Információ az Adatkezelő (Szolgáltató)
A Szolgáltató neve: |
Smartopert Kft. |
Székhelye és postai címe: |
6724 Szeged, Cserzy Mihály utca 30. B. ép. |
Adószáma: |
27120211-2-06 |
E-mail címe: |
info@okosotthon.guru |
Honlapjának címe: |
okosotthon.guru |
Telefonos ügyfélszolgálat: |
+36-30-76-88-270 |
Ügyfélszolgálat e-mail címe: |
info@okosotthon.guru |
Panaszkezelés helye és elérhetőségei: |
info@okosotthon.guru |
Tárhely szolgáltató neve: |
Elin.hu Kft. |
Tárhely szolgáltató címe: |
9024 Győr, Déry T. utca 11. 2. em. 4. ajtó |
Tárhely szolgáltató neve: |
RackForest Zrt. |
Tárhely szolgáltató címe: |
1132 BUDAPEST, VICTOR HUGO UTCA 11. 5. EM. B05001. |
ADATKEZELÉSI TÁJÉKOZTATÓ
AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL
SZEMÉLYES ADATAI KEZELÉSE VONATKOZÁSÁBAN
BEVEZETÉS
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (a továbbiakban: Rendelet) előírja, hogy az Adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, továbbá hogy az Adatkezelő elősegíti az érintett jogainak a gyakorlását.
Az érintett előzetes tájékoztatási kötelezettségét az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény is előírja. Az alábbiakban olvasható tájékoztatással e jogszabályi kötelezettségünknek teszünk eleget.
Miért készült ez a tájékoztató?
Adatkezelő működése során több célból kezel személyes adatokat és mindezt az érintettek jogainak tiszteletben tartásával, valamint a jogszabályi kötelezettségnek teljesítésével kívánja tenni. Adatkezelő fontosnak tartja azt is, hogy bemutassa az érintetteknek az adatkezelési tevékenysége során a tudomására jutott személyes adatok kezelését, annak legfontosabb jellemzőt.
Milyen alapon történik az érintettek személyes adatainak kezelése?
A személyes adatok csak meghatározott célból és megfelelő jogalappal kerülnek kezelésre. Ezek a célok és jogalapok a konkrét adatkezelések vonatkozásában egyedileg kerülnek bemutatásra.
Milyen külső segítség igénybevételére kerül sor a személyes adatai kezelése során?
A személyes adatokat többnyire a Adatkezelő a saját telephelyén kezeli. Vannak azonban olyan műveletek, amelyhez külső segítséget, adatfeldolgozót vesz igénybe. Az adatfeldolgozó személye az egyes adatkezelések jellemzőinek megfelelően változhat.
Ki kezeli a személyes adatait?
Az Adatkezelő, továbbá az adatkezelési tájékoztató következő II. fejezetében kaphat felvilágosítást az Érintett az Adatkezelő által alkalmazott adatfeldolgozók személyéről és elérhetőségéről.
Milyen elveket tart fontosnak Adatkezelő a személyes adatai kezelése során?
A személyes adatok kezelésére a hatályos jogi szabályozás alapján kerül sor, különös tekintettel az Európai Parlament és a tanács 2016/679 rendeletében (2016. április 27.) (GDPR rendelet) foglaltakra.
Adatkezelő tevékenységei során csak az egyedi adatkezelések körében meghatározott személyes adatok kezelésére kerül sor és a megadott, személyes adatok biztonsága a lehetséges és szükséges technikai és szervezési intézkedéssel részesül védelemben. Ennek során különösen nagy figyelem fordítására kerül sor a személyes adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása érdekében.
A személyes adatok valódiságáért és pontosságáért az Érintett által történt megadás után a Adatkezelő felel. Azok a kifejezések, amelyek jelen tájékoztatóban alkalmazásra kerülnek az információs önrendelkezési jogról és a GDPR rendelet értelmező rendelkezései között meghatározott fogalmak szerint kerültek értelmezésre.
- FEJEZET
AZ ADATKEZELŐ MEGNEVEZÉSE
E tájékoztatás kiadója, egyben az Adatkezelő:
CÉGNÉV: SMARTOPERT KFT.
SZÉKHELY: 6724 SZEGED, CSERZY MIHÁLY UTCA 30. B. ép.
ADÓSZÁM: 27120211-2-06
KÉPVISELI: ZSÁK PÉTER ügyvezető (peter.zsak@smartopert.com)
ELÉRHETŐSÉGEK: http://www.smartopert.com lábrészében,
(a továbbiakban: Társaság)
FEJEZET
ADATFELDOLGOZÓK MEGNEVEZÉSE
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; (Rendelet 4. cikk 8.)
Az adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása. Ennek megfelelően a következő tájékoztatást adjuk:
IT szolgáltatók:
CÉGNÉV: Google LLC
SZÉKHELY:1600 Amphitheatre PkwyMountain View, California 94043
(az EU-U.S. PRIVACY SHIELD FRAMEWORK alapján EU-ban honosnak tekinthető)
HONLAP: https://mail.google.com/
CÉGNÉV: Facebook, Inc.
SZÉKHELY: Menlo Park, California, USA
(az EU-U.S. PRIVACY SHIELD FRAMEWORK alapján EU-ban honosnak tekinthető)
HONLAP: https://www.facebook.com/
IT (hírlevél) szolgáltató:
CÉGNÉV: Brevo
SZÉKHELY: 7 rue de Madrid, 75008 Paris, France.
HONLAP: https://brevo.com
E-MAIL CÍM: dpo@brevo.com
Továbbított adatok köre: email cím, név
Az adattovábbítás célja: email marketing szolgáltatás nyújtása
IT (tárhely) szolgáltató:
CÉGNÉV: RackForest Zrt.
SZÉKHELY: 1132 BUDAPEST, VICTOR HUGO UTCA 11. 5. EM. B05001.
HONLAP: https://rackforest.hu
E-MAIL CÍM: info@frackforest.hu
TELEFONSZÁM: +36 1 211 0044
Továbbított adatok köre: vezetéknév, keresztnév, email cím, jelszó (kódolva), számlázási név, számlázási cím, IP cím
Az adattovábbítás célja: szerver és tárhely szolgáltatás biztosítása többek között adattárolás céljából.
CÉGNÉV: ELIN.hu Kft.
SZÉKHELY: 9024 Győr, Déry T. utca 11. 2. em. 4. ajtó
HONLAP: https://elin.hu
E-MAIL CÍM: info@elin.hu
TELEFONSZÁM: +36 30 2222 444
Továbbított adatok köre: vezetéknév, keresztnév, email cím, jelszó (kódolva), számlázási név, számlázási cím, IP cím
Az adattovábbítás célja: szerver és tárhely szolgáltatás biztosítása többek között adattárolás céljából.
IT (oktatási rendszer) szolgáltató:
CÉGNÉV: Panosys Kft..
SZÉKHELY: 7500 Nagyatád, Kiszely L. u. 6 B.
HONLAP: https://tudaspiac.hu
E-MAIL CÍM: info@tudaspiac.hu
TELEFONSZÁM: +36 1 211 0044
Továbbított adatok köre: vezetéknév, keresztnév, email cím, jelszó (kódolva), számlázási név, számlázási cím, IP cím
Az adattovábbítás célja: oktatási rendszer szolgáltatás biztosítása többek között adattárolás céljából.
Könyvelési, bérszámfejtési feladatokat ellátó adatfeldolgozó:
CÉGNÉV: Even Számviteli és Kontrolling Tanácsadó Korlátolt Felelősségű Társaság
SZÉKHELY: 6729 Szeged, Kovács udvar 5.
Továbbított adatok köre: vásárlás adatai
Az adattovábbítás célja: könyvelési tevékenység
CÉGNÉV: KBOSS. hu Kft.
SZÉKHELY: 1031 Budapest, Záhony utca 7.
HONLAP: https://szamlazz.hu
E-MAIL CÍM: info@szamlazz.hu
Postai, futárszolgálati, logisztikai feladatokat ellátó adatfeldolgozó:
CÉGNÉV: MAGYAR POSTA ZRT.
SZÉKHELY: 1138 BUDAPEST, DUNAVIRÁG UTCA 2-6.
HONLAP: https://www.posta.hu
E-MAIL CÍM: ugyfelszolgalat@posta.hu
TELEFONSZÁM: (1) 767 8282
CÉGNÉV: Fürgefutár.hu Kft
SZÉKHELY: 1133 Budapest, Árbóc utca 6.
HONLAP: https://furgefutar.hu
E-MAIL CÍM: ugyfelszolgalat@furgefutar.hu
Továbbított adatok köre: szállítási név, szállítási cím, email cím, telefonszám
Az adattovábbítás célja: termék kiszállítása
Számlázás:
CÉGNÉV: KBOSS.hu Kft
SZÉKHELY: 1031 Budapest, Záhony utca 7.
HONLAP: https://szamlazz.hu
E-MAIL CÍM: info@szamlazz.hu
Továbbított adatok köre: vezetéknév, keresztnév, email cím, számlázási név, számlázási cím, vásárlás adatai
Az adattovábbítás célja: díjbekérő és számla kiállítása
Bankkártyás fizetési szolgáltató:
CÉGNÉV: Stripe Inc.
SZÉKHELY: 510 Townsend Street, San Francisco, CA 94103, USA
HONLAP: https://szamlazz.hu
E-MAIL CÍM: support@stripe.com
(az EU-U.S. PRIVACY SHIELD FRAMEWORK alapján EU-ban honosnak tekinthető)
Továbbított adatok köre: email cím, vásárlás adatai
Az adattovábbítás célja: online fizetés
III. FEJEZET
AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA
- Adatkezelés az érintett hozzájárulása alapján
1.1. Amennyiben a Társaság hozzájáruláson alapuló adatkezelést kíván végezni, az érintett hozzájárulását személyes adatai kezeléséhez az adatkezelési szabályzatban meghatározott adatkérő lap szerinti tartalommal és tájékoztatással kell kérni.
1.2. Hozzájárulásnak minősül az is, ha az érintett a Társaság internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. Hozzájárulásnak minősül megfelelő tájékoztatás meghallgatása után a telefonhívás folytatása.
1.3. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
1.4. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik – például értékesítési, szolgáltatási szerződés megkötése – a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír.
1.5. A Társaság nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
1.6. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
1.7. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
- Jogi kötelezettség teljesítésén alapuló adatkezelés
2.1. A jogi kötelezettségen alapuló adatkezelés esetén a kezelhető adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az alapul szolgáló jogszabály rendelkezései irányadók.
2.2 A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
- Jogos érdeken alapuló adatkezelés
3.1. A Társaság vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve, hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Figyelembe kell venni az érintett adatkezelővel való kapcsolata alapján észszerű elvárásait, így a személyes adatok kapcsolattartási, akár közvetlen üzletszerzési célú kezelése is jogos érdeken alapulónak tekinthető.
