JPF World Szolgáltató Korlátolt Felelősségű Társaság
Adatkezelő: JPF World Szolgáltató Korlátolt Felelősségű Társaság
cím: 1016 Budapest, Orom utca 20/B.
képviselő: Polgár Judit
e-mail: webshop@polgarjudit.hu
ADATKEZELÉSI SZABÁLYZAT
Hatályos 2020. szeptember 15. napjától
Tartalom
- Adatkezelő adatai ....................................................................................................................................... 3
- Fogalom-meghatározások ....................................................................................................................... 3
- Szabályzat célja, hatálya, elvei ................................................................................................................ 5
- Adatkezelő által végzett adatkezelések ............................................................................................... 6
IV/A. Webáruházban történő regisztrációkor végzett adatkezelés ............................................................ 7
IV/B. Webáruházban történő vásárláskor és szállításkor végzett adatkezelés ........................................ 8
IV/C. Online látogatókkal kapcsolatos adatkezelések (hirdetések) ............................................................. 9
IV/D. Sütik („Cookie-k”) használata ....................................................................................................................... 10
- A személyes adatok jogosultjainak jogai ............................................................................................ 11
V/A. Tájékoztatáshoz való jog .............................................................................................................................. 11
V/B. Helyesbítéshez való jog ................................................................................................................................... 12
V/C. Hozzáféréshez való jog .................................................................................................................................... 12
V/D. Törléshez való jog ............................................................................................................................................. 12
V/E. Adatkezelés korlátozásához való jog ........................................................................................................... 13
V/F. Adathordozhatósághoz való jog ................................................................................................................... 13
V/G. Tiltakozáshoz való jog ...................................................................................................................................... 13
- Az Adatkezelési felelős .............................................................................................................................. 14
- Adatbiztonság és az adatok tárolásának rendje ............................................................................... 15
- Adatok továbbításának rendje ............................................................................................................... 16
- Adatvédelmi incidens esetén követendő protokoll ......................................................................... 17
- Jogorvoslat .................................................................................................................................................... 19
- Záró rendelkezések .................................................................................................................................... 19
A JPF World Szolgáltató Korlátolt Felelősségű Társaság (a továbbiakban: Adatkezelő)
az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló – és 2018. május 25. napjától alkalmazandó – (EU) 2016/679 rendeletének (a továbbiakban: GDPR),
az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Info.tv.) való megfelelés céljából,
a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.),
a számvitelről szóló 2000. évi C. törvény (a továbbiakban: Szvtv.),
a fogyasztóvédelemről szóló 1997. évi CLV. törvény (a továbbiakban: Fogyvéd.tv.),
a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Grt.), valamint
az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Eker.)
az Adatkezelő által működtetett online webáruházban (a továbbiakban: Webáruház) folytatott kereskedelmi tevékenységével összefüggésben az Adatkezelővel kapcsolatba kerülő természetes személyek személyes adatainak fokozott védelme, illetve ezen személyes adatok jogszerű, tisztességes és átlátható kezelése, valamint felhasználása módjának meghatározása céljából
a változó jogszabályi környezethez alkalmazkodás, és Adatkezelő adatvédelem iránti elkötelezettsége, ezzel együtt résztvevői irányába fennálló bizalom fenntartása érdekében
AZ ALÁBBI SZABÁLYZATOT ALKOTJA:
- Adatkezelő adatai
Adatkezelő cégneve: JPF World Szolgáltató Korlátolt Felelősségű Társaság
Adatkezelő székhelye: 1016 Budapest, Orom utca 20/B.
Adatkezelő nyilvántartási száma: 01-09-197016
Adatkezelő adószáma: 25053328-2-41
Adatkezelő telefonszáma: 0670/9053232
Adatkezelő elektronikus elérhetősége: webshop@polgarjudit.hu
Képviseli: Polgár Judit ügyvezető
- Fogalom-meghatározások
A jelen Szabályzat alkalmazásában:
Érintett: bármely természetes személy, aki azonosított, illetve beazonosítható (közvetlenül, illetve közvetve) a személyes adatai alapján – például név, lakcím, személyazonosító jel, stb. - történő hozzáférés révén, illetve egy vagy több ismert tulajdonság alapján, ami lehet az adott természetes személy fizikai, fiziológiai, genetikai, pszichológiai, gazdasági, kulturális, illetve társadalmi azonosító tulajdonsága is.
Személyes adatok: az érintettre vonatkozó bármilyen információ – különösen az érintett neve, személyi azonosítója, egy vagy több információ fizikai, fiziológiai, illetve mentális tulajdonságára, gazdasági, kulturális, illetve társadalmi tulajdonságai – illetve bármilyen olyan következtetés az érintettel kapcsolatosan, amely az ilyen jellegű információkból és adatokból levonható.
Különleges adatok: személyes információk faji, illetve etnikai származással, politikai véleményekkel, illetve politikai párttagsággal, vallási hittel, világnézetekkel speciális szervezeti tagságokkal, szexuális élettel kapcsolatosan, valamint az egészségi állapotra, patológiai tendenciákra és a bűnügyi nyilvántartásokra vonatkozóan.
Adatkezelő: az a természetes személy, jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely egyedül, illetve másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit, az adatkezelésre vonatkozó döntéseket meghozza, végrehajtja vagy az adatfeldolgozóval végrehajtatja azokat és aki felelős annak jogszerűségéért.
Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.
Adatfeldolgozó: egy természetes személy, jogi személy, vagy jogi személyiséggel nem rendelkező szervezet, aki az adatkezelő megbízásából vagy rendelkezése alapján adatkezelési műveleteket végez, személyes adatokat kezel.
Adatkezelés: bármely, a személyes adatokkal végrehajtott művelet, illetve műveletek kombinációja, automatizált eljárásokkal, vagy azok nélkül, beleértve a gyűjtést, értékelést, osztályozást, strukturálást, mentést, zárolást, keresést, használatot, hozzáférés megadását, terjesztést, osztályozást, illetve összeállítást, tönkretételt, törlést, illetve a megsemmisítés bármilyen más formáját. A személyes adatok kezelése kiterjed a fénykép, az audio, illetve vizuális nyilvántartásokra és bármely fizikai tulajdonság olyan rögzítésére, amely felhasználható a személyek beazonosítására, illetve egy természetes személy kapcsolattartási adatainak egy nyilvántartási listába történő lementésére.
Hozzájárulás: az érintett önkéntes, határozott, egyértelmű és megfelelő tájékoztatáson alapuló beleegyezése abba, hogy személyes adatait kezeljék és felhasználják általános célokra, vagy egy konkrét művelethez.
Tiltakozás: az érintett arra vonatkozó nyilatkozata, hogy tiltakozik személyes adatainak kezelése ellen és követeli azok kezelésének korlátozását, illetve a tárolt adatok törlését.
Adatkezelés korlátozása: a tárolt személyes adatok zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján.
