Adatvédelmi és adatkezelési tájékoztató

A jelen Tájékoztató célja, hogy rögzítse az adatkezelő által alkalmazott adatvédelmi és adatkezelési elveket és szabályokat.

1.1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679/EU Rendelet (a továbbiakban: „általános adatvédelmi rendelet) szerint az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett (a továbbiakban: érintett) részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15-22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.

1.2. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”) rögzíti, hogy az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról. Az Infotv. és az általános adatvédelmi rendelet rendelkezései szerint az adatkezelés akkor jogszerű, ha valamelyik feltétel teljesül:

• az érintett a hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez,
• az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges,
• az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
• az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

1.3. A fenti tájékoztatás kiterjed az érintett adatkezeléssel kapcsolatos jogokra és jogorvoslati lehetőségekre is, melyeknek köre:

• az adatgyűjtés ténye,
• az érintettek köre,
• az adatgyűjtés célja,
• az adatkezelés időtartama,
• az adatok megismerésére jogosult lehetséges adatkezelők személye,
• az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint
• ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma.

1.4. Az adatkezelő a weboldala által kezelt adatait az adatvédelemre vonatkozó mindenkor érvényes és hatályos jogszabályi előírások betartásával kezeli és tárolja. Az erre vonatkozó szabályok a jelen Adatvédelmi és Adatkezelési Tájékoztatóban olvashatók, amely az adatkezelési módszerek mellett egyúttal az adatvédelemre és személyes adatok biztonságos kezelésre vonatkozó intézkedéseket is rögzíti.

1.5. Az adatkezelő a vonatkozó jogszabályokra figyelemmel egyoldalúan jogosult adatkezelési elvei módosítására. A módosított adatkezelési elvek a honlapra történő feltöltéssel válnak hatályossá. Minden egyes módosítást követően az adatkezelő felhívja az érintettek figyelmét, hogy az adatok kezelésére vonatkozó tájékoztató megváltozott.

1.6. Az adatkezelő felelősséget vállal a weboldalt látogatók személyiségi jogainak védelméért, viszont az interneten keresztül továbbított információk biztonsága teljes körűen nem biztosítható, és az adatkezelő az érintett internethez való hozzáférésének biztonsági hiányosságaiból eredő kockázatokért felelősséget nem tud vállalni. Az érintett az internetelérésének biztonságát önmaga köteles biztosítani, ezért javasolt biztonsági intézkedések bevezetése a személyes adatok biztonsága érdekében.

személyes adat: azonosított vagy azonosítható természetes személyekre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságra vonatkozó egy vagy több tényező alapján azonosítható;

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

felügyeleti hatóság: a Nemzeti Adatvédelmi és Információszabadság Hatóság (postacím: H-1125 Budapest, Szilágyi Erzsébet fasor 22/C., telefon: 06 (1) 391-1400, email: [email protected], weboldal: http://naih.hu).

Az Adatkezelési Tájékoztató alapjául szolgáló valamennyi adatkezelés tekintetében – különösen, de nem kizárólagosan – az alábbi jogszabályok irányadók:

• a Polgári Törvénykönyvről szóló 2013. évi V. törvény;
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény;
• az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény;
• a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény;
• az elektronikus hírközlésről szóló 2003. évi C. törvény;
• a fogyasztóvédelemről szóló 1997. CLV. törvény;
• a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679/EU Rendelet.

Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

3.1. Az adatkezelés jogalapja:

Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az adatkezelésre egyrészt az érintettek által az adatkezelő weboldalán önkéntesen, az érintett megfelelő tájékoztatásán alapuló, határozott hozzájáruló nyilatkozata alapján, másrészt az adatkezelő és az érintett között létrejött szerződés teljesítése érdekében kerül sor. Az érintett személyes adatainak rögzítésére csak az adatvédelmi tájékoztató elfogadása után kerülhet sor. Másrészt az adatkezelés jogalapja további jogszabályok alapján kötelező, melyhez az érintett hozzájárulása nem szükséges:

• az adózás rendjéről szóló 2017. évi CL. törvény (Art.) 78. § (1) bekezdésében foglalt iratmegőrzési kötelezettség alapján,
• az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (1) bekezdése alapján a szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti az igénybe vevő azonosításához szükséges természetes személyazonosító adatokat és lakcímet,
• a számvitelről szóló 2000. évi C. törvény 169. § (1) bekezdésében foglalt bizonylatmegőrzési kötelezettség alapján.