3.2. A jogos érdeken alapuló adatkezeléshez érdekmérlegelési teszt szükséges, melynek során a Társaság mindig figyelembe veszi az aktuális körülményeket, valamint az adatkezelő és érintettek helyzetét. A Társaság érdekében történő adatkezelések vonatkozásában a külön-külön elvégzett érdekmérlegelési tesztek az alábbi eredménnyel zárultak: Az érdekmérlegelési teszt során a Társaság az adott adatkezelésnél leírt feltételeket figyelembevéve arra jutott, hogy az adatkezelés indokolt a megfelelő – jelen szabályzatba foglalt – biztosítékok mellett, hiszen anélkül nem tudna a Társaság versenyképesen működni. Ennek tükrében az érintettekre vonatkozó érzelmi hatás, valamint a magánszférához való jog sérelme arányosnak tekinthető.
- Az érintett vagy más természetes személy létfontosságú érdekeinek védelme miatti adatkezelés
4.1. Az érintett életének vagy más létfontosságú érdekének vagy más természetes személy érdekeinek védelme szintén jogalapot teremthet az adatkezelésre. Ilyen eset áll fenn természetes személy esetén, ha egészségügyi szolgáltatást vesz igénybe vagy járványok terjedésének megállítása miatt kerül sor az adatkezelésre.
- Szerződéses érdeken alapuló adatkezelés
5.1. Szerződéses érdeken is alapulhat adatkezelés amennyiben az olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
- Az érintett jogainak elősegítése
6.1. A Társaság valamennyi adatkezelése során köteles biztosítani az érintett jogainak gyakorlását.
- FEJEZET
TÁJÉKOZTATÁS A TÁRSASÁG ÁLTAL VÉGZETT ADATKEZELÉSRŐL
Ügyféladatok: szerződő partnerek, kapcsolattartók adatainak kezelése – vevők, szállítók nyilvántartása
(1) A Társaság szerződés teljesítése jogcímén a szerződés előkészítése, megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása – összefoglalva a közös érdekkörben felmerülő gazdasági folyamatok támogatása – céljából kezelheti a vele szerződéses viszonyban álló természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát, vevőszámát (ügyfélszámát, rendelésszámát), online azonosítóját (vevők, szállítók listája, törzsvásárlási listák), egészségügyi alkalmassági iratait, bizonyítványát. Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási, üzletkötési feladatokat ellátó munkavállalói, és adatfeldolgozói. A személyes adatok tárolásának időtartama a Társaság hosszú távú üzleti kapcsolataira tekintettel a szerződés megszűnését követő 8 év.
(2) A természetes személy szerződő fél szerződésben megadott adatai számviteli, adózási célú kezelésének jogalapja jogi kötelezettség teljesítése, ebben a körben az adattárolás időtartama 8 év.
(3) A Társaság a vele szerződő jogi személy képviseletében eljáró – a szerződést aláíró– természetes személy szerződésben megadott személyes adatait, továbbá lakcímét, e-mail címét és telefonszámát, online azonosítóját szerződés előkészítése, kapcsolattartás, a szerződésből eredő jogok és kötelezettségek gyakorlása – összefoglalva a közös érdekkörben felmerülő gazdasági folyamatok támogatása – céljából szerződés teljesítése jogcímén kezeli. Ezen adatok tárolásának időtartama a szerződés megszűnését követő 8 év. A jogos érdeken alapuló adatkezelés esetén az érintett kiemelt joga, hogy tiltakozzon az adatkezelés ellen.
(4) A Társaság a vele kötött szerződésben kapcsolatartóként megjelölt – nem aláíró – természetes személy nevét, címét, telefonszámát, e-mail címét, online azonosítóját kapcsolattartás, szerződésből eredő jogok és kötelezettségek gyakorlása – összefoglalva a közös érdekkörben felmerülő gazdasági folyamatok támogatása – céljából szerződés teljesítése jogcímén kezeli, figyelemmel arra, hogy a kapcsolattartó a szerződő féllel foglalkoztatásra irányuló jogviszonyban áll, így ezen adatkezelés az érinett jogait nem érinti hátrányosan. A szerződő fél kijelenti, hogy a kapcsolattartói minőséghez kapcsolódó adatkezelésről az érintett kapcsolatartót tájékoztatta. Ezen adatok tárolásának időtartama a kapcsolattartói minőség fennállását követő 8 év.
(5) Valamennyi érintett vonatkozásában a személyes adatok címzettjei: a Társaság vezető tisztségviselője, ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, kapcsolattartói, Társaság adatfeldolgozói, különösen a könyvelési, adózási, üzletkötési feladatokat ellátó munkavállalói, és adatfeldolgozói.
(6) A személyes adatok adatfeldolgozásra átadásra kerülhetnek adózás, könyvelés céljából a társaság által megbízott könyvelő irodának, postázás szállítás céljából a Magyar Postának, illetve a megbízott futárszolgálatnak, vagyonvédelem céljából a társaság vagyonvédelmi megbízottjának, társaság adatfeldolgozóinak.
(7) Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség (Preambulum 44.) ha az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (6 cikk (1) b./). Így szerződés teljesítése jogcímén az e pontban írtak szerint kezelhetők a szerződési ajánlatok keretében gyűjtött személyes adatok is. Ajánlattételkor, illetve fogadáskor erről a Társaság köteles az ajánlattevőt, illetve az ajánlat címzettjét tájékoztatni kell.
Adatkezelés a Társaság által szervezett online rendezvények vonatkozásában végzett adatkezelés:
(1) A online rendezvényen részt vevő jogi vagy természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez.
(2) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító, számlázási, postázási név és cím, valamint céges adatok.
(3) A személyes adatok kezelésének célja: az online rendezvényen való részvétel, előadás, kommunikáció biztosítása
(4) Az adatkezelés jogalapja az érintett hozzájárulása, szerződés teljesítése; a hozzájárulás elmaradásának jogkövetkezménye: az online rendezvényen való részvétel megtagadása
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság Online rendezvényekhez IT platformot szolgáltató adatfeldolgozója, marketing szolgáltatója, Tárhely szolgáltatója, Könyvelője.
(6) A személyes adatok tárolásának időtartama: 5 évig vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).
(7) Az online rendezvényen, annak minden a virtuális standjánál adatbekérő formon az érintettek megadhatják nevüket és e-mail-üket a kapcsolatfelvétel, valamint kupon megkapása érdekében. Ezek az adatok ilyen esetben megadásra kerülnek a standhoz tartozó cégnek.
(8) Az online rendezvény szponzorainak átadásra kerülhet a regisztráltak neve és email címe a rendezvény utángondozásának céljából (például, de nem kizárólagosan: a rendezvényen, az adott előadáson résztvetteknek kínált kedvezmény biztosítása céljából).
Adatkezelés a Társaság webáruházában
(1) A Társaság által működtetett webáruházban történő vásárlás szerződésnek minősül, figyelemmel az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A.§-ára, és a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló 45/2014. (II. 26.) Korm. rendeletre is. Webáruházban történő vásárlás esetén az adatkezelés jogcíme a szerződés.
(2) A Társaság a szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti a webáruházban regisztráló, vásárló azonosításához szükséges természetes személyazonosító adatokat és lakcímet a 2001. évi CVIII. törvény 13/A. § (1) bekezdés jogcímén, továbbá hozzájárulás jogcímén a telefonszámát, e-mail címét, bankszámlaszámát, online azonosítóját.
(3) A Társaság számlázás céljából kezelheti az információs társadalommal összefüggő szolgáltatás igénybevételével kapcsolatos természetes személyazonosító adatokat, lakcímet, szállítási címet, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat, a 2001. évi CVIII. törvény 13/A.§ (2) bekezdés jogcímén.
(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal, pénzüggyel, szállítással, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság adózási, könyvviteli feladatait ellátó vállalkozás munkavállalói, az adó és számviteli kötelezettségek teljesítése céljából, a Társaság IT szolgáltatója, Konferenciához IT platformot szolgáltató adatfeldolgozó, Marketinges adatfeldolgozó, a futárszolgálat munkavállalói a szállítási adatok (név, cím, telefonszám) vonatkozásában.
(5) A személyes adatok kezelésének időtartama: a regisztráció / szolgáltatás fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig), vásárlás esetén a vásárlás évét követő év 8. év végéig.
Hírlevél szolgáltatáshoz kapcsolódó adatkezelés
(1) A honlapon a hírlevél szolgáltatásra regisztráló, jogi személy képviseletében eljáró természetes személy az erre vonatkozó négyzet bejelölésével tudomásul veszi, hogy hírlevélküldés, marketing célú megkeresés, tájékoztató anyagok küldése céljából a Társaság az adatkezelő jogos (egyéb üzletszerzési) érdeke, valamint érintett hozzájárulása alapján a szolgáltatás aktív fennállásáig, vagy az arra vonatkozó törlési kérelem (emailben megküldött leiratkozási kérelem) beérkezéséig kezeli adatait. Tilos a négyzet előre bejelölése. A feliratkozás során az Adatkezelési tájékoztatót (2. melléklet) egy linkkel elérhetővé kell tenni. A hírlevéről az érintett írásban vagy e-mailben tett nyilatkozattal bármikor leiratkozhat. Ilyen esetben a tiltakozó minden adatát haladéktalanul törölni kell.
(2) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail cím, telefonszáma és cégadatok
(3) A személyes adatok kezelésének célja:
- Hírlevél küldése a Társaság termékei, szolgáltatásai tárgyában
- Reklámanyag, tájékoztató anyag küldése
- Marketing célú megkeresés
(4) Az adatkezelés jogalapja: érintett hozzájárulása, adatkezelő jogos érdeke. Az arányossági teszt alapján a Társaság közvetlen üzletszerzési érdeke (GDPR Preambulum 47.) tekintettel arra, hogy gazdasági társaságról van szó nagyobb mértékű, mint a kockázat melyet a hírlevél szolgáltatáshoz kapcsolódó személyes adatok kezelése jelent. A hozzájárulás elmaradásának jogkövetkezménye: a szolgáltatás nem jön létre.
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság hírlevélküldő, Marketing és IT szolgáltatója a tárhelyszolgáltatás teljesítése céljából,
(6) A személyes adatok tárolásának időtartama: a hírlevél-szolgáltatás fennállásáig, vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).
