelő nem küld kéretlen reklámüzeneteket, a hírlevélről pedig felhasználó bármikor, korlátozás és indokolás nélkül leiratkozhat. Ebben az esetben adatfeldolgozó a reklámajánlatai megküldéséhez szükséges személyes adatait törli az érintettnek.

Az adatkezelés jogalapja: az érintett hozzájárulása, a rendelet 6. cikk (1) bekezdés a) és f) pontja, és a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól 2008. évi XLVIII. törvény 6. § (5) bekezdése.

Az adatkezelés az érintett hozzájárulásán alapul. Amennyiben felhasználó nem adja meg személyes adatait, hírlevelet nem tudunk részére küldeni.

A kezelt adatok köre és célja:

  • személyes adat: név és e-mail cím; cél: azonosítás, a hírlevélre való feliratkozás lehetővé tétele;
  • személyes adat: a feliratkozás időpontja; cél: technikai művelet végrehajtása;
  • személyes adat: feliratkozáskori IP cím; cél: technikai művelet végrehajtása.

Az adatkezeléssel érintettek köre: valamennyi, hírlevélre feliratkozó érintett.

Az adatkezelés célja: reklámot tartalmazó elektronikus üzenetek (e-mail, push üzenet) küldése az érintett részére, tájékoztatása a termékeket érintő aktualitásokról, akciókról stb.

Az adatkezelés időtartama: az adatkezelés a hozzájáruló nyilatkozat visszavonásáig, azaz a leiratkozásig tart.

Az adatok megismerésére jogosult lehetséges adatkezelők, a személyes adatok címzettjei: adatkezelő sales és marketing munkatársai az adatkezelési alapelvek, illetőleg jelen tájékoztató betartásával.

Jogorvoslati lehetőségek

Az adatkezeléssel kapcsolatos jogorvoslati lehetőségeket AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) 79. cikke szabályozza

(1) A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

(2) Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

Esetleges jogsértése esetén panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni az alábbi elérhetőségeiken:

Nemzeti Adatvédelmi és Információszabadság Hatóság

1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Levelezési cím: 1530 Budapest, Postafiók: 5.

Telefon: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

Az adatvédelmet sértő események kezelési rendjének célja, tartalma

A Szabályzat célja annak elősegítése, hogy az Adatkezelő működésével kapcsolatosan felmerülő adatvédelmet sértő események kezelése egységes rendszerben történjen, kialakulásának megelőzésére, a bekövetkezése esetében annak feltárására, szükség esetén a felelősség megállapítására, intézkedések megtételére sor kerüljön. A Szabályzat ennek érdekében rögzíti azokat a fogalmakat, eljárásokat, intézkedéseket, amelyek biztosítják az Adatkezelő működése során előforduló, adatvédelmet sértő esemény ismételt előfordulásának megelőzését, és a feltárt események kezelését.

 

Az adatvédelmi incidens fogalma, jellemzői

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

 

Az adatvédelmet sértő események megelőzésével és kezelésével kapcsolatos felelősségek

Az adatvédelmet sértő események megelőzése és kezelése (az eljárásrend kialakítása, a szükséges intézkedések meghozatala) Szolgáltató felelőssége, akinek e felelőssége és feladata a szervezeti struktúrában meghatározott szervezeti egységek vezetői hatáskörének, felelősségének és beszámoltathatóságának szabályozottságán keresztül valósul meg. Ahol szervezeti egység nem került létrehozatalra ott a Szolgáltató közvetlenül önmaga a felelős.

 

Ennek érdekében a Szolgáltató alapvető kötelezettsége, hogy

  1. a) a jogszabályoknak megfelelő szabályozások alapján működjön a szervezet, és ennek érdekében a szükséges, feladatkörükhöz tartozó szabályozások előkészítésre kerüljenek,
  2. b) a szabályozottságot, valamint a szabályok betartását folyamatosan kísérje figyelemmel, amely elsődleges feltétele az adatvédelmet sértő események megelőzésének,
  3. c) adatvédelmet sértő esemény észlelése esetén minél gyorsabban kellően hatékony intézkedés történjen annak érdekében, hogy az adatvédelmet sértő esemény megszüntetésre, a hibás belső szabályozás helyesbítésre kerüljön,
  4. d) a helytelen alkalmazási gyakorlat megszüntetése mellett indokolt esetben a személyi felelősség megállapításra kerüljön, a szükséges intézkedések megvalósuljanak.

