Adatvédelmi nyilatkozat

Figyelem, az oldal Webáruháza fejlesztés alatt áll. Az Adatvédelmi nyilatkozat frissítése és feltöltése folyamatban van.

ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT

Dátum: 2020.12.12 (nem végeleges változat)

A DREKO – GASTRO Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (székhelye: 9081 Győrújbarát, Arany János u. 133.; Cégjegyzékszám: 08-09-028902 a céget nyilvántartó bíróság: Győri Törvényszék Cégbírósága; adószáma: 25898442-2-08.; képviseli: dr. Papp Zsolt Ferenc ügyvezető) mint adatkezelő jelen ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT (továbbiakban Szabályzat) útján tájékoztatja a www. dreko.hu weboldal látogatóit, és minden más természetes személyt, akinek adatait kezeli (továbbiakban ők együttesen: érintett(ek), hogy tiszteletben tartja az érintettek személyhez fűződő jogait, ezért adatkezelései során a jelen Szabályzat rendelkezései alapján jár el.

A DREKO-GASTRO Kft. a Szabályzatnak az időközben módosulandó jogszabályi háttérrel és egyéb belső szabályzattal való összehangolása miatti megváltoztatására a jogot fenntartja. A Szabályzat mindenkor hatályos változata elektronikus formában a társaság weboldalán és papír alapon a társaság székhelyén érhető el. A fentiek alapján a Szabályzat rendelkezéseit a DREKO – GASTRO Kft. magára nézve kötelezőnek tekinti, és működése során annak értelmében jár el.

I. A SZABÁLYZAT CÉLJA:

1. A jelen szabályzat elsődleges célja, hogy az Adatkezelővel a honlapon keresztül kapcsolatba kerülő természetes személyek adatainak kezelésére vonatkozó alapvető elveket és rendelkezéseket meghatározza és betartsa annak érdekében, hogy a természetes személyek magánszférája védelemben részesüljön a vonatkozó törvényi előírásoknak és hatósági állásfoglalásoknak megfelelően.

A jelen szabályzat célja, hogy az Adatkezelő biztosítsa az általa kezelt személyes adatok tekintetében az adatkezelés jogszerűségét, célszerűségét, illetve mindenben megfeleljen a hatályos jogszabályok adatvédelemmel kapcsolatos rendelkezéseinek.

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az itt felsorolt adatkezelési jogalapok közül az egyik teljesül: (minden – a társaság által végzett tevékenységhez kapcsolódó – adatkezelés során csak egy jogalap jelölthető meg!)

GDPR 6.cikk (1) bekezdés a) pont: érintett hozzájárulását adta, személyes adatainak egy vagy több konkrét célból történő kezeléséhez

GDPR 6.cikk (1) bekezdés b) pont: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

GDPR 6.cikk (1) bekezdés c) pont: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.

GDPR. 6 cikk (1) bekezdés d.) pont az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

GDPR 6.cikk (1) bekezdés e) pont: az adatkezelés a közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának a keretében végzett feladat

GDPR. 6. cikk (1) bekezdés f.) pont: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve ha ezen érdekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyerek. (Mindig érdekmérlegelés szükséges)

Az adatkezelő célját e jogalapokra hivatkozással kell meghatározni.

Alkalmazandó jogszabályok:

az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelete („GDPR”);

az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény; (infó törvény)

a Polgári Törvénykönyvről szóló 2013. évi V. törvény;

a számvitelről szóló 2000. évi C. törvény („Sztv.”);

az adózás rendjéről szóló 2017. évi CL. törvény;

II. A SZABÁLYZAT HATÁLYA

Időbeli hatály: Jelen Szabályzat (amikor a honlap létrejött) napjától további rendelkezésig vagy visszavonásig hatályos.

Személyi hatály kiterjed

az Adatkezelőre, valamint

azon személyekre, akik adatait e Szabályzat hatálya alá tartozó adatkezelések tartalmazzák

azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti. (pl. adatfeldolgozók)

Tárgyi hatály:

Jelen Szabályzat hatálya a www.dreko.hu címen elérhető honlaphoz (továbbiakban : „Honlap”) és a Társaságnak ezen az oldalon keresztül folytatott kereskedelmi tevékenységéhez kapcsolódó adatkezeléseire terjed ki.