Adatkezelés szociális média (Facebook, Instagram) vonatkozásában
(1) Az Adatkezelő saját oldaltát kezeli a facebookon és Instagramon. A facebook oldal üzenőfalán közzétett hírfolyamokra az oldalakon található „like” vagy „tetszik” linkre kattintva iratkozhat fel az érintett. Instagramon ez a követéssel valósul meg. Ahhoz, hogy a Facebookon keresztül kapcsolatba tudjon lépni az Adatkezelővel, be kell jelentkeznie. Ehhez a Facebook szintén személyes adatokat kér, illetve tárolja és feldolgozza azokat. Az adatkezelőnek nincs befolyása ezeknek az adatoknak a fajtájára, terjedelmére és feldolgozására, nem kap személyes adatokat a Facebook üzemeltetőjétől. További információt ezzel kapcsolatban a Facebook oldalán talál: https://www.facebook.com/privacy/explanation A Facebook oldalakon a követők személyes adatait az Adatkezelő a követők önkéntes hozzájárulásuk értelmében kezeli, a hozzájárulást megadottnak tekinti azzal, hogy az adott személy kedveli, követi oldalát, bejegyzéseit, illetve kommentet ír azokhoz. Az érintett az adatkezelő Facebook oldalán történő szolgáltatás igényléssel kapcsolatban akként nyilatkozik, hogy 16. életévét betöltötte. 16 éven aluli a GDPR 8. cikk (1) bekezdése alapján az adatkezeléshez történő hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének engedélye szükséges. Az adatkezelőnek nem áll módjában a hozzájáruló személy életkorát és jogosultságát ellenőrizni, így az érintett szavatol azért, hogy a megadott adatai valósak.
Az adatkezelőnek Instagramon sincs befolyása az adatoknak a fajtájára, terjedelmére és feldolgozására, nem kap személyes adatokat az Instagram üzemeltetőjétől. További információt ezzel kapcsolatban az Instagram oldalán talál: https://help.instagram.com/519522125107875
(2) Adatkezelés célja: tájékoztatás az aktuális információkról, az Adatkezelőt érintő hírekről, közösségi média felületen történő reklámozás, szolgáltatások bemutatása és népszerűsítése. A Facebook/Istagram oldalt az Adatkezelő marketing célokra használja annak érdekében, hogy az érdeklődők megismerjék szolgáltatásait és hogy kapcsolatba léphessenek az Adatkezelővel.
(3) Adatkezelés jogalapja: az érintett önkéntes hozzájárulása (a Facebook, Instagram adatkezelési szabályzatával összhangban)
(4) Adatkezeléssel érintett adatok köre: az érintett neve; érintettek: a szociális média platform felhasználói
(5) Adatkezelés időtartama: Az érintett a „dislike” vagy ”nem tetszik” gombra kattintva iratkozhat le az Adatkezelő facebook oldalának a követéséről, vagy az üzenőfal beállításai segítségével törölheti a nem kívánt, üzenő falon megjelenő híreket. Instagramon ez a követés kikapcsolásával valósul meg.
(6) Címzettek: Az adatkezelő ügyfélszolgálattal, marketinggel kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság Marketing, IT szolgáltatója
(7) adatkezelés időtartama: a szolgáltatás aktív fennállása
Üzenetküldés, regisztráció a Társaság honlapján
(1) A honlapon regisztráló, üzenetet küldő természetes személy az erre vonatkozó négyzet bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez.
(2) A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), címe, telefonszáma, e-mail címe, online azonosító, számlázási, postázási név és cím.
(3) A személyes adatok kezelésének célja:
termék keresés, információ kérés, illetve ajánlat kérés
(4) Az adatkezelés jogalapja az érintett hozzájárulása.
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal, marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság IT, Marketing szolgáltatója.
(6) A személyes adatok tárolásának időtartama: 5 évig vagy az érintett hozzájárulása visszavonásáig (törlési kérelméig).
Ajándéksorsolás szervezésével kapcsolatos adatkezelés
(1) Ha a társaság ajándéksorsolást (1991. évi XXXIV. törvény 23.§) szervez, hozzájárulása alapján kezelheti az érintett természetes személy nevét, címét, telefonszámát, e-mail címét, online azonosítóját, adóazonosító jelét. A játékban való részvétel önkéntes. Az adatkezelési hozzájárulás jelen szabályzat elfogadásával és a játékban való részvétellel valósul meg.
(2) A személyes adatok kezelésének célja: nyereményjáték nyertesének megállapítása, értesítése, a nyeremény megküldése, marketing célú megkeresés, tájékoztató anyagok küldése. Az adatkezelés jogalapja: az érintett hozzájárulása.
(3) A személyes adatok címzettjei, illetve a címzettek kategóriái: a vállalkozás marketinggel, ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság IT szolgáltatója, könyvvitelt végző munkavállalói, futárszolgálat munkavállalói továbbá a társaság többi adatkezelési szabályzatban megnevezett adatfeldolgozója. Kifejezett hozzájárulás mellett a nyertesek nevét a társaság a Facebook, Instagram oldalán feltüntetheti felhívva az érintettek figyelmét arra az adatkezelési tájékoztatóban, hogy a hírt mások megoszthatják. A közösségi oldalakon a ráutaló magatartás hozzájárulásnak tekinthető.
(4) A személyes adatok tárolásának időtartama: 5 év, nyertes adatai esetén 8 év a számviteli iratok megőrzése céljából.
Direkt marketing célú adatkezelés
(1) Ha külön törvény eltérően nem rendelkezik, reklám természetes személynek, mint reklám címzettjének közvetlen megkeresése módszerével (közvetlen üzletszerzés), így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján – a 2008. évi XLVIII. törvényben meghatározott kivétellel – kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult.
(2) A Társaság által reklám-címzetti megkeresés céljára kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe, online azonosító.
(3) A személyes adatok kezelésének célja a Társaság tevékenységéhez kapcsolódó direkt marketing tevékenység folytatása, azaz reklámkiadványok, hírlevelek, aktuális ajánlatok nyomtatott (postai) vagy elektronikus formában (e-mail) történő rendszeres vagy időszakonkénti megküldése a regisztrációkor megadott elérhetőségekre.
(4) Az adatkezelés jogalapja: az érintett hozzájárulása. adatkezelő jogos érdeke
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaság ügyfélszolgálattal kapcsolatos feladatokat ellátó munkavállalói, adatfeldolgozóként Társaság adatfeldolgozói, különösen a Társaság IT, Marketing, Hírlevél szolgáltatója, postai kézbesítés esetén a Posta munkavállalói.
(6) A személyes adatok tárolásának időtartama: a hozzájárulás visszavonásáig.
(7) A direkt marketing célú adatkezeléshez való hozzájárulásra a jelen szabályzat 1. melléklete szerinti adatkérő lap alkalmazható.
Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
(1) A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vele kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: adóazonosító jel.
(2) Útnyilvántartás, menetlevél vezetéséhez kapcsolódó adatkezelés: a Társaság jogi kötelezettség jogcímén, költségelszámolás, bizonylatolás, adóalapok megállapítása, üzemanyagmegtakarítás elszámolása céljából kezeli a céges és a foglalkoztatott hivatali, üzleti célra használt saját gépjárműhasználatának törvényben meghatározott adatait (gépkocsivezető neve, a gépjármű típusa, rendszáma, utazás időpontja, célja, megtett útvonal, felkeresett üzleti partner neve). A vonatkozó jogszabály 1995:CXVII. tv. (Szja tv.) 27.§/2/, 3. Melléklet 6. és 5. Melléklet 7. pont.
(3) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
(4) A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
Kifizetői adatkezelés
(1) A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
(3) A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés
(1) A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) szerint maradandó értékűnek minősülő iratait abból a célból, hogy a Társaság irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltár részére történő átadásig.
(2) A személyes adatok címzettjei: a Társaság vezetője, iratkezelést, irattározást végző munkavállalója, a közlevéltár munkatársa.
- FEJEZET
LÁTOGATÓI ADATKEZELÉS A TÁRSASÁG HONLAPJÁN – TÁJÉKOZTATÁS SÜTIK (COOKIE) ALKALMAZÁSÁRÓL
- A honlapra látogatót a honlapon tájékoztatni kell a sütik alkalmazásáról, és ehhez – a technikailag elengedhetetlenül szükséges munkamenet (session) sütik kivételével – a hozzájárulását kell kérni.
A cookie (süti) egy olyan kisméretű szöveges fájl, amely az érintett számítógépe vagy a mobil eszköze hosszú távú adattárolójában (HDD, SSD) rögzül a cookie-ban beállított lejárati ideig, és a későbbi látogatásokkor újra aktiválódik. Célja, hogy rögzítse a látogatással kapcsolatos adatokat, illetve a személyes beállításokat, ezek azonban a látogató személyével kapcsolatba nem hozható adatok. Segít a felhasználóbarát weboldal kialakításában, valamint az Érintett online élményének fokozása érdekében. Ha az Érintett nem egyezik bele, hogy az Adatfeldolgozó cookie-kat használjon, akkor a weboldal használatát meg kell szakítania.
Adatkezelés célja: felhasználói élmény javítása, az érintett személyes beállításainak a tárolása
Adatkezelés jogalapja: az érintett önkéntes hozzájárulása
Adatkezeléssel érintett adatok köre: Adatkezelő minden elemzési információt név, vagy más személyes adat nélkül tárol
Adatkezelés időtartama: az érintett a böngészője beállításain keresztül bármikor törölheti a számítógépén vagy mobiltelefonján eltárolt sütiket
- Részletes tájékoztatás a sütikről
2.1. A süti (angolul „cookie”) egy olyan adat, amit a meglátogatott weboldal küld a látogató böngészőjének (változónév-érték formában), hogy az eltárolja és később ugyanaz a weboldal be is tudja tölteni a tartalmát. A sütinek lehet érvényessége, érvényes lehet a böngésző bezárásáig, de korlátlan ideig is. A későbbiekben minden HTTP(S) kérésnél ezeket az adatokat is elküldi a böngésző a szervernek. Ezáltal a felhasználó gépén lévő adatokat módosítja.
2.2. A modern weboldalszolgáltatások természeténél fogva szükség van sütikre, melynek funkciója, hogy egy felhasználót megjelöljön (például, hogy belépett az oldalra) és annak megfelelően tudja a következőkben kezelni, akár későbbi visszatérésekor azonosítani. A veszélye abban rejlik, hogy erről a felhasználónak nem minden esetben van tudomása és alkalmas lehet arra, hogy felhasználót kövesse a weboldal üzemeltetője vagy más szolgáltató, akinek a tartalma be van építve az oldalban (pl. Facebook, Google Analytics), ezáltal profil jön létre róla, ebben az esetben pedig a süti tartalma személyes adatnak tekinthető.
2.3. A sütik fajtái:
2.3.1. Technikailag elengedhetetlenül szükséges munkamenet (session) sütik: amelyek nélkül az oldal egyszerűen nem működne funkcionálisan, ezek a felhasználó azonosításához, pl. annak kezeléséhez szükséges, hogy belépett-e, mit tett a kosárba stb. Ez jellemzően egy session-id letárolása, a többi adat a szerveren kerül tárolásra, ami így biztonságosabb. Van biztonsági vonatkozása, ha a session süti értéke nem jól van generálva, akkor session-hijacking támadás veszélye fennáll, ezért feltétlenül szükséges, hogy megfelelően legyenek ezek az értékek generálva. Más terminológiák session cookie-nak hívnak minden sütit, amik a böngészőből való kilépéskor törlődnek (egy session egy böngészőhasználat az elindítástól a kilépésig).