Profilalkotás: a személyes adatok bármilyen formában történő automatizált feldolgozása abból a célból, hogy annak eredményeit felhasználják egy természetes személlyel kapcsolatos több személyes szempont értékelésére, és konkrétan a személy szakmai teljesítményével, gazdasági helyzetével, egészségügyi állapotával, személyes preferenciáival, megbízhatóságával, viselkedésével, általa gyakran látogatott helyekkel, illetve mozgásával kapcsolatos szempontok felmérése, illetve előrejelzése céljából.
Álnevesítés: a személyes adatok oly módon történő kezelése, amelynek eredményeképpen a konkrét érintett nem azonosítható be további olyan adatok elérése nélkül, amelyeket külön tárolnak, és amely olyan műszaki és szervezeti intézkedések tárgyát képezik, amelyek biztosítják azt, hogy azok ne legyenek egy beazonosított, illetve beazonosítható természetes személyhez társíthatók.
Személyes adatok gyűjtése: módszeres eljárás, illetve a folyamatoknak egy kombinációja abból a célból, hogy személyes információkat gyűjtsenek készüléken történő tárolás céljából, azonnali és/vagy későbbi feldolgozás érdekében.
A személyes adatok tárolása: az adatok megőrzése olyan formában, amely lehetővé teszi azok további kezelését és feldolgozását.
A személyes adatok megsemmisítése: a személyes adatokat tartalmazó adattároló berendezés teljes fizikai megsemmisítése.
Biometrikus adatok: személyes adatok, amelyeket speciális műszaki feldolgozás révén állítanak elő, és amelyek egy természetes személy fizikai, illetve fiziológiai, illetve viselkedési jellemzőivel kapcsolatosak, és amelyek lehetővé teszik, illetve visszaigazolják az egyén beazonosítását, például arcfelismerésre vagy ujjlenyomatra vonatkozó információk.
Egészségügyi adatok: egy természetes személy fizikai, illetve fiziológiai egészségével kapcsolatos személyes adatai, beleértve az olyan orvosi szolgáltatások nyújtásával kapcsolatos információkat, amelyek az illető egészségügyi állapotára vonatkozó információkat tárnak fel.
Adatvédelmi incidens: a személyes adatok biztonságának olyan megsértése, amely a továbbított, tárolt, illetve másféleképpen feldolgozott személyes adatok nem szándékos vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, illetve engedély nélküli megszerzését, illetve hozzáférését eredményezheti.
Adattovábbítás: adatok hozzáférhetővé tétele konkrét harmadik személy számára.
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.
Az adatok törlése: annak érdekében történő eljárás, hogy biztosítva legyen az adatok oly módon történő értelmezhetetlenné tétele, hogy lehetetlen legyen azokat helyreállítani, illetve visszanyerni.
Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
- Szabályzat célja, hatálya és elvei
- Jelen Szabályzat célja, hogy Adatkezelő online webáruházban történő kereskedelmi forgalom lebonyolítása (internetes vásárlások, visszaküldés, csere, kiszállítás, termékértékesítés, reklámozás, vételár visszafizetés) érdekében az érintettek, mint természetes személyek vonatkozásában a kezelésében lévő személyes adatokról vezetett nyilvántartások jogszerű rendjét meghatározza; biztosítsa, hogy az érintett természetes személyek személyes adatait a mindenkor hatályos jogszabályi feltételek mentén kezelje, tárolja, továbbá e természetes személyek személyes adataik védelméhez való jogai ne sérüljenek. Az Adatkezelő az Érintettek személyes adatainak kezelése alkalmával köteles a GDPR, az Info.tv., valamint a jelen Szabályzat rendelkezéseinek mindenek felett álló megtartására.
- Jelen Szabályzat alkalmazandó minden olyan esetben, amikor az Adatkezelő természetes személyek személyes adatait részben vagy egészben automatizált módon kezeli, valamint olyan esetekben is, amikor a személyes adatok nem automatizált adatkezelése valamely nyilvántartási rendszer részét képezi, vagy ilyen nyilvántartási rendszer részévé kívánják azt tenni.
- Az Adatkezelő a személyes adatok kezelése során köteles megtartani az adatkezelésre vonatkozó jogszabályokban meghatározott alábbi elveket (GDPR 5. cikk (1) bekezdés és Info.tv. 4.§):
- a törvényesség, a tisztességesség és az áttekinthetőség érdekében az Adatkezelő köteles a személyes adatokat a jogszabályoknak megfelelően kezelni, illetve átlátható, szabályos, és átfogó módon tájékoztatnia kell az érintetteket az adatkezelés mértékéről és az abból származó következményekről;
- személyes adatokat kizárólag egyértelműen meghatározott és jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet kezelni, kizárólag oly módon, amely összhangban van a fenti célokkal, az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának;
- az adattakarékosság – a személyes adatoknak az adatkezelés céljához kell igazodniuk, csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, a személyes adatok csak a cél megvalósulásához szükséges mértékben és ideig kezelhetők;
- a személyes adatoknak pontosaknak, teljesnek és naprakészeknek kell lenniük;
- az adatmegőrzés korlátozása – a személyes adatokat csak addig szabad olyan formában megőrizni, amely lehetővé teszi az érintettek beazonosítását, ameddig arra szükség van az adatkezelés adott céljainak teljesítése kapcsán;
- Személyes adat az adatkezelés során mindaddig megőrzi az azonosításra alkalmas minőségét, amíg kapcsolata az érintettel helyreállítható, az érintettel akkor helyreállítható a kapcsolat, ha az Adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek;
- sértetlenség és titkosság – a kezelt személyes adatok szükséges védelmének érdekében biztosítani kell az ehhez megfelelő műszaki és szervezeti intézkedések kialakítását;
- minimalizálni kell azon személyek magánéletébe történő beavatkozást, akiknek a személyes adatait kezelik és tiszteletben kell tartani a törvény által védett jogaikat, érdekeiket és szabadságukat;
- a személyes adatok kezelése és tárolása során biztosítani kell azt, hogy ne lehessen azokkal visszaélni, azokat elveszteni, engedély nélkül azokat megsemmisíteni, illetve bárminemű egyéb, engedély nélküli tevékenységet végrehajtani velük;
- az adatkezelés során biztosítani kell az Adatkezelő alkalmazottai, az ügyfelei és az Adatkezelő szerződéses partnerei közötti kapcsolatok terén a titoktartást.
- Adatkezelő által végzett adatkezelések
- Adatkezelő által végzett valamennyi adatkezelés adatvédelem hatálya alá tartozik. Adatkezelő a személyes adatok vonatkozásában adatkezelésre csak akkor jogosult, ha arra jogcímmel rendelkezik.