Az érintett hozzájárulása alapján

• a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (1) bekezdése alapján hírlevelet az adatkezelő az érintett hozzájárulása alapján küldhet.

3.2. Az adatkezelés célja:

Az adatkezelő az adatokat kizárólag az online megrendelések teljesítése, online (e-mailen történő) hírlevél küldése és marketing célú online megkeresés érdekében, valamint az adatkezelőre vonatkozó jogi kötelezettségek teljesítése céljából tárolja és kezeli. Az érintett a személyes adatainak rögzítéséhez hozzájáruló nyilatkozatát bármikor visszavonhatja, a hírlevél-szolgáltatásról bármikor leiratkozhat és kérheti a megadott adatok törlését.

Az adatkezelés a fenti célokból kizárólag a törvényben meghatározott módon, a cél megvalósulásához szükséges mértékben és ideig, és kizárólag azzal a személyes adattal történik, amely a fenti célok megvalósulásához elengedhetetlenül szükséges, és a cél elérésére alkalmas.

Az adatkezelő az érintett személyes adatait csak az érintett kifejezett hozzájárulása, vagy jogszabály erre irányuló rendelkezése alapján továbbítja harmadik személyek, illetve hatóság és bíróság felé.

3.3. Az adatok megismerésére és kezelésére jogosult személyek köre

A személyes adatok megismerésére kizárólag az adatkezelő alkalmazásában lévő munkatársak jogosultak. A szerződés teljesítéséhez szükséges adatok megismerésére és kezelésére kizárólag olyan munkatárs jogosult, aki az adatkezelő értékesítési és ügyfélszolgálati munkatársa.

Az adatkezelő a szolgáltatásának nyújtása során a következő adatfeldolgozók közreműködését veszi igénybe, amelyek a személyes adatok feldolgozására jogosultak az érintett és az adatkezelő között fennálló szerződés teljesítéséhez.

• Hírlevél-szolgáltatás: The Rocket Science Group LLC (székhelye: 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, Amerikai Egyesült Államok, elektronikus elérhetőség: [email protected], https://mailchimp.com/legal/)
• Számlázó-szolgáltatás: White Wind Kft., elektronikus elérhetőség:[email protected]
• Online fizetési szolgáltató: „Simple Pay” - OTP Mobil Kft. (1093 Budapest, Közraktár u. 30-32.) elektronikus elérhetőség: [email protected] adatkezelési tájékoztató: http://simplepay.hu/vasarlo-aff
• Tárhely-szolgáltatás: RACKFOREST Kft., elektronikus elérhetőség: [email protected]
• Adatkezelő e-mail és felhasználói-élmény szolgáltatója: Google LLC (székhelye: 1600 Amphitheatre Parkway Mountain View, CA 94043 Amerikai Egyesült Államok, elektronikus elérhetőség: https://www.google.com/intl/hu_hu/contact/. adatvédelmi tájékoztató: https://policies.google.com/privacy?hl=hu&gl=hu)
• Felhasználói élménynövelést célzó program: Bugsnag Inc. (székhelye: 110 Sutter St. Suite 1000, San Francisco, CA 94104, Amerikai Egyesült Államok, elektronikus elérhetőség: http://www.bugsnag.com/, adatvédelmi tájékoztató: https://docs.bugsnag.com/legal/privacy-policy/
• Felhasználói élménynövelést célzó program: Hotjar Limited (székhelye: Level 2, St Julian’s Business Centre, 3, Elia Zammit Street, St Julian’s STJ 1000, Malta, elektronikus elérhetőség: http://www.hotjar.com/, adatvédelmi tájékoztató: https://www.hotjar.com/legal/policies/privacy/
• Szállítást végző Partnercégek és elektronikus elérhetőségük:
  • GLS General Logistics Systems Hungary Csomag-Logisztikai Kft. (GLS) [email protected]
  • GE Logisztika Kft. (Home Delivery Team) [email protected]
  • Gebrüder Weiss Kft. (Gebrüder Weiss) [email protected]
  • Pannon XP Kft. (PXP) [email protected]
  • UPS Magyarország Kft (UPS) [email protected]
  • DPD Hungary Kft (DPD) [email protected]
  • Sprinter Futárszolgálat Kft. [email protected]