Ez a süti tárolja a munkamenet azonosítódat ('tudaspiac' nevű süti). 24 órán belül törlődik.
2.3.2. Használatot elősegítő sütik: így azokat a sütiket szoktál nevezni, amelyek megjegyzik a felhasználó választásait, például milyen formában szeretné a felhasználó az oldalt látni. Ezek a fajta sütik lényegében a sütiben tárolt beállítási adatokat jelentik.
Ez a süti tárolja a süti-beállításaidat, így a következő alkalommal az oldalunkat ezeknek megfelelően tudod használni. ('cc_cookie' nevű süti). 4368 órán belül törlődik.
2.3.3. Teljesítményt biztosító sütik: bár nem sok közük van a “teljesítmény”-hez, általában így nevezik azokat a sütiket, amelyek információkat gyűjtenek a felhasználónak a meglátogatott weboldalon belüli viselkedéséről, eltöltött idejéről, kattintásairól. Ezek jellemzően harmadik fél alkalmazásai (pl. Google Analytics, AdWords, vagy Yandex.ru sütik). Ezek a látogatóról profilalkotás készítésére alkalmasak.
Az uc_ előtaggal rendelkező sütik statisztikai célokat szolgálnak. Tárolják a jelenlegi látogatásod előzményeit. Ide tartozik az oldalunk látogatásainak száma, valamint az a weboldal címe, ahonnan hozzánk érkeztél. Ha egy UTM paramétereket tartalmazó linkről érkeztél, akkor az UTM paramétereket is tárolja. ('uc' véződésű süti). 8760 órán belül törlődik.
A Google Analytics sütikről itt tájékozódhat:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
A Google AdWords sütikről itt tájékozódhat:
https://support.google.com/adwords/answer/2407785?hl=hu
2.4. A sütik használatát elfogadni, azokat engedélyezni nem kötelező. Visszaállíthatja böngészője beállításait, hogy az utasítsa el az összes cookie-t, vagy hogy jelezze, ha a rendszer éppen egy cookie-t küld. A legtöbb böngésző ugyan alapértelmezettként automatikusan elfogadja a sütiket, de ezek általában megváltoztathatóak annak érdekében, hogy megakadályozható legyen az automatikus elfogadás.
A legnépszerűbb böngészők süti beállításairól az alábbi linkeken tájékozódhat
• Google Chrome: https://support.google.com/accounts/answer/61416?hl=hu
• Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn
• Microsoft Internet Explorer 11: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-11
• Microsoft Internet Explorer 10: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-10-win-7
• Microsoft Internet Explorer 9: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-9
• Microsoft Internet Explorer 8: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-8
• Microsoft Edge: http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq
• Safari: https://support.apple.com/hu-hu/HT201265
Mindezek mellett azonban felhívjuk a figyelmet arra, hogy előfordulhat, hogy bizonyos webhelyfunkciók vagy -szolgáltatások nem fognak megfelelően működni cookie-k nélkül.
- Tájékoztatás a Társaság honlapján alkalmazott sütikről, illetve a látogatás során létrejövő adatokról
3.1. A látogatás során kezelt adatkör: Társaságunk honlapja a weboldal használata során a látogatóról, illetve az általa böngészésre használt eszközről az alábbi adatokat rögzítheti és kezelheti:
• az látogató által használt IP cím,
• a böngésző típusa,
• a böngészésre használt eszköz operációs rendszerének jellemzői (beállított nyelv),
• látogatás időpontja,
• a meglátogatott (al)oldal, funkció vagy szolgáltatás.
• kattintás.
Ezeket az adatokat maximum 90 napig őrizzük meg és elsősorban biztonsági incidensek vizsgálatához használhatjuk.
3.2. A honlapon alkalmazott sütik
3.2.1. Technikailag elengedhetetlenül szükséges munkamenet (session) sütik
Az adatkezelés célja: a honlap megfelelő működésének biztosítása. Ezek a sütik ahhoz szükségesek, hogy a látogatók böngészhessék a weboldalt, zökkenőmentesen és teljeskörűen használhassák annak funkcióit, a weboldalon keresztül elérhető szolgáltatásokat, így – többek között- különösen a látogató által az adott oldalakon végzett műveletek megjegyzését vagy a bejelentkezett felhasználó azonosítását egy látogatás során. Ezen sütik adatkezelésének időtartama kizárólag a látogató aktuális látogatására vonatkozik, a munkamenet végeztével, illetve a böngésző bezárásával a sütik e fajtája automatikusan törlődik a számítógépéről.
Ezen adatkezelés jogalapja az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése, amely szerint a szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.
3.2.1. Használatot elősegítő sütik:
Ezek megjegyzik a felhasználó választásait, például milyen formában szeretné a felhasználó az oldalt látni. Ezek a fajta sütik lényegében a sütiben tárolt beállítási adatokat jelentik.
Az adatkezelés jogalapja a látogató hozzájárulása.
Az adatkezelés célja: A szolgáltatás hatékonyságának növelése, felhasználói élmény növelése, a honlap használatának kényelmesebbé tétele.
Ez az adat jellemzően a felhasználó gépén van, a weboldal csak hozzáfér és felismer(het)i általa a látogatót.
3.2.2. Teljesítményt biztosító sütik:
Információkat gyűjtenek a felhasználónak a meglátogatott weboldalon belüli viselkedéséről, eltöltött idejéről, kattintásairól.
Az adatkezelés jogalapja: az érintett hozzájárulása.
Az adatkezelés célja: a honlap elemzése, reklámajánlatok küldése.
- FEJEZET
TÁJÉKOZTATÁS AZ ÉRINTETT SZEMÉLY JOGAIRÓL
- Az érintett jogai röviden összefoglalva:
- Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
- Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
- Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
- Az érintett hozzáférési joga
- A helyesbítéshez való jog
- A törléshez való jog („az elfeledtetéshez való jog”)
- Az adatkezelés korlátozásához való jog
- A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
- Az adathordozhatósághoz való jog
- A tiltakozáshoz való jog
- Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
- Korlátozások
- Az érintett tájékoztatása az adatvédelmi incidensről
- A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
- A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
- Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
- Az érintett jogai részletesen:
- Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
1.1. Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
1.2. Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását.
1.3. Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet tájékoztatni kell.
1.4. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
1.5. Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban a Rendeletben írt esetekben díj számítható fel.
A részletes szabályok a Rendelet 12 cikke alatt találhatók.
- Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
2.1. Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. Ennek keretében az érintettet tájékoztatni kell:
- a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
- b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),
- c) a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
- d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
- e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik -, illetve a címzettek kategóriáiról, ha van ilyen;
- e) adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
2.2. A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:
- a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
- b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
- c) az érintett hozzájárulásán alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- f) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
2.3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
Az előzetes tájékozódáshoz való jog részletes szabályait a Rendelet 13. cikke tartalmazza.
- Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
3.1. Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet az adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell az előbbi 2. pontban írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
3.2. A további szabályokra az előbbi 2. pontban (Előzetes tájékozódáshoz való jog) írtak irányadók.
E tájékoztatás részletes szabályait a Rendelet 14. cikke tartalmazza.
- Az érintett hozzáférési joga
4.1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az előbbi 2-3. pontban írt kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).
4.2. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
4.3. Az adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.
Az érintett hozzáférési jogára vonatkozó részletes szabályokat a Rendelt 15. cikke tartalmazza.
- A helyesbítéshez való jog
5.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
5.2. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.
Ezen szabályokat a Rendelet 16. cikke tartalmazza.
- A törléshez való jog („az elfeledtetéshez való jog”)
6.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje ha
- a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
- d) a személyes adatokat jogellenesen kezelték;
- e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- f) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
6.2. A törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges
- a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- b) az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- c) a népegészségügy területét érintő közérdek alapján;
- d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A törléshez való jogra vonatkozó részletes szabályokat a Rendelet 17. cikke tartalmazza.
- Az adatkezelés korlátozásához való jog
7.1. Az adatkezelés korlátozása esetén az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
7.2. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
7.3. Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.
A vonatkozó szabályokat a Rendelet 18. cikke tartalmazza.
- A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
E szabályok a Rendelet 19. cikke alatt találhatók.
- Az adathordozhatósághoz való jog
9.1. A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha
- a) az adatkezelés hozzájáruláson vagy szerződésen alapul; és
- b) az adatkezelés automatizált módon történik.
9.2. Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását is.
9.3. Az adathordozhatósághoz való jog gyakorlása nem sértheti a Rendelet 17. cikkét (A törléshez való jog („az elfeledtetéshez való jog”). Az adtahordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. E jog nem érintheti hátrányosan mások jogait és szabadságait.
A részletes szabályokat a Rendelet 20. cikke tartalmazza.
- A tiltakozáshoz való jog
10.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdeken, közfeladat végrehajtásán (6. cikk (1) e)), vagy jogos érdeken (6. cikk f)) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
10.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
10.3. Ezen jogokra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
10.4. Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
10.5. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
A vonatkozó szabályokat a Rendelet cikke tartalmazza.
- Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
11.1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
11.2. Ez a jogosultság nem alkalmazandó abban az esetben, ha a döntés:
- a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
- b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
- c) az érintett kifejezett hozzájárulásán alapul.
11.3. Az előbbi a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
A további szabályokat a Rendelet 22. cikke tartalmazza.
- Korlátozások
Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja jogok és kötelezettségek (Rendelet 12-22. cikk, 34. cikk, 5. cikk) hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.
E korlátozás feltételeit a Rendelet 23. cikke tartalmazza.
- Az érintett tájékoztatása az adatvédelmi incidensről
13.1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:
- a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
13.2. Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyike teljesül:
- a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
A további szabályokat a Rendelet 34. cikke tartalmazza.
- A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.
E szabályokat a Rendelet 77. cikke tartalmazza.
A felügyeleti hatóság elérhetősége:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1055 Budapest, Falk Miksa utca 9-11
Postacím:1363 Budapest, Pf.: 9.
Telefonszám: +36 (1) 391-1400
Központi elektronikus levélcím: ugyfelszolgalat@naih.hu
- A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
15.1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
15.2. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
15.3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
15.4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
E szabályokat a Rendelet 78. cikke tartalmazza.
- Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
16.1. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
16.2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
E szabályokat a Rendelet 79. cikke tartalmazza.
- GYERMEKEK ADATAI VÉDELMÉRE VONATKOZÓ SZABÁLYOK
17.1. A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.
17.2. Az érintett hozzájárulásán alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
Utolsó Frissítés: Szeged, 2023. december 21.
SMARTOPERT KFT.
Képviseli: Zsák Péter ügyvezető
EN
Our website addresses are https://okosotthon.guru, matter.hu, smartopert.com smart-home.guru
Information about the Data Controller (Service Provider)
The name of the Service Provider is Smartopert Kft.
6724 Szeged, Cserzy Mihály utca 30.
Tax number: 27120211-2-06
E-mail address: info@okosotthon.guru
Website address: okosotthon.guru
+36-30-76-88-270
Customer service e-mail address: info@okosotthon.guru
Complaints handling location and contact details: info@okosotthon.guru
Hosting provider name: Elin.hu Kft.