 

Az Adatkezelő működését érintő, folyamatosan aktualizált belső szabályzatok és az egyéb belső szabályozó dokumentumok (körlevelek, utasítások stb.) Adatkezelő székhelyén a központi iroda tárgyalójában elhelyezett mappákban érhetőek el.

Minden szervezeti egység vezetője, annak hiányában pedig a Szolgáltató felelős a feladatkörébe tartozó szakterületen észlelt adatvédelmet sértő esemény ismételt előfordulásának megelőzéséhez szükséges intézkedések megtételéért, a bekövetkezett esemény feltárásáért, szükség esetén annak dokumentálásáért, továbbá indokolt esetben a felelősségre vonással és a hiányosságok megszüntetésével kapcsolatos intézkedések kezdeményezéséért és megvalósításuk ellenőrzéséért.

A munkavállalók konkrét feladatát, hatáskörét, felelősségét a munkaköri leírások tartalmazzák.

Valamennyi munkavállaló feladata és kötelessége az észlelt adatvédelmet sértő esemény jelzése a Szolgáltató felé és megszüntetésük érdekében javaslatok tétele, valamint az elrendelt intézkedések megvalósítása.

Az Adatkezelővel szerződésben lévő ügyvédi iroda / tanácsadó koordinálja és nyilvántartja a Szolgáltató által elrendelt, az adatvédelmet sértő eseményekkel kapcsolatos kártérítési ügyeket, a kártérítési eljárásban keletkező dokumentumok nyilvántartása során gondoskodik azok elkülönített, naprakész és pontos vezetéséről.

 

Az adatvédelmet sértő eseményészlelése, feltárása, bejelentése

Az adatvédelmet sértő esemény észlelése az Adatkezelő munkatársai, vezetői, az ellenőrzést végző belső és külső szervek részéről történhet.

 

Adatkezelő munkatársa által észlelt adatvédelmet sértő esemény 

(1) Amennyiben az adatvédelmet sértő eseményt munkatárs észleli, soron kívül köteles értesíteni – a hivatali út betartásával – az adatvédelmi tisztviselőt és – amennyiben van – a közvetlenül felette álló vezetőt.

(2) Amennyiben a munkatárs úgy ítéli meg, hogy közvetlen felettese az adott ügyben érintett, akkor a vezető felettesét kell értesítenie.

(3) A munkatárs által a vezetőnek jelzett, vagy a vezető által észlelt adatvédelmet sértő esemény esetén amennyiben az lehetséges, saját hatáskörben, a feladat-, hatáskör és felelősségi rendnek megfelelően kell az adatvédelmet sértő esemény megszüntetése érdekében a szükséges intézkedést meghozni.

Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

 Az adatvédelmi incidenst, indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Szolgáltató tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.

 Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek.

A bejelentésben legalább:

ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Az Adatkezelő, mint adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze ezen követelményeinek való megfelelést.

Az érintettet az Adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. Az tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást. Például az érintettek sürgős tájékoztatása a kár közvetlen veszélyének mérsékléséhez szükséges, azonban annak megelőzése több időt igényelhet, hogy a folyamatos vagy azonos jellegű adatvédelmi incidens esetében megfelelő intézkedéseket kell végrehajtani.

Késedelem nélkül meg kell bizonyosodni arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi incidens haladéktalan megállapítása, másrészt a felügyeleti hatóságnak történő bejelentés és az érintett sürgős értesítése érdekében. Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen az adatvédelmi incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire, illetve hátrányos hatásaira figyelemmel kell megállapítani. A felügyeleti hatóságnak történt bejelentést az e rendeletben meghatározott feladataival és hatásköreivel összhangban történő beavatkozását eredményezheti.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

 

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az előző bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

A bejelentő védelme

Amennyiben a bejelentő nevének elhallgatását kéri, úgy az eljárás folyamatában biztosítani kell adatainak a zárt kezelését, amelyet csak irányítási jogköre alapján a Szolgáltató ismerhet meg.

A bejelentést tevő személlyel szemben nem alkalmazható semmiféle hátrányos elbánás, jelentéséért – kivéve a szándékosan valótlan tartalommal megtett jelentést – felelősségre nem vonható.