3.4 SimplePay Adattovábbítási nyilatkozat

Tudomásul veszem, hogy az XXL FUTÁR Korlátolt Felelősségű Társaság (1041 Budapest, Szigeti József utca 25. 9. emelet 53.) adatkezelő által a https://xxlfutar.hu felhasználói adatbázisában tárolt alábbi személyes adataim átadásra kerülnek az OTP Mobil Kft. (1093 Budapest, Közraktár u. 30-32.), mint adatfeldolgozó részére. Az adatkezelő által továbbított adatok köre az alábbi: Név, e-mail cím Az adatfeldolgozó által végzett adatfeldolgozási tevékenység jellege és célja a SimplePay Adatkezelési tájékoztatóban, az alábbi linken tekinthető meg: http://simplepay.hu/vasarlo-aff

Az adatfeldolgozók külön, írásban tett meghatalmazás nélkül nem vehetnek igénybe további adatfeldolgozót. Azon adatfeldolgozók, amelyek az uniós jog hatálya alá tartoznak, az uniós adatvédelmi rendelet szabályai alapján járnak el, míg azon adatfeldolgozók, amelyek főként harmadik országban végzik tevékenyégüket, az adatkezelő és az adatfeldolgozó közötti szerződés köti az adatfeldolgozót az adatkezelővel szemben.

Amennyiben az adatkezelő itt fel nem sorolt adatfeldolgozót vesz igénybe, úgy legalább köteles az érintettet e körben történő tájékoztatására, tartós megbízás esetén pedig jelen Tájékoztató módosítására.

Az adatkezelő a felhasználói élménynövelés céljából egy olyan programot használ (Bugsnag), amely a felhasználókról anonim, vagyis nem azonosítható módon olyan információkat gyűjt, amely az adatkezelő weboldalán aktív felhasználó böngészési tevékenységét követi.

4.1. Adatkezelő a jelen Adatkezelési Tájékoztató hatálya alá tartozó tevékenységével összefüggésben az alábbi, közvetlenül az érintettől felvett személyes adatokat kezeli:

• Teljes név (vezetéknév, keresztnév)
• Szállítási cím, értesítési cím, számlázási cím
• Telefonos elérhetőség
• Elektronikus elérhetőség (e-mail cím)

4.2. A jelen Tájékoztató szerinti személyes adatok rögzítésére kizárólag azt követően kerülhet sor, miután az adatkezelő az érintett részére az adatkezelés alapjául szolgáló Adatkezelési Tájékoztató megismerését lehetővé tette. Azáltal, hogy az adatvédelmi és adatkezelési tájékoztató az adatkezelő weboldalán bármely személy által hozzáférhető, valamint azt a regisztráció rögzítése és a megrendelések elfogadása esetén megismerhetővé teszi az érintett számára, az érintett nem hivatkozhat annak megismerésének hiányára.

4.3. Az adatfelvételre az adatkezelő weboldalán, közvetlenül az érintett által kerül sor. Az adatrögzítés folyamatát az érintett maga irányítja, ennek hiányában az adatrögzítésre nem kerülhet sor, továbbá, amennyiben az adatrögzítés során az érintett az adatrögzítés folyamatát akár kifejezetten, akár ráutaló magatartással megszakítja, úgy az adatrögzítés megszakad, és az addig megadott személyes adatokat nem kerülnek rögzítésre.

4.4. Az adatkezelő a megadott személyes adatokat az Adatkezelési Tájékoztatóban írt céloktól eltérő célokra nem használja, illetve használhatja fel. Személyes adatokat harmadik személynek vagy hatóság, bíróság számára kizárólag az érintett előzetes, kifejezett hozzájárulása esetén továbbítja, kivéve, ha törvény ettől eltérően nem rendelkezik.

4.5. Az adatkezelő az érintett által megadott személyes adatok hitelességét nem köteles ellenőrizni. A megadott adatok hitelességéért kizárólag az érintett személy felel. Az érintett e-mail címének megadásakor egyúttal felelősséget vállal azért, hogy a megadott e-mail címről kizárólag az érintett vesz igénybe szolgáltatást. Amennyiben az érintett e-mail címéhez harmadik személy is hozzáfér, és az érintettnek kárt okoz, az ebből eredő károk megtérítéséért az adatkezelő felelősséget nem vállal. Az adatkezelő nem köteles ellenőrizni, hogy az e-mail cím valóban az azt megadó érintetthez tartozik, ily módon jogosult vélelmezni, hogy a megadott személyes adatok tekintetében az adatkezelés jogszerű.