Address of service provider: 9024 Győr, Déry T. utca 11. 2. floor. 2. door 4.
DATA MANAGEMENT INFORMATION
ON THE RIGHTS OF THE NATURAL PERSON CONCERNED
CONCERNING THE PROCESSING OF YOUR PERSONAL DATA
INTRODUCTION
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Regulation (EC) No 95/46/EC (hereinafter the Regulation) requires that the Controller takes appropriate measures to provide the data subject with all information relating to the processing of personal data in a concise, transparent, intelligible and easily accessible form, in a clear and plain language, and to facilitate the exercise of the data subject's rights.
The obligation of prior information of the data subject is also provided for in Act CXII of 2011 on the Right to Informational Self-Determination and Freedom of Information. The following information is provided to comply with this legal obligation.
Why is this information provided?
The Data Controller processes personal data for a number of purposes in the course of its operations and intends to do so in a way that respects the rights of data subjects and complies with its legal obligations. The Data Controller also considers it important to describe to data subjects the processing of personal data that it has become aware of in the course of its processing activities and its main features.
On what basis are personal data of data subjects processed?
Personal data are only processed for specific purposes and on the basis of an appropriate legal basis. These purposes and legal bases are described individually for each specific processing operation.
What external assistance is used to process your personal data?
Personal data are mostly processed by the Data Controller on its own premises. However, there are operations for which it uses external assistance, a data processor. The identity of the processor may vary according to the characteristics of each processing operation.
Who processes your personal data?
The Data Controller and the following Chapter II of the Privacy Notice will provide the Data Subject with information on the identity and contact details of the data processors employed by the Data Controller.
What principles does the Controller consider important when processing your personal data?
The processing of personal data is carried out in accordance with the applicable legislation, in particular Regulation 2016/679 of the European Parliament and of the Council of 27 April 2016 (GDPR Regulation).
In the course of its activities, the controller will only process personal data within the scope of the specific processing and the security of the personal data provided will be protected by technical and organisational measures that are possible and necessary. In doing so, particular attention is paid to ensure the confidentiality, integrity and availability of personal data.
The Data Controller shall be responsible for the truthfulness and accuracy of the personal data once they have been provided by the Data Subject. The terms used in this notice have the meaning given to them in the interpretative provisions of the GDPR Regulation on the right of information self-determination and the GDPR Regulation.
CHAPTER 2
NAME OF THE CONTROLLER
The publisher of this information is the Data Controller:
COMPANY NAME: SMARTOPERT KFT.
Address: 6724 SZEGED, CSERZY MIHÁLY UTCA 30.
ADDRESS: 27120211-2-06
DESCRIPTION: PÉTER ZSÁK Managing Director (peter.zsak@smartopert.com)
AVAILABILITY: http://www.smartopert.com footer,
(hereinafter referred to as "the Company")
CHAPTER
DESIGNATION OF DATA PROCESSORS
Processor: a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller; (Article 4(8) of the Regulation)
The use of a data processor does not require the prior consent of the data subject, but the data subject must be informed. Accordingly, the following information is provided:
IT service providers:
COMPANY: Google LLC.
1600 Amphitheatre PkwyMountain View, California 94043
(deemed to be resident in the EU under the EU-U.S. PRIVACY SHIELD FRAMEWORK)
HONLAP: https://mail.google.com/
COMPANY NAME: Facebook, Inc.
LOCATION: Menlo Park, California, USA
(considered EU resident under the EU-U.S. PRIVACY SHIELD FRAMEWORK)
HONLAP: https://www.facebook.com/
IT (newsletter) provider:
COMPANY NAME: SendInBlue
LOCATION: 7 rue de Madrid, 75008 Paris, France.
HONLAP: https://sendinblue.com
E-MAIL ADDRESS: dpo@sendinblue.com
IT (hosting) provider:
COMPANY: ELIN.hu Ltd.
LOCATION: 9024 Győr, Déry T. utca 11. 2. floor. door 4.
HONLAP: https://elin.hu
E-MAIL ADDRESS: info@elin.hu
TELEPHONE NUMBER: +36 30 2222 444
Data processor for accounting and payroll tasks:
COMPANY: Even Accounting and Controlling Consultancy Limited Liability Company
LOCATION: 6729 Szeged, Kovács udvar 5.
67 6767 67004, K.S.A., 67674, Hungary COMPANY: KBOSS. hu Kft.
LOCATION: 1031 Budapest, Záhony utca 7.
HONLAP: https://szamlazz.hu
E-MAIL ADDRESS: info@szamlazz.hu
Credit card payment service provider:
COMPANY: OTP Mobil Kft. (Simple Pay)
LOCATION: 1093 Budapest, Hungária körút 17-19.
Postal, courier and logistic data processor:
COMPANY NAME: MAGYAR POSTA ZRT.
HEAD OFFICE: 1138 BUDAPEST, DUNAVIRÁG UTCA 2-6.
HONLAP: https://www.posta.hu
E-MAIL ADDRESS: ugyfelszolgalat@posta.hu
TELEPHONE NUMBER: (1) 767 8282
COMPANY NAME: Fürgefutár.hu Kft
LOCATION: 1133 Budapest, Árbóc utca 6.
HONLAP: https://furgefutar.hu
E-MAIL ADDRESS: ugyfelszolgalat@furgefutar.hu
CHAPTER III
ENSURING THE LAWFULNESS OF DATA PROCESSING
Processing based on the consent of the data subject
1.1 Where the Company wishes to carry out processing based on consent, the data subject's consent to the processing of his or her personal data must be obtained by means of the content and information provided in the data request form set out in the Data Processing Policy.
1.2 Consent shall also be deemed to be given if the data subject ticks a box when viewing the Company's website, makes the relevant technical settings when using information society services, or makes any other statement or takes any other action which clearly indicates the data subject's consent to the intended processing of his or her personal data in the relevant context. Silence, ticking a box or inaction therefore does not constitute consent. The continuation of a telephone call after having been duly informed shall constitute consent.
1.3 Consent covers all processing activities carried out for the same purpose or purposes. Where processing is carried out for more than one purpose, consent must be given for all the purposes for which the processing is carried out.
1.4 Where the data subject gives his or her consent in the context of a written statement which also relates to other matters, such as the conclusion of a sales or service contract, the request for consent must be presented in a manner clearly distinguishable from those other matters, in a clear and easily accessible form, in clear and plain language. Any part of such a statement containing the consent of the data subject which is in breach of the Regulation shall not be binding.
1.5 The Company shall not make the conclusion or performance of a contract conditional on the giving of consent to the processing of personal data which are not necessary for the performance of the contract.
1.6.
1.7 Where the personal data have been collected with the consent of the data subject, the controller may process the collected data for the purpose of fulfilling a legal obligation to which the data subject is subject, unless otherwise provided by law, without further specific consent and after the withdrawal of the data subject's consent.
Processing based on the performance of a legal obligation
2.1 In the case of processing based on a legal obligation, the scope of the data to be processed, the purpose of the processing, the duration of the storage of the data and the recipients shall be governed by the provisions of the underlying legislation.
2.2 Processing based on the legal ground of performance of a legal obligation is independent of the consent of the data subject, as the processing is determined by law. In such cases, the data subject must be informed prior to the start of the processing that the processing is mandatory and must be provided with clear and detailed information on all the facts relating to the processing of his or her data, in particular the purposes and legal basis of the processing, the identity of the controller and the data processor, the duration of the processing, whether the controller is processing the personal data of the data subject on the basis of a legal obligation to which the data subject is subject and the persons who may access the data. The information should also cover the rights and remedies of the data subject in relation to the processing. In the case of mandatory processing, the information may also be provided by making public a reference to the legal provisions containing the foregoing information.
Processing based on legitimate interest
3.1 The legitimate interest of the Company or a third party may constitute a legal basis for processing, provided that the interests, fundamental rights and freedoms of the data subject do not prevail. The reasonable expectations of the data subject based on his or her relationship with the controller should be taken into account, so that the processing of personal data for contact purposes, even for direct marketing purposes, may be considered to be based on legitimate interests.
3.2 The processing based on legitimate interests requires a balancing of interests test, in which the Company will always take into account the current circumstances and the situation of the controller and the data subjects. In the case of processing in the interest of the Company, the balancing of interests tests carried out separately have led to the following result: in the balancing of interests test, the Company has concluded, taking into account the conditions described for the processing in question, that the processing is justified subject to the appropriate safeguards, as set out in this Policy, without which the Company would not be able to operate competitively. In this light, the emotional impact on data subjects and the harm to their right to privacy can be considered proportionate.
Processing to protect the vital interests of the data subject or other natural persons
4.1 The protection of the life or other vital interests of the data subject or of another natural person may also constitute a legal ground for processing. This is the case for a natural person where processing is carried out for the purposes of obtaining healthcare or stopping the spread of epidemics.
Processing based on a contractual interest
5.1 Processing may also be based on a contractual interest if it is necessary for the performance of a contract to which the data subject is a party or for taking steps at the request of the data subject prior to entering into the contract.
To facilitate the rights of the data subject
6.1 The Company shall ensure the exercise of the data subject's rights in all its processing.
CHAPTER 2
INFORMATION ON DATA PROCESSING BY THE COMPANY
Customer data: processing of data of contracting partners, contacts - register of customers, suppliers
(1) The Company may process the name, name at birth, date of birth, mother's name and address of the natural person who has a contractual relationship with it for the purposes of the preparation, conclusion, performance, termination and granting of a contractual benefit, in summary, the support of economic processes in the common interest, for the performance of a contract, tax identification number, tax number, entrepreneur's or self-employed person's card number, identity card number, address, address of registered office, address of premises, telephone number, e-mail address, website address, bank account number, customer number (customer number, order number), online identifier (list of customers, suppliers, frequent buyer lists), medical fitness documents, certificate. This processing is also lawful if it is necessary to take steps at the request of the data subject prior to the conclusion of the contract. Recipients of personal data: the Company's employees performing customer service tasks, employees performing accounting, tax and business processing tasks, and data processors. The storage period of personal data is 8 years after the termination of the contract, in view of the long-term business relationship of the Company.
(2) The legal basis for the processing of the data of the natural person contracting party provided in the contract for accounting and tax purposes is the fulfilment of a legal obligation, in this context the storage period is 8 years.
(3) The Company shall process the personal data of the natural person acting on behalf of the legal person contracting with it - the person signing the contract - provided in the contract, as well as his/her address, e-mail address and telephone number, online identifier for the purposes of contract preparation, contact, exercise of rights and obligations arising from the contract - in summary, support of economic processes arising in the common interest - for the legal title of contract performance. The storage period of these data is 8 years after the termination of the contract. In the case of processing based on legitimate interest, the data subject has the specific right to object to the processing.