Ellenkező tájékoztatás hiányában a Szabályzat hatálya nem terjed ki olyan weboldalak, szolgáltatók szolgáltatásaira és adatkezeléseire, melyekre a Honlapokon található hivatkozás vezet.

III. AZ ADATKEZELŐ SZEMÉLYE, ADATFELDOLGOZÓK

A Jelen Adatvédelmi Szabályzat szempontjából Adatkezelő:

Név: DREKO – GASTRO Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság

Székhely: 9081 Győrújbarát, Arany J. u.133.

Képviseli: Dr. Papp Zsolt Ferenc ügyvezető

Cégjegyzékszám: 08-09-028902

Adószám: 25898442-2-08

Nyilvántartó bíróság: Győri Törvényszék, mint cégbíróság

Email cím: ……………………………

telefonszám:…………………………

Adatvédelmi tisztviselő: A rendelet alapján a társaság nem köteles tisztviselő kijelölésére.

A DREKO – GASTRO Kft. Munkatársai (Foglalkoztatottjai), akinek (titoktartási nyilatkozat stb.) tevékenységével kapcsolatban az DREKO – GASTRO Kft. teljes felelősséget vállal az érintettek személyes adatkezelése tekintetében.

IV. FOGALOMMEGHATÁROZÁSOK a jelen Szabályzat megértéséhez

személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; érintett: az a természetes személy, akinek a személyes adata a tárgya valamely adatkezelésnek. A Társaság alapvetően 18. életévét betöltött természetes személyeknek nyújtja, így adatkezelési folyamatait is ezen körülménynek megfelelően alakította ki. A GDPR. 8. cikk (1) bekezdése értelmében a 16. életévét be nem töltött gyermek személy nyilatkozatához a törvényes képviselőjének hozzájárulása szükséges, a Társaság valamennyi olyan esetben, amikor ilyen érintetteknek címzett adatkezelési folyamatot végez, megszerzi a törvényes képviselő hozzájárulását. érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás, vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség, vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A Weboldalon keresztül megvalósuló személyes adatkezelések esetén az adatkezelő a Társaság. A Társaság adatkezelőnek minősül mindazon információk tekintetében és kezeli mindazon adatokat, amelyeket a Felhasználók a Weboldal látogatása, használata, a Weboldalon elérhető bármely Szolgáltatás igénybevétele során átadnak a Társaság részére, feltöltenek a Weboldalra, valamint amely adatokat a Társaság gyűjti a Felhasználók Weboldalon végzett tevékenysége során. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely szerv, amely az adatkezelő nevében kezel személyes adatokat. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség, vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető; adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered; biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat; egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; V. AZ ÉRINTETT JOGAI ÉS JOGORVOSLATI LEHETŐSÉGEI Az érintetettek jogai a 2011. évi CXII. törvény és az EU 2016/679 Rendelete alapján az alábbiak: 1. az érintett hozzáférési (tájékoztatás) joga: Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: a) az adatkezelés céljai; b) az érintett személyes adatok kategóriái; c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket; d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. 2. A helyesbítéshez való jog: Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

3. A törléshez való jog („az elfeledtetéshez való jog”) : Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja(személyes adatok különleges kategóriája) értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A fentiek nem alkalmazhatóak, amennyiben az adatkezelés szükséges:

a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c) a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d) a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

4. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés a fentiek szerint korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az adatkezelő az érintettet, akinek a kérésére a fentiek szerint korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

5. Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a) az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és

b) az adatkezelés automatizált módon történik.

Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

Az említett jog gyakorlása nem sértheti a 17. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az említett jog nem érintheti hátrányosan mások jogait és szabadságait.

6. A tiltakozáshoz való jog:

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Az tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

JOGORVOSLATOK:

kvázi” jogorvoslat”: az érintett, személyes adataival kapcsolatos jogainak megsértése esetén élhet a helyesbítéshez, az elfeledtetéshez vagy az adatkezelés korlátozásához való jogával.

Panasztételhez való jog: az érintett személyes adataival kapcsolatos jogainak megsértése esetén a felügyeleti hatósághoz fordulhat. Az érintett bármely, különösen a szokásos tartózkodási helye szerinti tagállambeli adatvédelmi hatóságnál előterjesztheti. A felügyeleti hatóság ésszerű határidőben, legfeljebb 3 hónapon belül tájékoztatja a döntéséről az érintettet. A panasz nyomán lefolytatott vizsgálat és annak eredménye bírósági felülvizsgálat tárgyát képezi.