4.6. Amennyiben az adatkezelő a személyes adatokat nem az érintettől szerzi meg, az adatkezelő az érintett rendelkezésére bocsátja – az adatok megszerzésétől számított észszerű határidőn belül, de legkésőbb egy hónapon belül – a jelen Tájékoztatót, valamint:

• az adatkezelő és annak képviselőjének elérhetőségét,
• a személyes adatok tervezett kezelésének célját, az adatkezelés jogalapját,
• az érintett személyes adatok kategóriáit,
• a személyes adatok tárolásának időtartamát, ennek hiányában az időtartam meghatározásának szempontjait,
• ha az adatkezelés hozzájáruláson alapul,
• tájékoztatja az érintettet a jogairól,
• a felügyeleti hatósághoz benyújtható panasz jogáról.

4.7. Az adatkezelő különböző online közösségi oldalakon kiegészítő ügyfélszolgálati tevékenységet végezhet (Facebook). A közösségi oldalon való adatkezeléshez az érintett önkéntes hozzájárulása alapján kezeli az adatkezelő az adatokat, abban a minimális mértékben, amennyiben az a szerződés teljesítéséhez, illetve az érintett tájékoztatásához szükséges.

5.1. Az adatrögzítés során megadott személyes adatok kezelése a rögzítés időpontjában kezdődik és a szerződés teljesítéséi, illetve a jogszabályban meghatározott határidőig tart. Az adatok rögzítése, amennyiben az érintett hozzájárulása alapján történik, a hozzájárulás visszavonásáig tart.

5.2. Az érintett bármikor kérhet felvilágosítást az adatkezelő által kezelt adatairól, ez alatt értve a kezelt adatok körét, az adatrögzítés időpontját és módját, valamint az adatkezeléssel kapcsolatos, hatályos elveket, szabályokat egyaránt. Az érintett bármikor indokolás és korlátozás nélkül ingyenesen kérheti rögzített adatai módosítását, továbbá azok adatkezelő adatbázisából való törlését az adatkezelő bármely elérhetőségén.

Az adatkezelő által üzemeltetett weboldal úgynevezett „cookie”-kat használ profiladatok és állapotadatok gyűjtéséhez a látogatók nyomon követésére. A cookie-k olyan adatok, melyek ideiglenesen a böngészőprogramról az érintett számítógépének merevlemezére kerülnek a weboldal meglátogatásával, és amelyek a weboldal teljesebb és gyorsabb használatához szükségesek. A lementett adatok azonban önmagukban nem használhatók fel a látogató személyazonosságának beazonosítására. A cookie-k további funkciókat biztosítanak a weboldal számára, illetve segítségükkel pontosabban fel tudjuk mérni a weboldal használatát. Az Info tv. alapján cookie alkalmazásához az érintett előzetes hozzájárulásával van lehetőség. Az érintettnek tehát módjában áll engedélyeznie vagy elutasítania a cookie-kat, valamint böngészője beállításainak módosításával akár el is utasíthatja azok rögzítését. Amennyiben az érintett úgy dönt, hogy a cookie-kat elutasítja, előfordulhat, hogy az adatkezelő weboldala vagy más honlapok interaktív funkcióit nem tudja teljes egészében a rendeltetésének megfelelően igénybe venni.

7.1. Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt a jogszabályi követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

7.2. Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

7.3. A biztonság megfelelő szintjének meghatározásakor figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

7.4. Adatkezelő a működéséhez olyan informatikai rendszert használ, amely biztosítja, hogy az adatok:

• változatlansága igazolható legyen (adatintegritás);
• hitelessége biztosított legyen (adatkezelés hitelessége);
• az arra jogosultak számára hozzáférhetőek legyenek (rendelkezésre állás);
• illetve, hogy a jogosultalan hozzáférés ellen védett legyen (adat bizalmassága).