(4) The Company shall process the name, address, telephone number, e-mail address, online identifier of the natural person - not a signatory - designated as a contact person in a contract concluded with it for the purpose of maintaining contact and exercising rights and obligations arising from the contract - in summary, to support economic processes in the common interest - for the performance of the contract, taking into account that the contact person is in an employment relationship with the contracting party, so that this processing does not adversely affect the rights of the data subject. The Contracting Party declares that it has informed the contact person concerned of the processing relating to his capacity as a contact person. The storage period of these data shall be 8 years after the contact person has been appointed as contact person.
(5) With regard to all data subjects, the recipients of personal data are: the Company's senior management, employees performing customer service tasks, contact persons, the Company's data processors, in particular employees performing accounting, tax and business processing tasks, and data processors.
(6) Personal data may be transferred for data processing to the accounting office appointed by the Company for taxation and accounting purposes, to the Hungarian Postal Service or the appointed courier service for postal delivery, to the Company's security agent for asset protection purposes, to the Company's data processors.
(7) The processing shall be considered lawful if it is necessary in the context of a contract or the intention to conclude a contract (Preamble 44) if it is necessary for the purposes of taking steps at the request of the data subject prior to the conclusion of the contract (Article 6 (1) b.). Thus, personal data collected in the context of contractual offers may also be processed for the purposes of the performance of a contract as described in this point. When making or receiving an offer, the Company is obliged to inform the offeror or the offeree of the offer.
Processing of data in relation to online events organised by the Company:
(1) A legal or natural person participating in an online event may give his/her consent to the processing of his/her personal data by ticking the relevant box.
(2) The scope of personal data that may be processed: the name (surname, first name), address, telephone number, e-mail address, online identifier, billing, postal name and address of the natural person, as well as company data.
(3) Purpose of the processing of personal data: to ensure participation in an online event, presentation, communication
(4) Legal basis for the processing: consent of the data subject, performance of a contract; legal consequence of not giving consent: refusal to participate in the online event
(5) Recipients or categories of recipients of personal data: employees of the Company performing tasks related to customer service, marketing activities, data processors of the Company as data processors, in particular the data processor of the Company providing IT platform for online events, marketing service provider, repository service provider, Accountant.
(6) Duration of storage of personal data: 5 years or until the data subject's consent is withdrawn (request for erasure).
(7) At the online event, at each of its virtual booths, the data subjects may provide their name and e-mail address in order to contact them and receive a coupon. These data will then be provided to the company associated with the stand.
(8) The name and email address of the registrants may be provided to the sponsors of the online event for the purpose of follow-up of the event (for example, but not limited to: providing a discount to the participants of the event, for the particular presentation).
Data processing in the Company's webshop
(1) Purchases made in the webshop operated by the Company shall be considered as a contract, subject to Article 13/A of Act CVIII of 2001 on certain issues of electronic commerce services and information society services and to Government Decree 45/2014 (26.II.) on the detailed rules of contracts between consumers and businesses.
(2) The Company may process the natural personal identification data and address of the customer registering in the webshop for the purpose of creating, defining the content of, amending and monitoring the performance of the contract for the provision of information society services, invoicing the fees arising therefrom and enforcing the claims related thereto, pursuant to Article 13/A (1) of Act CVIII of 2001, and the telephone number, e-mail address, bank account number and online identifier of the customer registering in the webshop, and pursuant to the consent.
(3) The Company may process, for billing purposes, personal data relating to the use of information society services, address, delivery address, as well as data relating to the time, duration and place of use of the service, pursuant to Article 13/A (2) of Act CVIII of 2001.
(4) Recipients and categories of recipients of personal data: employees of the Company performing tasks related to customer service, money transfer, transport, marketing activities, data processors of the Company as data processors, in particular employees of the company performing tax and accounting tasks of the Company for the purpose of fulfilling tax and accounting obligations, the IT service provider of the Company, data processor providing IT platform for the Conference, data processor of Marketing, employees of the courier service in relation to delivery data (name, address, telephone number).
(5) Duration of the processing of personal data: until the registration/service is completed or until the data subject's consent is withdrawn (request for deletion), in case of a purchase, until the end of the 8th year following the year of purchase.
Data processing related to the newsletter service
(1) By ticking the relevant box, the natural person registering for the newsletter service on the website, acting on behalf of a legal entity, acknowledges that the Company processes his/her data for the purpose of sending newsletters, marketing enquiries and information material on the basis of the legitimate (other commercial) interest of the data controller and the consent of the data subject until the service is active or until the receipt of a request for cancellation (unsubscribe request sent by email). It is prohibited to tick the box. When subscribing, the Privacy Notice (Annex 2) must be made available via a link. The data subject may unsubscribe from the newsletter at any time by giving a written or e-mail declaration. In such a case, all the data of the objector will be deleted immediately.
(2) Personal data that may be processed: name (surname, first name), e-mail address, telephone number and company details of the natural person
(3) Purpose of the processing of personal data:
Sending newsletters about the Company's products and services
Sending promotional material, information material
Marketing enquiries
(4) Legal basis for processing: consent of the data subject, legitimate interest of the controller. Based on the proportionality test, the direct commercial interest of the Company (GDPR Preamble 47) is greater than the risk of processing personal data related to the newsletter service, given that it is a commercial company. The legal consequence of not giving consent: the service will not be provided.
(5) Recipients or categories of recipients of personal data: employees of the Company performing tasks related to customer service and marketing activities, data processors of the Company as data processors, in particular the Company's newsletter, marketing and IT service providers for the purpose of providing the hosting service,
(6) Duration of the storage of personal data: until the newsletter service is provided or until the data subject's consent is withdrawn (request for deletion).
Data processing in relation to social media (Facebook, Instagram)
(1) The Data Controller manages its own pages on Facebook and Instagram. The data subject can subscribe to news feeds published on the message boards of the Facebook page by clicking on the "like" or "like" links on the pages. On Instagram, this is done by following. To be able to contact the Data Controller via Facebook, you must be logged in. For this purpose, Facebook also requests, stores and processes personal data. The Controller has no control over the type, scope and processing of this data and does not receive personal data from the Facebook operator. For further information on this, please visit the Facebook page: https://www.facebook.com/privacy/explanation The Data Controller processes the personal data of followers on Facebook pages on the basis of the voluntary consent of the followers, which is deemed to be given by the fact that the person concerned likes, follows or comments on the page or its posts. The data subject declares that he/she is over 16 years of age when requesting services on the Facebook page of the Controller. A person under 16 years of age shall, pursuant to Article 8(1) of the GDPR, require the consent of his or her legal representative in order for his or her declaration of consent to the processing to be valid. The controller is not in a position to verify the age and entitlement of the person giving the consent, so the data subject warrants that the data he or she has provided is accurate.
The data controller has no control over the type, scope and processing of the data on Instagram and does not receive personal data from the operator of Instagram. For more information on this, please visit the Instagram website: https://help.instagram.com/519522125107875
(2) Purpose of data processing. The Facebook/Istagram page is used by the Data Controller for marketing purposes in order to inform interested parties about its services and to enable them to contact the Data Controller.
(3) Legal basis for processing: voluntary consent of the data subject (in accordance with the Facebook/Instagram Privacy Policy).
(4) Data subject: name of the data subject; data subjects: users of the social media platform
(5) Duration of processing: the data subject can unsubscribe from the Facebook page of the Controller by clicking on the "dislike" or "unfollow" button, or delete unwanted messages on the message wall by using the settings of the message wall. On Instagram, this is done by turning off following.
(6) Recipients: employees of the Data Controller performing customer service and marketing-related tasks, data processors of the Company as data processors, in particular the Company's Marketing, IT service provider
(7) Duration of processing: active duration of the service
sending of messages, registration on the Company's website
(1) The natural person who registers on the website, sends a message may give his/her consent to the processing of his/her personal data by ticking the corresponding box.
(2) The scope of personal data that may be processed: the name (surname, first name), address, telephone number, e-mail address, online identifier, billing, postal name and address of the natural person.
(3) Purpose of the processing of personal data:
Product search, request for information or offer
(4) The legal basis for processing is the data subject's consent.
(5) Recipients or categories of recipients of personal data: employees of the Company performing tasks related to customer service, marketing activities, data processors of the Company as data processors, in particular the IT, Marketing service provider of the Company.
(6) Duration of storage of personal data: 5 years or until the withdrawal of the data subject's consent (request for erasure).
Data processing in connection with the organisation of a prize draw
(1) If the Company organizes a gift draw (Article 23 of Act XXXIV of 1991), it may process the name, address, telephone number, e-mail address, online identifier, tax identification number of the natural person concerned on the basis of his/her consent. Participation in the game is voluntary. Consent to the processing of personal data is deemed to have been given by accepting this policy and participating in the game.
(2) The purpose of processing personal data is to identify and notify the winner of the prize draw, to send the prize, to contact you for marketing purposes and to send you information material. Legal basis for processing: consent of the data subject.
(3) Recipients or categories of recipients of personal data: employees of the company performing marketing and customer service tasks, data processors of the Company as data processors, in particular the Company's IT service provider, accounting employees, courier service employees and other data processors of the Company named in the other data processing regulations. With explicit consent, the Company may display the names of the winners on its Facebook, Instagram pages, drawing the attention of the data subjects to the fact that the news may be shared by others in the privacy notice. On social networking sites, implicit behaviour may be considered as consent.
(4) Duration of storage of personal data: 5 years, 8 years in the case of winners for the purpose of keeping accounting records.
Processing for direct marketing purposes.
(1) Unless otherwise provided by a separate law, advertising may be communicated to a natural person as the recipient of the advertising by means of direct contact (direct marketing), in particular by electronic mail or other equivalent means of individual communication, with the exception of the provisions of Act XLVIII of 2008, only if the recipient of the advertising has given his or her prior, clear and express consent.
(2) The scope of personal data that the Company may process for the purpose of advertising mailing enquiries: the name, address, telephone number, e-mail address, online identifier of the natural person.
(3) The purpose of processing personal data is to carry out direct marketing activities related to the Company's activities, i.e. sending advertising publications, newsletters, current offers in printed (postal) or electronic form (e-mail), on a regular or periodic basis, to the contact details provided at the time of registration.
(4) Legal basis for processing: consent of the data subject.
(5) Recipients or categories of recipients of personal data: employees of the Company performing customer service tasks, data processors of the Company as data processors, in particular the Company's IT, Marketing, Newsletter service provider, employees of the Postal Service in case of postal delivery.
(6) Duration of storage of personal data: until consent is withdrawn.
(7) For the consent to data processing for direct marketing purposes, the data request form in Annex 1 to this Policy may be used.
Processing for tax and accounting obligations
(1) The Company shall process the data of natural persons who have entered into contact with it for the purposes of fulfilling a legal obligation, tax and accounting obligations (accounting, taxation), as defined by law. §-of the Act of 2000 on Accounting: name, address, designation of the person or organisation ordering the transaction, signature of the person ordering the transaction and the person certifying the execution of the order, and, depending on the organisation, the signature of the controller; on stock movement vouchers and cash management vouchers: signature of the recipient and on counterfoils: signature of the payer, and under Act CXVII of 1995 on Personal Income Tax: tax identification number.