A bejelentőt – amennyiben bejelentése alapján az ügy feltárásra került – a szervezeti egység vezetője javaslatára a munkáltatói jogkör gyakorlója erkölcsi elismerésben (munkáltatói dicséret) részesítheti.

 

Külső ellenőrzési szerv által észlelt szabálytalanság

A felügyeleti hatóság által végzett ellenőrzés szabálytalanságra vonatkozó megállapításait az általa készített dokumentáció tartalmazza.

 

Külső személy által észlelt adatvédelmet sértő esemény

Amennyiben külső személy jelzi az adatvédelmet sértő eseményt, az érintett szervezeti egység vezetőjének a bejelentést érdemben kell megvizsgálnia és jegyzőkönyvet felvennie a bejelentés beérkezését követő 3 munkanapon belül.

Ha nem az érintett szervezeti egységhez érkezett a jelzés, azt az érkezést követő legfeljebb 3 munkanapon belül továbbítani kell az érintett szervezeti egység részére.

 

Az adatvédelmet sértő esemény megszüntetésére tett intézkedések

 

A szabálytalanság megszüntetése esetén követendő eljárás

A munkatárs által önellenőrzéssel észlelt, illetőleg a belső kontrollrendszer keretében az előzetes, utólagos és vezetői ellenőrzés során kiszűrt, a hatáskörrel rendelkező szervezeti egység vezetője által elrendelt javítással, helyesbítéssel megszüntethető hiba korrigálása nem igényel szabálytalansági eljárást.

A szabálytalanság megszüntetésére a hatáskörrel rendelkező vezetőnek (szervezeti egység vezetője, illetve a hierarchiában a szervezeti egység vezető felett lévő, hatáskörrel rendelkező vezető) kell intézkednie.

Nem kell új szabálytalansági eljárást lefolytatni ugyanolyan típusú szabálytalanság észlelésekor, ha már megkezdődött, de még nem zárult le az esettel megegyező, folyamatban lévő eljárás.

A szabálytalanság kivizsgálásában nem vehet részt, aki elfogult, akitől az ügy tárgyilagos megítélése nem várható el.

 

Az adatvédelmet sértő esemény megszüntetése

 

Vezetői intézkedést igénylő adatvédelmet sértő esemény

Az adatvédelmet sértő eseménnyel érintett szervezeti egység vezetője – amennyiben az lehetséges – saját hatáskörben, az adatvédelmet sértő esemény észlelésétől számított legfeljebb 3 munkanapon belül köteles a megszüntetetés érdekében a szükséges intézkedést megtenni, majd az ügy tanulságairól tájékoztatást nyújt a hasonló tevékenységben érintett munkatársak részére, felhívja a figyelmüket az adatvédelmet sértő esemény elkerülésére.

Amennyiben az adatvédelmet sértő esemény több szervezeti egység közreműködésével szüntethető csak meg, az adatvédelmet sértő eseménnyel érintett szervezeti egység vezetője javaslatot tesz a hierarchiában felette álló vezetőnek az adatvédelmet sértő esemény eseti munkacsoport útján történő rendezésére.

Az adatvédelmet sértő eseményről értesített vezető az eseti munkacsoportot irányítási területén belüli szervezeti egységek bevonásával jogosult létrehozni és meghatározni az eseti munkacsoport vezetőjét, az eljárás határidejét, dokumentációs igényét, az intézkedési terv készítési kötelezettséget, az intézkedési terv megvalósulásának figyelemmel kísérését, a visszacsatolás módját. Ha a jelzett adatvédelmet sértő esemény megszüntetése ezen szervezeti kereteken túlmutat, a megkeresett vezető a fenntartó szakmai tanácsadó útján kezdeményezi az adatvédelmet sértő esemény megvizsgálását és megszüntetését.

Kiemelt jelentőségű adatvédelmet sértő esemény feltételezése esetén a szabálytalansággal érintett szervezeti egység vezetője haladéktalanul értesíti az irányítási jogköre alapján intézkedésre jogosult Szolgáltató, a vonatkozó információk megküldésével.