- Adatkezelő személyes adatokon végzett adatkezelést, személyes adatok megismerését, gyűjtését vagy felhasználását csak abban az esetben jogosult végezni (akkor rendelkezik jogcímmel),
- az adatkezelést törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén- helyi önkormányzat rendelete közérdeken alapuló célból elrendeli
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a személyes adatok jogosultja az egyik fél, vagy az a szerződés megkötését megelőzően a személyes adatok jogosultjának kérésére történő lépések megtételéhez szükséges;
- amennyiben az adatkezelés Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez
- Adatkezelő adatkezelési tevékenységét adatfeldolgozó igénybevétele nélkül végzi. Adatkezelő különleges adatot nem kezel, illetve adatot harmadik személy számára nem továbbít sem belföldre, sem külföldre.
- Az adatkezelés során a személyes adat jogosultját (érintettet, ügyfelet) Adatkezelő a személyes adat jogosultjával létrehozandó jogviszony létesítését megelőzően – az ügyféllel való első kapcsolatfelvétellel egyidőben – köteles tájékoztatni
a) Adatkezelő nevéről, elérhetőségéről, képviselőjéről;
b) arról, hogy a jogviszony létrejöttével érintett az adatkezeléshez is hozzájárul,
c) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d) a személyes adat tárolásának tervezett idejéről;
e) a személyes adat jogosultját megillető jogokról;
f) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
- Adatkezelő a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A tájékoztatás megadása mellett Adatkezelő köteles a jelen Szabályzatot az ügyfél részére hozzáférhetővé tenni, kérésére elektronikus formában ügyfél elektronikus kézbesítési címére megküldeni.
- Adatkezelő köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával jogviszonya bármely okból megszűnt, kivéve, amennyiben a személyes adatok megőrzését a Adatkezelő számára jogszabály írja elő.
IV/A. Webáruházban történő regisztrációkor végzett adatkezelés
- A jelen alfejezet szerinti adatkezelés célja a Webáruházon történő online regisztráció megtétele annak érdekében, hogy a regisztráció során megadott adatok tárolásával az Adatkezelő kényelmesebb szolgáltatást tudjon biztosítani az Érintett számára (pl.: az érintett adatait ne kelljen újabb vásárláskor megadni).
- A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz Adatkezelő megfelelő jogcímmel rendelkezik.
- Adatkezelés jogalapja a GDPR. 6. cikk (1) bekezdés a) pontja szerint az Érintett hozzájárulása.
- Az Érintett hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) a hírlevélszolgáltatás igénybevételére vonatkozik.
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
A kezelt adatok köre, melyek a regisztrációhoz feltétlenül szükségesek és a későbbi vásárlási tevékenységet könnyítik mind az Érintett, mind az Adatkezelő részére:
- Érintett családi neve és utóneve/ Cégneve
- Érintett e-mail címe
- Érintett telefonszáma
- Érintett címe/szállítási címe (amennyiben eltér)
- Érintett adószáma (kizárólag jogi személy esetén)
- Kapcsolattartó személy neve (amennyiben eltér az Érintettől)
- Felhasználó kizárólagos felelősséggel tartozik azért, hogy Adatkezelő által üzemeltetett honlapon belépéshez használt felhasználó nevét és jelszavát jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel azt ne közölje, ne semmisítse meg, ne veszítse el. Adatkezelő nem vállal felelősséget azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott egyéb adatait a jelen Szabályzat, valamint az adatvédelemre vonatkozó mindenkor hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti, elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik számára.
- Az Érintett által a regisztráció során megtett hozzájárulás bármikor visszavonható. A hozzájárulás visszavonása Adatkezelő általi tudomásulvételtől függetlenül hatályos, és a visszavonást követően Adatkezelő hírlevél szolgáltatás nyújtására az adott Felhasználó vonatkozásában nem jogosult.
- A honlapon keresztül megadott személyes adatok kezelésére az Adatkezelő a Felhasználó által a hírlevél szolgáltatás lemondásáig jogosult. A lemondás/visszavonás nem akadálya a honlapon történő egyéb más szolgáltatás igénybe vételének.
IV/B. Webáruházban történő vásárláskor és szállításkor végzett adatkezelés
- A jelen alfejezet szerinti adatkezelés célja a Webáruházon keresztül történő vásárlások, próba vásárlások, illetve a vásárolt termék kiszállításának, számlázásnak a lebonyolítása mely során az Érintett és az Adatkezelő között kötelmi, szerződéses jogviszony (adásvételi szerződés) jön létre.
- A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz Adatkezelő megfelelő jogcímmel rendelkezik.
- Adatkezelés jogalapja a GDPR. 6. cikk (1) bekezdés b) pontja szerint szerződés teljesítése. A vásárlás során a Ptk. 6:215. § rendelkezései szerint a felek között adásvételi szerződés jön létre, mely során Adatkezelő eladja a Webáruházban vásárolt terméket az Érintett számára, a vételár megfizetésével. Továbbá a Ptk. 6:229. § rendelkezései szerint az Érintettnek lehetősége van a terméket próbára megvásárolni, ez esetben az adásvételi szerződés tárgyát képező termék kipróbálását követően nyilatkozhat arról, hogy meg kívánja-e vásárolni véglegesen. Továbbá az adásvételi szerződésben foglaltak szerint az Adatkezelő vállalja a vásárolt/próbára vett termékek házhoz szállítását is.
- A fenti szerződéses feltételek és kötelezettségek teljesítése érdekében az Adatkezelő a vásárlás során az Érintett alábbi személyes adatait kezeli:
- Érintett családi neve és utóneve/Cégneve (jogi személy esetén)
- Érintett e-mail címe
- Érintett telefonszáma
- Érintett címe/szállítási címe (ha eltér)
- Érintett bankszámla száma (vételár fizetés, visszafizetés céljából)
- Kapcsolattartó személy neve (ha eltér az Érintettől)
- Adatkezelés további jogalapja a Szvtv. rendelkezései szerint az Adatkezelőnek az értékesítést követően fennálló számlázási kötelezettségének teljesítése, ekként a GDPR 6. cikk. (1) bekezdés c) pont szerint az Adatkezelő jogszabályi kötelezettségének teljesítése.
- Fenti jogszabályi kötelezettség teljesítése érdekében Adatkezelő az Érintett alábbi személyes adatait kezeli:
- Érintett családi neve és utóneve/Cégneve (jogi személy esetén)
- Érintett bankszámlaszáma
- Érintett adószáma (jogi személy esetén)
- Érintett címe
- A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat megadásától kezdődően a jogviszony megszűnését követő 5 év.
- A jelen alfejezet szerinti adatkezelés módja: elektronikus nyilvántartás vezetése.
- Adatkezelő a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A tájékoztatás megadása mellett Adatkezelő köteles a jelen Szabályzatot az ügyfél részére hozzáférhetővé tenni, kérésére elektronikus formában ügyfél elektronikus kézbesítési címére megküldeni.
- A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy kíván-e kötelmi jogviszonyt létrehozni.
- Amennyiben a személyes adatok jogosultja nem kíván jogviszonyt létesíteni, úgy Adatkezelő jogviszonyt az érintett természetes személlyel nem létesít és adatait sem kezeli.