(2) Data processing related to the keeping of the driver's logbook and the driver's logbook: the Company processes the data specified by law (name of the driver, type of vehicle, registration number, date and purpose of the journey, route taken, name of the business partner visited) for the purposes of legal obligations, cost accounting, supporting documents, tax assessment and fuel saving. The relevant legislation is 1995:CXVII. tv. (Tax Act) § 27.§/2/, Annex 3, point 6 and Annex 5, point 7.
(3) The period of storage of personal data shall be 8 years after the termination of the legal relationship giving rise to the legal basis.
(4) Recipients of personal data: employees and data processors of the Company performing tax, accounting, payroll and social security functions.
Payer processing
(1) The Company processes the personal data of the data subjects - employees, their family members, workers, recipients of other benefits - with whom it has a relationship as a payer (Act 2017:CL on the Tax Code (Art.), Article 7.31.), for the purposes of fulfilling its legal obligations, tax and contribution obligations prescribed by law (tax, advance tax, contributions, payroll, social security, pension administration). The scope of the data processed is defined in Art. Article 50 of the Act defines the data subject of the data subject, specifically highlighting: the natural person's natural person identification data (including previous name and title), gender, nationality, tax identification number, social security number (social security number). If the tax laws impose a legal consequence, the Company may process data relating to employees' membership of health (Section 40 of the Social Security Act) and trade unions (Section 47(2) b) of the Social Security Act) for the purposes of meeting tax and contribution obligations (payroll accounting, social security administration).
(2) The period of storage of personal data shall be 8 years after the termination of the legal relationship giving rise to the legal basis.
(3) Recipients of the personal data: employees and data processors of the Company performing tax, payroll, social security (payroll) tasks.
Processing of documents of lasting value under the Archives Act
(1) The Company shall, in the performance of its legal obligation, process documents of permanent value pursuant to Act LXVI of 1995 on public records, public archives and the protection of private archival material (Archives Act), in order to ensure that the permanent part of the Company's archival material is preserved intact and in a usable condition for future generations. Duration of storage: until the transfer to the public archives.
(2) Recipients of the personal data: the Company's manager, employees involved in document management and archiving, staff of the public archives.
CHAPTER 2
PROCESSING OF VISITORS' DATA ON THE COMPANY'S WEBSITE - INFORMATION ON THE USE OF COOKIES
The visitor to the website must be informed of the use of cookies on the website and, with the exception of session cookies, which are technically necessary, must be asked for his/her consent.
A cookie is a small text file that is stored in the long-term storage (HDD, SSD) of the computer or mobile device of the data subject for the expiry period set in the cookie and is reactivated on subsequent visits. Its purpose is to record data relating to the visit and personal preferences, but this data cannot be linked to the visitor personally. It helps to design a user-friendly website and to enhance the online experience of the Data Subject. If the Data Subject does not consent to the use of cookies by the Data Processor, he/she must discontinue using the website.
Purpose of processing: to improve the user experience, to store the data subject's personal preferences
Legal basis for processing: voluntary consent of the data subject
Data subject: the Data Controller will store all analytical information without name or other personal data
Duration of processing: the data subject can delete cookies stored on his/her computer or mobile phone at any time through the settings of his/her browser
Detailed information about cookies
2.1 A cookie is a piece of data that the visited website sends to the visitor's browser (in the form of a variable name value) so that it can store it and later load its content on the same website. A cookie can have a validity period, valid until the browser is closed, or indefinitely. In subsequent HTTP(S) requests, the browser will also send this data to the server. In this way, the data on the user's computer is modified.
2.2 Modern website services inherently require cookies, whose function is to identify a user (for example, that he or she has accessed the site) and to manage him or her accordingly, even identifying him or her on subsequent returns. The danger is that the user may not always be aware of this and may be tracked by the website operator or other service provider whose content is embedded in the site (e.g. Facebook, Google Analytics), thereby creating a profile of the user, in which case the cookie content may be considered personal data.
2.3 Types of cookies:
2.3.1. technically necessary session cookies: without which the site would simply not function, these are needed to identify the user, e.g. to manage whether they have logged in, what they have added to the shopping cart, etc. This is typically the storage of a session ID, the rest of the data is stored on the server, which is more secure. There is a security aspect, if the session cookie value is not generated correctly then there is a risk of a session hijacking attack, so it is imperative that these values are generated correctly. Other terminology calls session cookies all cookies that are deleted when you exit the browser (a session is a browser session from start to exit).
2.3.2 Usage cookies: this is the term used to describe cookies that remember the user's choices, for example, what form the user would like the page to take. These types of cookies are essentially the preferences data stored in the cookie.
2.3.3 Performance cookies: although they have little to do with 'performance', this is usually the name given to cookies that collect information about the user's behaviour, time spent on a website, clicks and clicks. These are typically third-party applications (e.g. Google Analytics, AdWords, or Yandex.ru cookies). They can be used to profile the visitor.
You can find out more about Google Analytics cookies here:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
You can find out about Google AdWords cookies here:
https://support.google.com/adwords/answer/2407785?hl=hu
2.4. You can reset your browser settings to reject all cookies or to indicate when a cookie is being sent. While most browsers automatically accept cookies by default, these can usually be changed to prevent automatic acceptance.
For information on the cookie settings of the most popular browsers, please see the links below
- Google Chrome: https://support.google.com/accounts/answer/61416?hl=hu
- Firefox: https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn
- Microsoft Internet Explorer 11: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-11
- Microsoft Internet Explorer 10: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-10-win-7
- Microsoft Internet Explorer 9: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-9
- Microsoft Internet Explorer 8: http://windows.microsoft.com/hu-hu/internet-explorer/delete-manage-cookies#ie=ie-8
- Microsoft Edge: http://windows.microsoft.com/hu-hu/windows-10/edge-privacy-faq
- Safari: https://support.apple.com/hu-hu/HT201265
However, please note that some website features or services may not function properly without cookies.
Information about the cookies used on the Company's website and the data collected during your visit
3.1.Data processed during the visit:
- the IP address used by the visitor,
- the browser type,
- the characteristics of the operating system of the device used for browsing (language set),
- time of the visit
- the (sub)page, function or service visited.
click.
This data is kept for a maximum of 90 days and may be used primarily for security incident investigations.
3.2. Cookies used on the website
3.2.1 Technically necessary session cookies
Purpose of processing: to ensure the proper functioning of the website. These cookies are necessary to enable visitors to browse the website, to use its functions smoothly and fully, to use the services available through the website, including, in particular, to note the actions carried out by the visitor on the pages concerned or to identify the logged-in user during a visit. The duration of the processing of these cookies is limited to the current visit of the visitor, and this type of cookie is automatically deleted from his/her computer at the end of the session or when the browser is closed.
The legal basis for this data processing is Article 13/A (3) of Act CVIII of 2001 on certain aspects of electronic commerce services and information society services (Elkertv.), according to which the service provider may process personal data that are technically necessary for the provision of the service. The provider must, other things being equal, choose and in any case operate the means used in the provision of the information society service in such a way that personal data are processed only if absolutely necessary for the provision of the service and for the fulfilment of the other purposes specified in this Act, but in this case only to the extent and for the duration necessary.
3.2.1:
These remember the user's choices, such as the form in which the user would like to see the site. These types of cookies are essentially the preferences data stored in the cookie.
These cookies are essentially cookies that are used to store information about the user's preferences.
The purpose of the processing.
This data is typically stored on the user's computer, the website only accesses and recognises the visitor.
3.2.2 Performance cookies:
They collect information about the user's behaviour within the website visited, time spent, clicks.
Legal basis for processing: consent of the data subject.
Purpose of processing: to analyse the website, to send advertising offers.
HEADING
INFORMATION ON THE RIGHTS OF THE DATA SUBJECT
A brief summary of the rights of the data subject:
Transparent information, communication and facilitation of the exercise of the rights of the data subject
Right to prior information - if personal data are collected from the data subject
Information to the data subject and the information to be provided to him or her where the personal data have not been obtained from the controller
Right of access of the data subject
Right to rectification
Right to erasure ('right to be forgotten')
Right to restriction of processing
Obligation to notify the rectification or erasure of personal data or restriction of processing
The right to data portability
The right to object
Automated decision-making in individual cases, including profiling
Restrictions
Informing the data subject of the personal data breach
Right to lodge a complaint with a supervisory authority (right to official redress)
Right to an effective judicial remedy against the supervisory authority
Right to an effective judicial remedy against the controller or processor
The data subject's rights in detail:
Transparent information, communication and facilitation of the exercise of the data subject's rights
1.1 The controller shall provide the data subject with all information and any particulars relating to the processing of personal data in a concise, transparent, intelligible and easily accessible form, in clear and plain language, in particular in the case of any information addressed to children. The information shall be provided in writing or by other means, including, where appropriate, by electronic means. At the request of the data subject, information may be provided orally, provided that the identity of the data subject has been verified by other means.
1.2 The controller shall facilitate the exercise of the data subject's rights.
1.3 The controller shall, without undue delay and in any event within one month of receipt of the request, inform the data subject of the measures taken in response to his or her request to exercise his or her rights. This period may be extended by a further two months under the conditions laid down in the Regulation.
1.4 If the controller fails to act on the data subject's request, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for the failure to act and of the possibility to lodge a complaint with a supervisory authority and to exercise his or her right of judicial remedy.
1.5 The controller shall provide the information and the information and action on the rights of the data subject free of charge, but may charge a fee in the cases provided for in the Regulation.
The detailed rules are set out in Article 12 of the Regulation.
Right to prior information - where personal data are collected from the data subject
2.1 The data subject has the right to be informed of the facts and information relating to the processing before the processing starts. In this context, the data subject shall be informed:
(a) the identity and contact details of the controller and its representative,
(b) the contact details of the Data Protection Officer (if any),
(c) the purposes for which the personal data are intended to be processed and the legal basis for the processing,
(d) in the case of processing based on legitimate interests, the legitimate interests of the controller or third parties,
(e) the recipients to whom the personal data are disclosed and the categories of recipients, if any;
(e) where applicable, the fact that the controller intends to transfer the personal data to a third country or an international organisation.
2.2 To ensure fair and transparent processing, the controller must provide the data subject with the following additional information:
(a) the duration of the storage of the personal data or, where this is not possible, the criteria for determining that duration;
(b) the right of the data subject to request the controller to access, rectify, erase or restrict the processing of personal data relating to him or her and to object to the processing of such personal data, and the right of data portability;
(c) in the case of processing based on the data subject's consent, the right to withdraw consent at any time without prejudice to the lawfulness of the processing carried out on the basis of consent prior to its withdrawal;
(d) the right to lodge a complaint with a supervisory authority;
(e) whether the provision of personal data is based on a legal or contractual obligation or is a prerequisite for the conclusion of a contract, and whether the data subject is under an obligation to provide the personal data, as well as the possible consequences of not providing the data;
(f) the fact of automated decision-making, including profiling, and, at least in these cases, the logic used and clear information about the significance of such processing and the likely consequences for the data subject.