 

Az eseti munkacsoport által folytatott kivizsgálás folyamata

 

Az eljárás során a munkacsoport:

  1. a) összegyűjti az adatokat, információkat, meghallgatja az érintetteteket;
  2. b) értékeli az adatokat, információkat;
  3. c) megoldási javaslatot készít a nemkívánatos helyzet kezelésére (intézkedési terv készítése – feladat, felelős, határidő megjelöléssel);
  4. d) az eseti bizottságot elrendelő vezető útmutatása szerint dokumentálja az eljárását;
  5. e) jóváhagyásra elkészíti a javasolt intézkedési tervet;
  6. f) a jóváhagyott intézkedési terv megvalósulását az eseti munkacsoport vezetője nyomon követi, amennyiben az szükséges, egyeztetéseket, megbeszéléseket hív össze;
  7. g) az eseti munkacsoportot elrendelő vezető útmutatásának megfelelően az eseti munkacsoport vezetője tájékoztatást nyújt a feladatok előrehaladásáról, az adatvédelmet sértő eseménykezeléséről.

 

A Szolgáltató vezetői intézkedését igénylő kiemelt jelentőségű adatvédelmet sértő esemény

Kiemelt jelentőségű adatvédelmet sértő esemény feltételezése esetén az eljárás kezdeményezése irányítási jogköre alapján a Szolgáltató hatáskörébe tartozik.

Az eljárás lefolytatása és a döntés meghozatalának megalapozása érdekében a Szolgáltató közvetlenül kérheti az ügy megvizsgálását az erre a célra létrehozott eseti bizottságtól. 

Az eljárást a felkérést követő legfeljebb 15 munkanapon belül kell lefolytatni. Amennyiben a határidő az ügy összetettsége miatt nem tartható, a Szolgáltató ettől eltérő időtartamot is megállapíthat.

Az eseti bizottság tagja az adatvédelmet sértő eseménnyel érintett szervezeti egység ügyben nem érintett vezetője – ennek hiányában munkatársa – és a Szolgáltató által az ügy jellege szerint kijelölt további munkatársak.

Az erre a célra létrehozott eseti bizottság vizsgálata történhet különösen az iratok tanulmányozásával, az érintettek meghallgatásával, írásbeli tájékoztatás beszerzésével.

Az erre a célra létrehozott eseti bizottság eljárása során bárkit meghallgathat, aki az adott ügyben érdemi információval rendelkezhet. A meghallgatásról jegyzőkönyvet kell felvenni. A meghallgatással érintett személyek kérhetik a személyes adataiknak zártan történő kezelését.

Az Adatkezelő minden munkatársa köteles az együttműködésre, nyilatkozattételre, az eljárás szempontjából lényeges információk, dokumentumok átadására.

Az erre a célra létrehozott eseti bizottság az eljárás eredménye alapján javaslatot tesz irányítási jogköre alapján a Szolgáltatónak a szükséges intézkedés megtételére, így különösen az adatvédelmet sértő esemény megszüntetésére, a hasonló esetek megelőzése érdekében szükséges intézkedések meghatározására, a felelősség megállapítására.

Az eljárás lezárását követően az érintettek körében munkaértekezletet is össze kell hívni, amelyen az adatvédelmet sértő eseménnyel érintett szakterület munkatársainak jelen kell lenniük. A munkaértekezleten ismertetni kell az eljárás megállapításait és a munkatársakat tájékoztatni kell az adatvédelmet sértő esemény jövőbeli bekövetkezésének az elhárításához vagy megelőzéséhez szükséges intézkedésekről, a követendő magatartásról.

 

Az adatvédelmet sértő eseményt vizsgáló eljárás eredménye, intézkedési javaslat

 

Az eljárás eredménye lehet:

  1. a) annak megállapítása, hogy nem történt adatvédelmet sértő esemény és az eljárás intézkedés nélküli megszüntetése (pl. hibás észlelés);
  2. b) adatvédelmet sértő esemény megtörténtét megállapító és intézkedést elrendelő döntés;
  3. c) további eljárás elrendelése, amely a felelősség megállapítása vagy a hasonló esetek megelőzése érdekében szükséges.

 

Belső vagy külső ellenőrzés eredménye alapján szükséges intézkedés

A belső szakmai ellenőrzés, az adatvédelmi felelős által megállapított szabálytalanság, valamint IT incidens esetén a szabálytalansággal nem megfelelőséggel, incidenssel érintett szervezeti egység vezetőjének a vonatkozó belső szabályzat előírása alapján intézkednie kell a megállapítások hatásos kezelésére.