- Adatkezelő köteles minden nyilvántartásából törölni azt a személyes adatot, amelynek jogosultjával jogviszonya bármely okból megszűnt, kivéve, amennyiben a személyes adatok megőrzését a Adatkezelő számára jogszabály (pl. adójogi jogviszony) írja elő.
IV/C. Online látogatókkal kapcsolatos adatkezelés (hirdetések)
- Adatkezelő a Webáruház működtetése érdekében létrehozott honlap (https://webshop.jpchess.com/) használatával, azon történő regisztrációval, a vásárlása során, vagy csupán a weboldal látogatásával – az érintett önkéntesen, előzetesen meghatározott (hírlevélszolgáltatás, marketing megkeresések) célból történő adatkezeléshez való hozzájárulásával – jogosult kezelni a honlapot látogató személyek (jelen alfejezetben a továbbiakban: Felhasználó) egyes személyes adatait.
- Az adatkezelés elsődleges célja, hogy az Érintettek tájékoztatása, Adatkezelő a hírlevél szolgáltatás igénybevétele során a személyre szabott tartalommal reklámozza a Webáruház termékeit, értesít az aktuális akciókról, kuponokról, kedvezményekről vagy nyereményjátékokról, továbbá esetlegesen statisztikai adatgyűjtés, mely azonosításra nem alkalmas módon gyűjt személyes adatot. Az adatkezelés további célja, hogy a Felhasználókat azonosítani, a honlap használata során jelzett hibákat javítani, a Felhasználókat – a jelen Szabályzatból Felhasználókat megillető jogokról és terhelő kötelezettségekről – tájékoztatni, a honlap használatával kapcsolatos esetleges vitás helyzeteket kezelni tudja.
- Adatkezelő kizárólag a Felhasználó előzetes hozzájárulásával (GDPR 6. cikk (1) bek. a) pont, Info tv. 5. § (1) bek., Grt. 6. § (1)-(2) bek.) jogosult a honlapon keresztül megadott személyes adatainak marketing célú felhasználására. Amennyiben a Felhasználó hozzájárul ahhoz, hogy megadott személyes adatait kezelje, úgy az ilyen adatkezelés a hozzájárulás visszavonásáig érvényes. Érintett hozzájárulását bármikor, Adatkezelő képviselőjéhez székhelyére papír alapon, postai úton, vagy elektronikusan az websop@polgarjudit.hu email címre küldött nyilatkozatával visszavonhatja.
- A honlapon lehetővé van téve, hogy Felhasználó saját döntése alapján iratkozzon fel hírlevélre, amennyiben kívánja annak megküldését. A hírlevélről Érintett bármikor lejelentkezhet.
- A Felhasználó hozzájárulása akkor jogszerű, ha az
- önkéntes;
- a hírlevélszolgáltatás igénybevételére vonatkozik.
- megfelelő tájékoztatáson alapul; és
- egyértelmű akaratnyilatkozat.
- Fentiek alapján kezelt adatok köre, melyek a marketing célú megkereséséhez szükségesek és kizárólag az Érintett hozzájárulásának jogalapjával kezelhetők:
- a Felhasználó családi és utóneve;
- a Felhasználó kezelésében álló elektronikus levelezési (email) cím.
- Adatkezelő fenntartja a jogot arra, hogy a hírlevél szolgáltatást adott Felhasználó vonatkozásában bármikor megszüntesse, amennyiben azt észleli, hogy a hírlevél szolgálatatást a Felhasználó a rendeltetési céljától eltérő célra, így különösen az Adatkezelő tevékenységével kapcsolatos jó hírnevének sérelmére használja.
- A Felhasználó által hírlevél szolgáltatás igénybevételére megtett hozzájárulás bármikor visszavonható. A hozzájárulás visszavonása Adatkezelő általi tudomásulvételtől függetlenül hatályos, és a visszavonást követően Adatkezelő hírlevél szolgáltatás nyújtására az adott Felhasználó vonatkozásában nem jogosult.
- A honlapon keresztül megadott (hírlevél szolgáltatás igénybevételéhez szükséges) személyes adatok kezelésére az Adatkezelő a Felhasználó által a hírlevél szolgáltatás lemondásáig jogosult. A lemondás/visszavonás nem akadálya a honlapon történő egyéb más szolgáltatás igénybe vételének.
IV/D. Sütik („Cookie-k”) használata
- Adatkezelő kezelésében álló (https://webshop.jpchess.com/) honlapon a honlapra történő látogatás tényénél fogva a Felhasználó végberendezésében sütik segítségével adattárolást, illetve adatkezelést hajthat végre a Felhasználó azonosítása, a Felhasználó további látogatásainak megkönnyítése, a Felhasználó részére célzott reklám és egyéb célzott tartalom eljuttatása és piackutatás céljából. A sütik használatához a Felhasználónak minden esetben hozzájárulását kell adni a honlapon megjelenő „Ez a weboldal sütiket (cookie-kat) használ” tájékoztató szöveg mellett, e hozzájárulás kinyilvánítására megadott ikon aktiválásával.
- A Felhasználónak a sütik alkalmazására szóló hozzájárulását nem kötelező megadni ahhoz, hogy a honlapot látogatni tudja, ugyanakkor a hozzájárulás megadásának hiányában előfordulhat, hogy a honlap vagy annak egyes aloldalai nem működnek majd megfelelően, illetve a Felhasználó egyes adatokhoz való hozzáférését a honlap megtagadhatja.
- A honlap használata során bizonyos felhasználói adatok automatikusan a Adatkezelő kezelésébe kerülnek. Ezek a következő adatok:
- Felhasználó honlappal való nyílt hálózaton keresztüli csatlakozást biztosító eszközének egyes adatai;
- Felhasználó által használt IP cím.
- Ezen adatok kezelésének kizárólagos célja, hogy Adatkezelő honlap-látogatottsági adatokhoz jusson, illetve a honlappal kapcsolatban felmerülő esetleges hibákat, továbbá támadási kísérleteket megfelelően észlelni és naplózni tudja. Az ilyen adatkezelés jogalapja egyrészt a Felhasználó hozzájárulása, másrészt Adatkezelő jogos érdekének védelme. Adatkezelő az adatkezelésre vonatkozó tájékoztatást jelen alfejezet tartalmának honlapon történő közzétételével teljesíti, és a Felhasználó tudomásulvételét és hozzájárulását e körben a honlapra történő látogatásával, mint ráutaló magatartással adja meg Adatkezelő részére.
- Felhasználó kizárólagos felelősséggel tartozik azért, hogy Adatkezelő által üzemeltetett honlapon belépéshez használt felhasználó nevét és jelszavát jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel azt ne közölje, ne semmisítse meg, ne veszítse el. Adatkezelő nem vállal felelősséget azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott egyéb adatait a jelen Szabályzat, valamint az adatvédelemre vonatkozó mindenkor hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti, elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik számára.