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság

Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Levelezési cím: 1530 Budapest, Pf.: 5.

Telefon: 06 1 391 1400

Fax: 06 1 391 1410

Honlap: http://www.naih.hu

E-mail: ugyfelszolgalat@naih.hu

Bírósági jogorvoslat: több eljárást is magában foglal. Például magában foglalja, az adatkezelésre vonatkozó előírások sérelme esetén kezdeményezett pereket (ilyenkor a bíróságok alapjogi bíráskodást végeznek (pl. személyiségi jogok megsértése) de ide tartoznak azok a perek is, amelyeket az érintettek a felügyeleti hatóság tevékenységével kapcsolatban indítottak. (adatvédelmi hatósági eljárás felülvizsgálata céljából indított eljárások: közigazgatási bíráskodás) A bíróság az ügyben soron kívül jár el.

Továbbá fordulni lehet az Európai Uniós Bíróságához (Luxemburg) is 3 esetkörben:

az érintett a Testület döntésének megsemmisítése iránt

a személyes adatok védelméhez fűződő jogot a az EU más jogintézményei sértették meg eljárásukkal;

uniós jogi aktusok érvényessége és értelmezése tárgyában

Az érintett jogsértés esetén továbbá jogorvoslatért (panasz) fordulhat:

Adatvédelmi Biztos Hivatalához (1051 Budapest, Nádor u. 22.)

VI. AZ ADATKEZELÉS ALAPELVEI

Az adatkezelő felelős a következő elveknek való megfelelésért, továbbá képes e megfelelés igazolására („elszámoltathatóság”):

A személyes adatok

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”);

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

VII. A TÁRSASÁG HONLAPJÁHOZ KAPCSOLODÓ EGYES ADATKEZELÉSI TEVÉKENYSÉGEK

A.) Online szállásfoglalással összefüggő adatkezelés

1. Adatkezelő lehetővé teszi az érintettek számára, hogy a következőkben részletezett adataik megadásával az Adatkezelőtől információt kérjenek.

2. Az információkérés önkéntes hozzájáruláson alapul.

3. Az érintettek köre: Minden természetes személy, aki az Adatkezelővel kapcsolatba lép és az Adatkezelőtől információt kér személyes adatainak megadása mellett.

4. Kezelt adatok köre és célja:

név* (családnév, keresztnév)	azonosítás
telefonszám	kapcsolattartás
e-mail cím*	kapcsolattartás
kérdés tartalma*	válaszadás

5. Az adatkezelés célja az érintett számára megfelelő információ nyújtása és kapcsolattartás.

6. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a.) Az érintett az Adatkezelő által biztosított, számára elérhető úton egyeztethet az Adatkezelővel az Adatkezelő szolgáltatásairól, és/vagy egyéb, kapcsolódó kérdésekről.

b.) Az Adatkezelő az érintett kérdését megválaszolja és azt részére – ugyanazon az úton, ahogyan az információ kérés érkezett, ha érintett máshogyan nem rendelkezik – eljuttatja.

c.) Érintett, az adatkezelés céljával összhangban, önkéntesen hozzájárul ahhoz, hogy ha az információkérés során elérhetőségét megadta, azon keresztül Adatkezelő vele kapcsolatba lépjen, hogy a kérdést pontosítsa, vagy azt részére megválaszolja.

7. Adatkezelés időtartama: cél megvalósulásáig. Abban az esetben, ha az információ kéréshez és/vagy információ adáshoz joghatás fűződik, vagy az érintettet, vagy az Adatkezelőt hasonlóan jelentős mértékben érinti, Adatkezelő az adatokat a mindenkori elévülési időben kezeli.

8. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

9. Adatok forrása: közvetlenül az érintettől.

10. Adatközlés: harmadik fél számára nem kerül közlésre.

11. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás
		számla befogadása, könyvelése	számlán szereplő személyes adatok

Társaságunk adatfeldolgozói szerződést kötött az adatfeldolgozói feladatokra, amelyben az adatfeldolgozó vállalja, hogy további adatfeldolgozó igénybe vétele esetén kötelezően alkalmazza azokat az adatvédelmi és adatkezelési garanciákat, amelyeket az adatfeldolgozói szerződés előír számára.