2.3 Where the controller intends to further process personal data for a purpose other than that for which they were collected, it must inform the data subject of that other purpose and of any relevant additional information prior to further processing.
The detailed rules on the right to prior information are laid down in Article 13 of the Regulation.
Information to the data subject and the information to be provided to him or her where the personal data have not been obtained by the controller
3.1 Where the controller has not obtained the personal data from the data subject, the data subject must be informed by the controller at the latest within one month of obtaining the personal data; where the personal data are used for the purpose of contacting the data subject, at least at the time of the first contact with the data subject; or, where the data are likely to be disclosed to another addressee, at the latest at the time of the first disclosure of the personal data, at the time of the first communication of the personal data to the addressee. the facts and information referred to in point (2), the categories of personal data concerned and the source of the personal data and, where applicable, whether the data originate from publicly available sources.
3.2 The additional rules in section 2 (Right to Prior Information) above shall apply.
The detailed rules for this information are set out in Article 14 of the Regulation.
Right of access of the data subject
4.1 The data subject shall have the right to obtain from the controller feedback as to whether or not his or her personal data are being processed and, if such processing is taking place, the right to access the personal data and related information described in points 2 to 3 above (Article 15 of the Regulation).
4.2 Where personal data are transferred to a third country or an international organisation, the data subject has the right to be informed of the appropriate safeguards for the transfer in accordance with Article 46 of the Regulation.
4.3 The controller shall provide the data subject with a copy of the personal data which are the subject of the processing. For additional copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs.
Detailed rules on the data subject's right of access are set out in Article 15 of the Regulation.
Right to rectification
5.1.
5.2 Taking into account the purpose of the processing, the data subject shall also have the right to request the completion of incomplete personal data, inter alia, by means of a supplementary declaration.
These rules are set out in Article 16 of the Regulation.
Right to erasure ("right to be forgotten")
6.1 The data subject shall have the right to obtain from the controller the erasure of personal data relating to him or her without undue delay upon his or her request, and the controller shall be obliged to erase personal data relating to him or her without undue delay if
(a) the personal data are no longer necessary for the purposes for which they were collected or otherwise processed;
b) the data subject withdraws the consent on the basis of which the processing was carried out and there is no other legal basis for the processing;
(c) the data subject objects to the processing and there are no overriding legitimate grounds for the processing,
(d) the personal data have been unlawfully processed;
(e) the personal data must be erased in order to comply with a legal obligation under Union or Member State law to which the controller is subject;
(f) the personal data have been collected in connection with the provision of information society services directly to a child.
6.2 The right to erasure may not be exercised if the processing is necessary
a) for the exercise of the right to freedom of expression and information;
(b) to comply with an obligation under Union or Member State law to which the controller is subject or to carry out a task carried out in the public interest or in the exercise of official authority vested in the controller;
(c) on grounds of public interest in the field of public health;
(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, where the right of erasure would be likely to render such processing impossible or seriously jeopardise it; or
(e) for the establishment, exercise or defence of legal claims.
Detailed rules on the right of erasure are set out in Article 17 of the Regulation.
Right to restriction of processing
7.1 Where processing is restricted, such personal data, except for storage, may only be processed with the consent of the data subject or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for important public interests of the Union or of a Member State.
7.2 The data subject shall have the right to obtain, at his or her request, the restriction of processing by the Controller where one of the following conditions is met:
(a) the data subject contests the accuracy of the personal data, in which case the restriction shall apply for a period of time which allows the Controller to verify the accuracy of the personal data;
(b) the processing is unlawful and the data subject opposes the erasure of the data and requests instead the restriction of their use;
(c) the controller no longer needs the personal data for the purposes of the processing but the data subject requires them for the establishment, exercise or defence of legal claims; or
(d) the data subject has objected to the processing; in this case, the restriction shall apply for a period of time until it is established whether the legitimate grounds of the controller override the legitimate grounds of the data subject.
7.3 The data subject shall be informed in advance of the lifting of the restriction.
The relevant rules are set out in Article 18 of the Regulation.
Obligation to notify the rectification or erasure of personal data or the restriction of processing
The controller shall inform each recipient to whom or with which the personal data have been disclosed of any rectification, erasure or restriction of processing, unless this proves impossible or involves a disproportionate effort. The controller shall inform the data subject, at his or her request, of these recipients.
These rules can be found under Article 19 of the Regulation.
Right to data portability
9.1 Subject to the conditions laid down in the Regulation, the data subject has the right to receive personal data relating to him or her which he or she has provided to a controller in a structured, commonly used, machine-readable format and the right to transmit those data to another controller without hindrance from the controller to whom he or she has provided the personal data, where
(a) the processing is based on consent or on a contract; and
(b) the processing is carried out by automated means.
9.2 The data subject may also request the direct transfer of personal data between controllers.
9.3 The exercise of the right to data portability shall be without prejudice to Article 17 of the Regulation (Right to erasure ("right to be forgotten"). The right to data portability shall not apply where the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. This right shall not adversely affect the rights and freedoms of others.
The detailed rules are set out in Article 20 of the Regulation.
The right to object
10.1 The data subject shall have the right to object at any time, on grounds relating to his or her particular situation, to the processing of his or her personal data based on the public interest, the performance of a public task (Article 6(1)(e)) or a legitimate interest (Article 6(f)), including profiling based on those provisions. In such a case, the controller may no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.
10.2 Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to the processing of personal data concerning him or her for such purposes, including profiling, where it is related to direct marketing. If the data subject objects to the processing of personal data for direct marketing purposes, the personal data may no longer be processed for those purposes.
10.3 These rights shall be explicitly brought to the attention of the data subject at the latest at the time of the first contact with the data subject and the information shall be clearly displayed and separated from any other information.
10.4 The data subject may exercise the right to object by automated means based on technical specifications.
10.5 Where personal data are processed for scientific or historical research purposes or statistical purposes, the data subject shall have the right to object, on grounds relating to his or her particular situation, to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest.
The relevant rules are set out in the Article of the Regulation.
Automated decision-making in individual cases, including profiling
11.1 The data subject has the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
11.2 This right shall not apply where the decision:
(a) necessary for the conclusion or performance of a contract between the data subject and the controller;
(b) is permitted by Union or Member State law applicable to the controller which also lays down appropriate measures to protect the rights and freedoms and legitimate interests of the data subject; or
(c) based on the explicit consent of the data subject.
11.3 In the cases referred to in points (a) and (c) above, the controller shall take appropriate measures to safeguard the rights, freedoms and legitimate interests of the data subject, including at least the right to obtain human intervention by the controller, to express his or her point of view and to object to the decision.
Further rules are set out in Article 22 of the Regulation.
Restrictions
Union or Member State law applicable to a controller or processor may limit the scope of rights and obligations (Articles 12-22, 34, 5 of the Regulation) by legislative measures, provided that the limitation respects the essential content of fundamental rights and freedoms.
The conditions for this restriction are set out in Article 23 of the Regulation.
Informing the data subject of the personal data breach
13.1 Where the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall inform the data subject of the personal data breach without undue delay. This information shall clearly and plainly describe the nature of the personal data breach and shall include at least the following:
(a) the name and contact details of the Data Protection Officer or other contact person who can provide further information;
(c) describe the likely consequences of the data breach;
(d) a description of the measures taken or envisaged by the controller to remedy the personal data breach, including, where appropriate, measures to mitigate any adverse consequences of the personal data breach.
13.2 The data subject need not be informed if any of the following conditions are met:
(a) the controller has implemented appropriate technical and organisational protection measures and those measures have been applied in relation to the data affected by the personal data breach, in particular measures, such as the use of encryption, which render the data unintelligible to persons not authorised to access the personal data;
(b) the controller has taken additional measures following the personal data breach to ensure that the high risk to the rights and freedoms of the data subject is no longer likely to materialise;
(c) disclosure would require a disproportionate effort. In such cases, the data subjects shall be informed by means of publicly disclosed information or by means of a similar measure which ensures that the data subjects are informed in an equally effective manner.
Further rules are set out in Article 34 of the Regulation.
Right to lodge a complaint with a supervisory authority (right of appeal to a public authority)
The data subject has the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement, if the data subject considers that the processing of personal data relating to him or her infringes the Regulation. The supervisory authority with which the complaint has been lodged must inform the data subject of the procedural developments concerning the complaint and of the outcome of the complaint, including the right of the data subject to judicial remedy.
These rules are set out in Article 77 of the Regulation.
Contact details of the supervisory authority:
National Authority for Data Protection and Freedom of Information
Address: 9-11 Falk Miksa Street, 1055 Budapest, Hungary
Postal address:1363 Budapest, PO Box 9.
Phone number: +36 (1) 391-1400
Central e-mail address: ugyfelszolgalat@naih.hu
Right to an effective judicial remedy against the supervisory authority
15.1 Without prejudice to other administrative or non-judicial remedies, any natural or legal person has the right to an effective judicial remedy against a legally binding decision of the supervisory authority concerning him or her.
15.2 Without prejudice to any other administrative or non-judicial remedy, any data subject shall have the right to an effective judicial remedy if the competent supervisory authority does not deal with the complaint or does not inform the data subject within three months of the procedural developments concerning the complaint lodged or of the outcome of the complaint.
15.3 Proceedings against a supervisory authority shall be brought before the courts of the Member State in which the supervisory authority is established.
15.4 If proceedings are brought against a decision of the supervisory authority on which the Board has previously issued an opinion or taken a decision under the consistency mechanism, the supervisory authority shall be required to transmit that opinion or decision to the court.
These rules are laid down in Article 78 of the Regulation.
Right to an effective judicial remedy against the controller or processor
16.1 Without prejudice to any available administrative or non-judicial remedies, including the right to lodge a complaint with a supervisory authority, any data subject shall have the right to an effective judicial remedy if he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data not in accordance with this Regulation.
16.2 Proceedings against a controller or processor shall be brought before the courts of the Member State in which the controller or processor is established. Such proceedings may also be brought before the courts of the Member State in which the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in its exercise of official authority.
These rules are set out in Article 79 of the Regulation.
RULES ON THE PROTECTION OF CHILDREN'S DATA
17.1 Children's personal data deserve special protection, as they may be less aware of the risks, consequences, safeguards and rights associated with the processing of personal data. This special protection should apply in particular to the use of children's personal data for marketing purposes or for the purpose of creating personal or user profiles, and to the collection of children's personal data in the course of the use of services provided directly to them. In the case of prevention and counselling services provided directly to the child, the consent of the holder of parental responsibility is not required.
17.2 In the case of processing based on the consent of the data subject, the processing of personal data in relation to information society services offered directly to children is lawful when the child is over the age of 16. In the case of children under the age of 16, the processing of personal data of children is lawful only if and to the extent that consent has been given or authorised by the person having parental authority over the child.
Last Update.
SMARTOPERT KFT.
Represented by Péter Zsák, Managing Director