- A személyes adatok jogosultjainak jogai
- Azokat a természetes személyeket, akinek a személyes adatait az Adatkezelő– bármely oknál fogva – kezeli, az adatkezelést illetően a GDPR és az Info. tv. alapján a következő jogosultságok illetik:
- tájékoztatáshoz való jog;
- helyesbítéshez való jog;
- hozzáféréshez való jog
- törléshez való jog;
- adatkezelés korlátozásához való jog;
- adathordozhatósághoz való jog;
- tiltakozáshoz való jog.
- A személyes adat jogosultja kérelmét elektronikusan, papír alapon egyetemes postai szolgáltatás igénybevételével, vagy papír alapon Adatkezelő székhelyén Adatkezelő képviseletére jogosult vezető tisztségviselőjének történő átadással terjesztheti elő.
- A kérelem átvételére jogosult személy a kérelmet a beérkezését következően haladéktalanul köteles továbbítani Adatkezelő adatkezelési felelősének ügyintézés céljából. Az adatkezelési felelős a kérelmet – annak kézhezvételét követően haladéktalanul megvizsgálja – és amennyiben azt állapítja meg, hogy az nyilvánvalóan alaptalan vagy jogosulatlan személytől érkezett, úgy annak érdemi megvizsgálását elutasítja. Amennyiben a kérelem nem nyilvánvalóan alaptalan, illetve jogosult személy terjesztette elő, az adatkezelési felelős a kérelmet érdemben megvizsgálja. Az adatkezelési felelős a kérelem kézhezvételétől számított legkésőbb 30 napon belül értesíti a kérelmet előterjesztőt a kérelem elbírálásáról (a kérelem elutasításáról vagy a kérelem teljesítéséről), illetve a megtett, illetve kezdeményezett intézkedésekről.
V/A. Tájékoztatáshoz való jog
- Az Adatkezelő az általa végzett adatkezelési műveletek megkezdését megelőzően vagy legkésőbb az első adatkezelési művelet megkezdését követően haladéktalanul az érintett rendelkezésére bocsátja:
- az adatkezelő személyazonosító adatait, beleértve a következő adatokat: név/cégnév, székhely, cégnyilvántartási szám, a közhiteles nyilvántartásokba történő rögzítésre vonatkozó információk és a kapcsolattartási adatok;
- a személyes adatok tervezett kezelésének célját, és amennyiben az Adatkezelő adatokat kap a továbbiakban az eredeti adatgyűjtés céljától eltérő bármilyen célból, akkor az Adatkezelő tájékoztatja az érintettet, és felkínálja az elutasítás lehetőségét;
- az érintettet az Info.tv. és a GDPR alapján megillető jogok, valamint azok érvényesítése módjáról;
- a személyes adatok kezelésére és megőrzésére vonatkozó időtartamról, ezen időtartam meghatározásának szempontjairól;
- a személyes adatok kezelésének jogalapjáról, beleértve a jogszabályok előírásaira történő hivatkozást, az adatkezelés terjedelmére és eredményére vonatkozó tájékoztatást,
- a személyes adatok továbbításáról egy harmadik országba (ebben az esetben tájékoztatást kell adni a harmadik országba történő biztonságos továbbítására vonatkozó megfelelő intézkedésekről)
- Az érintett kérésére az Adatkezelő köteles visszaigazolást adni arra vonatkozóan, hogy a biztosított adatok kezelve vannak-e vagy sem, és ahol értelmezhető, lehetővé kell tennie, hogy az érintett hozzáférjen a kezelt személyes adatokhoz.
- Az Adatkezelő kérelemre köteles tájékoztatni az érintettet minden olyan személyes adatról, amelyet más forrásokból gyűjtött, az alábbiak szerint:
- pontosan milyen személyes adatokat kezel az Adatkezelő;
- a személyes adatok eredete, és hogy azokat nyilvánosan elérhető forrásokból szerezték vagy sem;
- a személyes adatok kezelésének célja;
- jogalap, amelyek alapján a személyes adatok kezelése történik, hivatkozással a vonatkozó jogszabályokra;
- az adott adatkezelés terjedelme és eredményei.
V/B. Helyesbítéshez való jog
- Amennyiben Adatkezelő pontatlanul vagy hiányosan kezeli a személyes adat jogosultjának valamely személyes adatát, úgy az érintett kérheti az Adatkezelőt, hogy a pontatlanul kezelt személyes adatot haladéktalanul helyesbítse, illetve a hiányosan kezelt személyes adatot haladéktalanul egészítse ki a jogosult által szolgáltatott és igazolt adatok alapján.
V/C. Hozzáféréshez való jog
- Az érintettnek joga van arra, hogy tájékoztatást és visszaigazolást kérjen arra vonatkozóan, hogy személyes adatainak kezelése megtörtént. Az Adatkezelő köteles megadni az ilyen jellegű tájékoztatást, beleértve a visszaigazolást is.
- Az érintettnek joga van arra, hogy a kezelt személyes adatokról másolatot kérjen. Az első másolat biztosítása térítésmentesen történik. A további másolatokért díj számítandó fel. A biztosított másolatokban a harmadik személyekre vonatkozó információkat azonosításra alkalmatlan módon kell rögzíteni a harmadik személyek jogainak megvédése érdekében, mivel a másolat igénylése nem érintheti hátrányosan mások jogait és szabadságait. Amennyiben ilyen jellegű személytelenítés nem lehetséges a harmadik személyek jogainak megvédése érdekében, a felelős nem adhat másolatot.
V/D. Törléshez való jog
- A személyes adatok jogosultja jogosult Adatkezelőtől kérni személyes adatainak törlését az Adatkezelő valamennyi nyilvántartásából. Adatkezelő e kérelem beérkezését követően haladéktalanul törli a törölni kért személyes adatokat, ha az alábbi indokok egyike fennáll:
- a személyes adatra nincsen szükség abból a célból, amely az adatkezelés alapját képezte;
- az adatkezelésnek nincs jogalapja;
- bebizonyosodik, hogy a személyes adatokat Adatkezelő jogellenesen kezelte;
- jogszabályi kötelezettségnél fogva Adatkezelő köteles a személyes adatok törlésére.
V/E. Adatkezelés korlátozásához való jog
- A személyes adatok jogosultja jogosult kérni az Adatkezelőt, hogy személyes adataira vonatkozó adatkezelést korlátozza amennyiben:
- a személyes adatok jogosultja vitatja Adatkezelő által gyűjtött és tárolt személyes adatai pontosságát, ezen adatok pontosságának vizsgálatára vonatkozó időtartamra; vagy
- Adatkezelő által végzett adatkezelés jogellenes, és a személyes adatok jogosultja a gyűjtött és tárolt személyes adatainak törlését ellenzi; vagy
- az adatkezelés célja megszűnt, és Adatkezelőnek nincs szüksége a gyűjtött és tárolt személyes adatokra, de a személyes adatok jogosultja jogi igénye előterjesztése, érvényesítése vagy védelme érdekében kéri a további (korlátozott) adatkezelést; vagy
- a személyes adatok jogosultja tiltakozási jogával él, a tiltakozási jog jogszerűségének kivizsgálásának idejére
- A korlátozás alá eső személyes adatot az Adatkezelő kizárólag tárolni jogosult. A korlátozás alá eső személyes adaton adatkezelést végrehajtani az Adatkezelő kizárólag a jogosult előzetes írásbeli hozzájárulása vagy jogi érdekének előterjesztése, érvényesítése vagy védelme érdekében, továbbá az Európai Unió vagy tagállama fontos közérdekéből jogosult.