7.4.1. Az adatok védelme kiterjed különösen:

• a jogosultalan hozzáférésre;
• megváltoztatásra;
• továbbításra;
• törlésre;
• nyilvánosságra hozatalra;
• véletlen sérülésre;
• véletlen megsemmisülésre; illetve az alkalmazott technika megváltozása megváltozásából fakadó hozzáférhetetlenné válásra

7.5. Az adatkezelő és az adatkezelő képviselője feladatai végrehajtása során a felügyeleti hatósággal együttműködik.

8.1. Az érintett kérelmezheti az adatkezelőnél:

• tájékoztatását személyes adatai kezelésének céljáról, kategóriájáról, tárolásának időtartamáról, jogairól, a panasztételi jogáról, az adatok forrásáról,
• személyes adatainak helyesbítését és törlését,
• az adatkezelés meghatározott körre történő korlátozását,
• tájékoztatását, ha személyes adatait megváltoztatják, illetve harmadik személy részére továbbítják,
• személyes adatainak zárolását,
• az adathordozhatóságához való jogának gyakorlását,
• a profilalkotás és automatizált adatkezelés elmaradását, megszüntetését,
• tiltakozhat a személyes adatainak kezelése ellen.

8.2. Az adatkezelő profilalkotást nem végez, automatizált döntéshozatalt nem alkalmaz, valamint közérdekű cél, illetve közhatalmi jog birtokában személyes adatokat nem kezel.

8.3 Tájékoztatás iránti jog: Az érintett kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről.

8.4. Az adatkezelő köteles a tájékoztatási kérelemnek a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában írásban megadni eleget tenni. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben adatkezelő költségtérítést állapíthat meg:

• az érintett ismételten, lényegében változatlan tartalomra kér tájékoztatást/intézkedést;
• a kérelem egyértelműen megalapozatlan;
• a kérelem túlzó.

8.5. Helyesbítés iránti jog: Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.

8.6. Adathordozhatóság iránti jog: Az adathordozhatósághoz való joga alapján az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat géppel olvasható formátumban megkapja és ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

8.7. A törlés iránti jog: A személyes adatot törölni kell, ha

• kezelése jogellenes;
• az érintett kéri;
• az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki;
• az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
• azt a bíróság vagy a felügyeleti hatóság elrendelte.

8.8. Adatok zárolása iránti jog: Törlés helyett az adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. A zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.

8.9. Adatkezelés korlátozása iránti jog: az érintett kérésre az adatkezelő korlátozza az adatkezelést, ha az érintett vitatja a személyes adatainak pontosságát, ha az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, ha az adatkezelőnek már nincs szükséges a személyes adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez.

8.10. A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a felügyeleti hatósághoz fordulás lehetőségéről.

9.1. Amennyiben az érintettnek a személyes adatai kezelésének jogszerűségével kapcsolatban kétsége merül fel, javasolt, hogy az érintett először az adatkezelő bármely elérhetőségén keresztül vegye fel a kapcsolatot az adatkezelővel a panasza gyors és békés megoldása érdekében.

9.2. Az adatkezelő az érintett kérelemének benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

9.3. Ha az Adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

9.4. Amennyiben az érintett az Adatkezelő által meghozott döntésével nem ért egyet, valamint, ha az Adatkezelő a fenti határidőt elmulasztja, az ellen - annak közlésétől számított 30 napon belül – bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.

9.5. Ha a személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, a felügyeleti hatóságnál bárki bejelentéssel élhet.

9.6. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. Az adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.

9.7. A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat.

9.8. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért és az adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.

10.1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens tudomására jutásától számított 72 órán belül bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

10.2. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásban világosan és közérthetően ismertetni kell az adatkezelő, illetve kapcsolattartója elérhetőségét, az adatvédelmi incidens jellegét, továbbá közölni kell az adatvédelmi incidensből eredő, valószínűsíthető követkeményeket, az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket és az esetleges hátrányos jogkövetkemények enyhítését célzó intézkedéseket.

10.3. Az adatkezelő köteles nyilvántartást vezetni az esetleges adatvédelmi incidensekről, az esetleges ellenőrzések, valamint az érintett tájékoztatása céljából. A nyilvántartásnak tartalmaznia kell az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

11.1. A jelen Tájékoztatóban nem szabályozott kérdésekre, valamint jelen Tájékoztató értelmezésére a magyar jog az irányadó.

Budapest, 2023.01.15