A külső ellenőrzési szerv által megállapított szabálytalanság esetén az eljárási jelentésben foglalt szabálytalanságokra vonatkozó, az ellenőrzéssel érintett szakterület által kidolgozott intézkedési tervet végre kell hajtani.

 

Jogkövetkezmények alkalmazás:

A jogkövetkezményekről való döntés kezdeményezése az adatvédelmet sértő esemény megszüntetésére hatáskörrel rendelkező szervezeti egység vezető, annak hiányában vagy kiemelt jelentőségű esetben az irányítási jogkörrel rendelkező Szolgáltató feladata.

 

A jogkövetkezmény jellege szerint lehet:

  1. a) jogi jellegű (kártérítési eljárás megindítása, szabálysértési vagy büntetőeljárás kezdeményezése az arra feljogosított hatóságnál),
  2. b) munkajogi (figyelmeztetés, felmondással, azonnali hatállyal történő megszüntetése),
  3. c) pénzügyi jellegű (pénzbeli juttatás, kifizetés részben vagy egészben történő felfüggesztése, visszakövetelése, behajtása),
  4. d) szakmai jellegű (belső szabályozás módosítása, szigorításának kezdeményezése, betartásának fokozott ellenőrzése stb.).

 

Amennyiben büntető- vagy szabálysértési eljárás kezdeményezésének szükségessége merül fel, a szükséges intézkedések meghozatala az arra illetékes szervek értesítését is jelenti annak érdekében, hogy megalapozottság esetén az illetékes szerv a megfelelő eljárásokat megindítsa. Az eljárások megindításának kezdeményezésére – a Szolgáltató jogosult.

Ha nyilvánvalóvá vált, hogy az adatvédelmet sértő eseményt bejelentő rosszhiszeműen járt el és alaposan feltehető, hogy ezzel bűncselekményt vagy szabálysértést követett el, másnak kárt vagy egyéb jogsérelmet okozott, adatai az eljárás kezdeményezésére, valamint lefolytatására jogosult részére átadhatók.

 

Az adatvédelmet sértő eseményekkel kapcsolatos intézkedések, eljárások nyomon követése

Az érintett szervezeti egységek vezetőinek feladata az adatvédelmet sértő eseményekkel kapcsolatos intézkedések, eljárások nyomon követése során:

  1. a) az elrendelt eljárások, a meghozott döntések, illetve a megindított eljárások figyelemmel kísérése,
  2. b) az eljárások során készített javaslatok, intézkedési tervek megvalósítása és a végrehajtás ellenőrzése,
  3. c) a feltárt adatvédelmet sértő esemény alapján a további bekövetkezési lehetőségek beazonosítása, szükség esetén a belső szabályzatok, illetve jogszabályok módosításának kezdeményezése,
  4. d) annak vizsgálata, hogy az ellenőrzési nyomvonalban rögzített eljárás az adott adatvédelmet sértő eseményt miért nem szűrte ki, indokolt esetben gondoskodni kell az ellenőrzési nyomvonal felülvizsgálatáról, helyesbítéséről.

 

Amennyiben az intézkedések végrehajtása során megállapítást nyer, hogy az alkalmazott intézkedések nem elég hatásosak, az adatvédelmet sértő esemény megszüntetéséért felelős vezető, kiemelt jelentőségű esetben az irányítási jogkörrel rendelkező Szolgáltató további intézkedést rendel el.

Az adatvédelmi tisztviselő jogállása

Az Adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

Az Adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a jogszabályban előírt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

Az Adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az Adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az Adatkezelő taggyűlésének vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

 

Az adatvédelmi tisztviselő feladatai

Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a GDPR szerinti hatásvizsgálat elvégzését;

együttműködik a felügyeleti hatósággal.

az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

 

Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

Itt tudod letölteni az Adatvédelmi- és adatkezelési tájékoztatót.

Kattints ide: ? Adatvédelmi- és adatkezelési tájékoztató letöltése.

 

X
0
    0
    Kosár tartalma
    Üres a kosárKörbenézek
    Tovább vásárolok