- Amennyiben a személyes adat korlátozásának feltételei nem állnak fenn, úgy az Adatkezelő a korlátozást feloldja, és erről előzetesen köteles tájékoztatni a személyes adatok jogosultját.
V/F. Adathordozhatósághoz való jog
- Az érintettnek joga van arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat megkapja, tagolt, széles körben használt, géppel olvasható formátumban.
- Amikor az érintett gyakorolja adathordozhatósághoz való jogát, az adott személyes adatok kezeléséért felelős személy késedelem nélkül megvizsgálja a kérelmet.
- A hordozhatóságnak alárendelt személyes adatokat egy általánosan használt, géppel olvasható formátumban kell biztosítani, és azok nem lehetnek olyan formátumúak, ami nem szerkeszthető. A személyes adatok hordozását biztonságosan kell végrehajtani.
- Az érintett kérheti személyes adatainak hozzá történő személyes kézbesítését, illetve azok kézbesítését egy másik adatkezelőhöz, akit az érintett megnevez hordozhatóságra vonatkozó kérelmében.
- Az érintett kérelmét nem lehet teljesíteni az alábbi körülmények esetén:
- a továbbítás műszakilag lehetetlen, mivel a vonatkozó technológia nem felel meg a személyes adatok biztonságos továbbításához elegendőnek tekinthető műszaki követelményeknek, illetve
- a kérés teljesítése harmadik személyek jogait sértené.
- A kérés elutasítása után az érintettet értesíteni kell a döntésről, beleértve az elutasítás indokairól.
V/G. Tiltakozáshoz való jog
- Az érintettnek joga van arra, hogy tiltakozzon a konkrét adatkezelés ellen akkor is, ha az adatkezelés közérdekből vagy pedig közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges és azt az adatkezelőre bízzák, illetve, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek, illetve jogainak, érvényesítéséhez szükséges.
- A tiltakozó nyilatkozat Adatkezelő általi elfogadását követően az Adatkezelő nem jogosult az érintett személyes adatot az Adatkezelő vagy harmadik fél jogos érdekének érvényesítése érdekében kezelni, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos ok igazolja, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyik jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik.
- Az Adatkezelési felelős
- Adatkezelő valamennyi olyan vezető tisztségviselője, munkavállalója, illetve a Adatkezelővel foglalkoztatásra irányuló jogviszonyban álló egyéb személy, aki személyes adatokra vonatkozó adatkezelést folytat (pl. adminisztráció) köteles a jelen Szabályzat, valamint az adatkezelésre vonatkozó jogszabályok rendelkezéseinek megtartására.
- Adatkezelő adatkezelési rendelkezések megtartásáért felelős és felhatalmazott személy (a továbbiakban: Adatkezelési felelős) köteles a jelen Szabályzatban, valamint a jogszabályokban meghatározott adatkezelési rendelkezések Adatkezelő vezető tisztségviselői, munkavállalói, illetve foglalkoztatásra irányuló egyéb személyek által történő megtartását biztosítani és ellenőrizni.
- A Társaság Adatkezelési felelőse: Polgár Judit ügyvezető.
- Az Adatkezelési felelőst a Adatkezelő legfőbb szerve választja a vezető tisztségviselői, munkavállalói vagy a foglalkoztatásra irányuló jogviszonyban álló egyéb személyek közül; az Adatkezelési felelős jogviszonyának időtartama a vezető tisztségviselői jogviszony, munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony időtartamához igazodik. Az Adatkezelési felelős jogviszonya megszűnik, ha:
- vezető tisztségviselői jogviszonya, munkaviszony, foglalkoztatásra irányuló egyéb jogviszonya megszűnik;
- a tisztségről lemond;
- meghal;
- Adatkezelő legfőbb szerve a tisztségéből visszahívja;
- Adatkezelő legfőbb szerve a tisztségétől (súlyos kötelezettségszegés okán) megfosztja.
- Adatkezelő a GDPR 37-39. cikkeiben meghatározott adatvédelmi tisztviselőt választani nem köteles.
- Az Adatkezelési felelős e tisztségét e tisztségre vonatkozó kijelölés elfogadásával, vagy amennyiben ez későbbi, akkor a kijelölésben meghatározott határnaptól kezdődően tölti be. Az Adatkezelési felelős a kijelölés elfogadásával egyidejűleg titoktartást köteles vállalni a tisztsége ellátásával kapcsolatosan tudomására jutott személyes adatok vonatkozásában.
- Az Adatkezelési felelős feladatkörei:
- az Adatkezelési felelős köteles rendszeresen ellenőrzéseket végezni arra vonatkozóan, hogy a jelen Szabályzat rendelkezéseit Adatkezelő mindennapi működése során az arra kötelezettek megtartják-e;
- az Adatkezelési felelős köteles megvizsgálni Adatkezelőhöz címzett – a személyes adatok jogosultjai részéről érkezett – kérelmeket és a nyilvánvalóan nem alaptalan és jogosult személy által előterjesztett kérelmek esetén köteles megtenni a szükséges intézkedéseket.
- az Adatkezelési felelős köteles kapcsolatot tartani és együttműködni a Hatósággal, illetve – szükséges esetén – egyéb tagállami adatvédelmi hatósággal;
- az Adatkezelési felelős adatvédelmi incidens lehetőségének felmerülése esetén köteles azt kivizsgálni és megalapozott lehetőség esetén az incidens által jelentett kockázatokat megakadályozni vagy mérsékelni, illetve a biztonság sérülését helyreállítani;
- az Adatkezelési felelős köteles az olyan adatvédelmi incidens esetén, amely természetes személy jogaira és szabadságaira kockázatot jelent, bejelentést tenni a Hatóságnak, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóságnak; magas kockázat esetén köteles azt bejelenteni a Hatóságnak, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóságnak, illetve arról tájékoztatni a személyes adat jogosultját;
- az Adatkezelési felelős jogosult Adatkezelő legfőbb szerve irányába javaslattal élni az adatkezelési gyakorlatának módosítása vonatkozásában;
- az Adatkezelési felelős jogosult a jelen Szabályzattal összefüggő mindenkori jogszabályi módosítások átvezetésére és a jelen Szabályzat változással egységes szerkezetbe foglalt hatályosított változatának összeállítására és közzétételére.
- Adatbiztonság és az adatok tárolásának rendje
- Az Adatkezelő személyes adatokon végzett adatkezelése során minden esetben megfelel a jogszerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, elszámoltathatóság, valamint az integritás elveihez és az adatok bizalmas jellegéhez.
- Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a személyes adatok jogosultjai jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek megvalósítása, másrészt az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
- A papír alapú iratot az Adatkezelő köteles jól zárható, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben elhelyezni, illetve biztosítani, hogy az aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők, illetve az Adatkezelő vezetője férhessen hozzá. A papír alapú iratok archiválását az Adatkezelő évente egyszer köteles elvégezni, az archivált iratokat az Adatkezelő 8 évig köteles megőrizni.
- Az Adatkezelő köteles gondoskodni arról, hogy a személyes adatok elektronikus kezelése és tárolása, valamint továbbítása során megteszi mindazon technikai és szervezési intézkedéseket, amelyek ahhoz szükségesek, hogy a technika mindenkori fejlettségi szintén az Adatkezelő azt a technikai megoldást tudja választani ezek lebonyolításához, amely a személyes adatok védelmének magasabb szintjét garantálja.
- Az Adatkezelő köteles az általa kezelt, illetve őrzött személyes adatokat védeni, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, jogosulatlan nyilvánosságra hozatal, törlés vagy megsemmisítést, véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
- Adatkezelő az adatkezelést úgy hajtja végre, hogy a GDPR, valamint egyéb adatvédelmi jogszabályok megtartása mellett tiszteletben tartsa a személyes adat jogosultjának családi és magánélethez való alapvető jogát, egyéb jogait és szabadságait.
- A személyes adatok tárolására vonatkozó jelen Szabályzatban meghatározott rendelkezések egyaránt vonatkoznak a papír alapon, illetve elektronikus formában tárolt olyan személyes adatra, amelyek nyilvántartási rendszer részét képezik, illetve amelyeket Adatkezelő részben vagy egészben automatizált módon kezel. Adatkezelő személyes adatok elektronikus tárolására tulajdonában álló eszközöket használ; a papír alapú nyilvántartásokat tulajdonában vagy használatában álló olyan ingatlanokban vezeti, amelyeket Adatkezelő székhelyként, telephelyként vagy fióktelepként használ.
- Adatkezelő által adatkezelés érdekében gyűjtött és tárolt személyes adatok kizárólag a jelen Szabályzatban, illetve jogszabályban meghatározott célból, megfelelő jogcímmel kezelhetők.
- Adatkezelő által gyűjtött és tárolt személyes adatot olyan módon kell megőrizni az adatkezelés idején, hogy illetéktelen személy azokhoz ne tudjon hozzáférni. Adatkezelő köteles biztosítani, hogy a gyűjtött és tárolt személyes adatot:
a) illetéktelen harmadik személy ne ismerhesse meg, ne férhessen hozzá;
- nem vetik alá jogosulatlan adatkezelésnek;
- illetéktelen személy nem változtathatja meg, továbbíthatja, hozhatja nyilvánosságra, törölheti;
- jogosulatlanul nem módosítják, illetve véletlenül vagy jogosulatlanul megsemmisítik, törlik, teszik hozzáférhetetlenné;
- elvesztéstől, sérüléstől megóvja.
- Adatkezelő az adatkezelési, valamint ezzel kapcsolatos szervezési tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot garantáló technológiát alkalmazza a természetes személyek jogainak és szabadságainak védelme érdekében.
- A kezelt személyes adatokat kizárólag Adatkezelő munkavállalói, illetve foglalkoztatásra irányuló egyéb jogviszonyban álló személyek, munkaköri kötelezettségeik teljesítéséhez elengedhetetlenül szükséges mértékig ismerhetik meg.
- Adatkezelővel munkaviszonyban vagy foglalkoztatásra irányuló egyéb jogviszonyban álló minden olyan személy, aki munkaköri kötelezettsége teljesítése keretében személyes adatot kezel, köteles a jelen Szabályzat és a vonatkozó jogszabályok mindenkori megtartásával a személyes adatot védeni, megőrizni, illetve azokhoz való illetéktelen hozzáférést megakadályozni, továbbá biztosítani, hogy a személyes adatokat kizárólag az előre rögzített célra felhasználják fel.
- Adatok továbbításának rendje
- Adatkezelő nem jogosult az általa kezelt, őrzött személyes adatot más személynek továbbítani, vagy egyéb formában hozzáférhetővé tenni, kivéve fenntartó, bíróság, rendőrség, ügyészség, önkormányzat, közigazgatási szerv, nemzetbiztonsági szolgálat részére vagy amennyiben az adattovábbítást jogszabály írja elő és az adattovábbítás címzettjeként bíróság, hatóság vagy egyéb szerv Adatkezelő felé hivatalos megkeresését eljuttatja.
- Adatkezelő adattovábbítás szükségessége esetén köteles tájékoztatni a személyes adat jogosultját
- az adattovábbítás címzettjének, valamint képviselőjének nevéről, elérhetőségéről;
- arról, hogy az adattovábbítással kapcsolatos tájékoztatás megismeréséhez és az adattovábbításhoz hozzájárul;
- az adattovábbítás pontos céljáról, konkrét terjedelméről;
- a személyes adat jogosultját megillető jogokról;
- a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének lehetőségéről.
- Amennyiben az adattovábbítás az Európai Gazdasági Térség valamely – Magyarországtól eltérő – államába irányul, úgy az Adatkezelő nem köteles vizsgálni az adott állam személyes adatok védelmére vonatkozó jogszabályi előírásai által biztosított védelem szintjét; amennyiben az adattovábbítás az Európai Gazdasági Térség államaitól eltérő államba irányul, úgy köteles vizsgálni, hogy az adattovábbításnak a jogszabályban meghatározott feltételei ebben az államban fennállnak-e. Illetve köteles tájékoztatni az érintettet arról, hogy EGT területén kívüli adattovábbítás milyen biztonsági kockázatokkal járhat és érintettnek kifejezetten hozzá kell járulnia az ilyen jellegű adattovábbításhoz.
7. Az Adatkezelő köteles gondoskodni arról, hogy a személyes adatok statisztikai célú adattovábbítása során a személyes adat jogosultja és a statisztikai célra megküldött adatok ne legyenek összekapcsolhatók.
- Adatvédelmi incidens esetén követendő protokoll
- Adatvédelmi incidens a biztonság olyan sérülése, amely az Adatkezelő által továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
- Adatvédelmi incidens esetén az Adatkezelő legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott, köteles azt bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az adatvédelmi incidens nem jár kockázattal a személyes adat jogosultjának jogaira és szabadságaira.
- A bejelentésnek a következőket kell tartalmaznia:
- az adatvédelmi incidens jellege, az érintettek és érintett adatok kategóriái és hozzávetőleges számuk,
- az Adatkezelő adatai, elérhetőségei,
- az adatvédelmi incidensből eredő, valószínűsíthető következmények,
- az adatvédelmi incidens orvoslására, következményei enyhítésére tett vagy tervezett intézkedések ismertetése.
- Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a személyes adat jogosultjának jogaira és szabadságaira, úgy az Adatkezelő haladéktalanul köteles az adatvédelmi incidensről az érintettet tájékoztatni.
- Amennyiben a Adatkezelő vezető tisztségviselője, munkavállalója, illetve az Adatkezelővel foglalkoztatásra irányuló jogviszonyban álló egyéb személy azt tapasztalja, hogy Adatkezelő által gyűjtött, tárolt személyes adatok vonatkozásában fennállhat a biztonság sérülésének a lehetősége, haladéktalanul köteles az Adatkezelési felelőst erről tájékoztatni (a továbbiakban: Jelzés). Biztonság sérülése minden olyan körülmény, amelynek eredményeként az Adatkezelő rendszerében, nyilvántartásaiban sérülés következik be az adatbiztonsági rendelkezésekkel ellentétes módon. A biztonság sérülése nem jelenti feltétlenül adatvédelmi incidens bekövetkeztének a tényét is.
- Az Adatkezelési felelős a Jelzést megtételét követően haladéktalanul köteles megvizsgálni és értékelni a helyzetet. A vizsgálatnak ki kell terjednie a biztonság sérülésének lehetőségeként jelzett körülmény valamennyi elemére, illetve a Jelzéssel érintett valamennyi nyilvántartás, így személyes adatok helyzetének vizsgálatára.
- Az Adatkezelési felelős vizsgálata során elsődlegesen azt köteles megállapítani, hogy a biztonság sérülése ténylegesen megtörtént-e. Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság nem sérült, úgy eljárását megszünteti és a vizsgálata eredményéről jelentést készít az Adatkezelő ügyvezetése részére, és azt nyilvántartásba veszi.
- Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság megsérült, úgy másodsorban köteles megvizsgálni, hogy adatvédelmi incidens történt-e. Amennyiben az Adatkezelési felelős azt állapítja meg, hogy adatvédelmi incidens nem történt, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készít az Adatkezelő ügyvezetése részére, és azt nyilvántartásba veszi.
- Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság sérülésével egyidőben adatvédelmi incidens is történt, úgy köteles harmadsorban megvizsgálni, hogy az adatvédelmi incidens az érintett személyes adatok jogosultjainak jogaira és szabadságaira kockázatot jelent-e. Amennyiben azt állapítja meg, hogy ilyen kockázatot az adatvédelmi incidens nem jelent, úgy köteles megtenni mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készt az Adatkezelő ügyvezetése részére, és azt nyilvántartásba veszi.
- Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság sérülésével egyidőben az adatvédelmi incidens kockázatot jelent az érintett személyes adat jogosultjainak jogai és szabadságaira, úgy az Adatkezelési felelős azt köteles megvizsgálni, hogy ez a kockázat milyen mértékű. Amennyiben az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni az Adatkezelő ügyvezetése részére, és azt nyilvántartásba venni, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni.
- Amennyiben az Adatkezelési felelős vizsgálata azt állapítja meg, hogy az adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira magas kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni az Adatkezelő ügyvezetése részére, és azt nyilvántartásba venni, illetve a Hatóság, vagy – szükség esetén – egyéb tagállami adatvédelmi hatóság részére bejelenteni, továbbá az érintett személyes adatok jogosultjait az adatvédelmi incidensről tájékoztatni.
- Az Adatkezelési felelős nem köteles bejelentést tenni, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira. A kockázat fennállására vonatkozó értékelést az Adatkezelési felelős az eset összes körülményének figyelembevételével köteles teljesíteni. Azt a körülményt, hogy az adatvédelmi incidens a természetes személyek jogaira és szabadságaira kockázattal nem jár, bizonyítani és jelentésbe foglalni, valamint a biztonság helyreállítása érdekében szükséges intézkedéseket megtenni köteles.
Az Adatkezelési felelős a következőkről köteles tájékoztatni a személyes adat jogosultjait:
- az adatvédelmi incidens ténye, jellege;
- az Adatkezelési felelős neve és elérhetőségei;
- az adatvédelmi incidens lehetséges következményei;
- az adatvédelmi incidens eredményeként elállt magas kockázat mérséklésére és az incidens előtti állapot helyreállítására az adatkezelő által igénybe vett eszközök.
- Az Adatkezelési felelős a tájékoztatását a személyes adatok jogosultjai által (köz)érthető és egyszerű megfogalmazással, releváns nyelven és késedelem nélkül köteles megtenni olyan kommunikációs csatornán, amelyen az Adatkezelési felelős értékelése alapján a tájékoztatás a leghamarabb megérkezik a személyes adatok jogosultjaihoz. Az Adatkezelési felelős egyszerre akár több kommunikációs formát is igénybe vehet a tájékoztatási kötelezettség teljesítése érdekében.
- Az Adatkezelési felelős a személyes adatok jogosultjainak szóló tájékoztatást akkor mellőzheti, ha
- az adatvédelmi incidens a személyes adatok jogosultjainak jogaira és szabadságaira magas kockázatot nem jelent, mert például a jogosulatlan harmadik személlyel közölt személyes adathoz e személy hozzáférni (titkosítás okán) nem tud, és az adatkezelő birtokában van az érintett személyes adatokról másolat;
- az adatvédelmi incidens lehetőségéről való tudomásszerzést követően haladéktalanul megtett intézkedések eredményeként a magas kockázat lehetősége fel sem került;
- az adatvédelmi incidens eredményeként előállt kockázat egyéb okból nem tekinthető magasnak.
- Az Adatkezelési felelős a bejelentési és tájékoztatási kötelezettsége teljesítésével egyidőben, a vizsgálat eredményének megismerését követően haladéktalanul köteles megtenni minden intézkedést, amely a biztonság sérülését és az adatvédelmi incidenst megszünteti. Ennek keretében az Adatkezelési felelős – lehetőségeihez és a körülményekhez képest – köteles az adatvédelmi incidensben érintett személyes adatok integritását, hozzáférhetőségét, és bizalmasságát helyreállítani. Az Adatkezelési felelős a megtett intézkedéseiről jelentést köteles készíteni a Adatkezelő vezető tisztségviselője részére.
- Jogorvoslat
- Amennyiben a személyes adat jogosultja a személyes adatai kezelése vonatkozásában azt tapasztalja, hogy Adatkezelő megsérti az adatvédelmi jogszabályokban meghatározottakat, úgy jogai védelme érdekében jogorvoslati kérelemmel fordulhat a területileg illetékes bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz.
- A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
Elektronikus elérhetőség: ugyfelszolgalat@naih.hu
Weboldal: http://naih-hu
- Záró rendelkezések
- A jelen Szabályzat az Adatkezelő képviselője általi jóváhagyásával lép hatályba.
- A jelen Szabályzatot a hatályba lépését követően keletkező, illetve fennálló valamennyi jogviszonyra alkalmazni kell.
Budapest, 2020. szeptember 15.
JPF World Szolgáltató Korlátolt Felelősségű Társaság
képviseli: Polgár Judit ügyvezető