12. Szervezési és technikai intézkedések a kezelt adatok védelme érdekében: társaságunk minden szükséges technikai és szervezési intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése, eltűnése, illetéktelen számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a szükséges intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezetünk, (adatvédelmi incidens nyilvántartás) amely tartalmazza az érintett személyes adatainak körét, az adatvédelmi incidenssel érintettek körét és számát, az incidenssel érintett személyes adatok körét, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb feladatokat.

13. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

14. A *-gal jelölt adatokkal kapcsolatban az Adatkezelő felhívja a figyelmet arra, hogy amennyiben az érintett azokat az Adatkezelő számára nem szolgáltatja, úgy az Adatkezelő a szolgáltatás nyújtását (adatkezelést) megtagadja.

B.) Érintettel történő kapcsolattartás során kezelt adatok

1. Adatkezelő biztosítja, hogy az érintett vele a weboldalon megadott elérhetőségek valamelyikén a kapcsolatot felvegye.

Példálózó felsorolással élve ilyen az elektronikus alapú kapcsolattartás, mint az e-mail, vagy a postai úton vagy telefonon történő kapcsolattartás, stb. (Például érintettel folyatott levelezés.)

2. Az adatkezelés jogalapja az érintett önkéntes hozzájárulása.

3. Abban az esetben, ha az Adatkezelő és az érintett a kapcsolatfelvételt követően megállapodást kötnek egymással például az Adatkezelő valamely szolgáltatásának igénybevételéről, a rendszeres kapcsolattartás ezen adatkezeléshez kapcsolódó lesz és jogszerűsége a szerződéskötésen alapul. Kapcsolatfelvétel és kapcsolattartás, így a vonatkozó adatok kezelése alapulhat az érintett, harmadik személy, vagy az Adatkezelő jogos érdekén, mely esetben az Adatkezelő érdekmérlegelési tesztet köteles készíteni.

4. Az érintettek köre: Minden természetes személy, ideértve szervezet nevében, képviseletében eljáró természetes személyt is, aki az egyszeri információkérésen túl folyamatosan, vagy rendszeresen kapcsolatot tart az Adatkezelővel.

5. A kezelt adatok köre és célja:

Név*	azonosítás
e-mail cím*	kapcsolattartás
telefonszám	kapcsolattartás
kérdés, egyéb érintett által megadott adat	válaszadás

6. Az adatok kezelésének célja az érintettel történő kapcsolattartás, felmerülő kérdések, kérések és egyebek megválaszolása, megoldása.

7. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a.) Az érintett az Adatkezelő által biztosított, számára elérhető módon, példálózó felsorolással élve szóban (személyesen, telefonon) vagy írásban (postai úton, elektronikus levélben) felveszi a kapcsolatot, vagy kapcsolatot tart az Adatkezelővel és kérdést, kérést vagy egyebet intézi az Adatkezelő felé.

b.) A kapcsolatfelvétel tartalma és jogszabályok, belső szabályzatok alapján az Adatkezelő megteszi a szükséges lépéseket, példálózó felsorolással élve tájékoztatja az érintettet.

8. Adatkezelés időtartama: cél megvalósulásáig, vagy ha az érintett vagy harmadik személy, vagy az Adatkezelő érdeke, vagy kötelezettség teljesítése megkívánja, akkor a cél megvalósulását követően, az érdek megszűnéséig, vagy kötelezettség teljesítésének elévüléséig tart.

9. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

10. Adatok forrása: közvetlenül az érintettől.

11. Adatközlés: harmadik fél számára nem kerül közlésre

12. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás

13. Szervezési és technikai intézkedések: a kezelt adatok védelme érdekében: társaságunk minden szükséges technikai és szervezési intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése, eltűnése, illetéktelen számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a szükséges intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezetünk, (adatvédelmi incidens nyilvántartás) amely tartalmazza az érintett személyes adatainak körét, az adatvédelmi incidenssel érintettek körét és számát, az incidenssel érintett személyes adatok körét, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb feladatokat.

14. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

15. A *-gal jelölt adatokkal kapcsolatban az Adatkezelő felhívja a figyelmet arra, hogy amennyiben az érintett azokat az Adatkezelő számára nem szolgáltatja, úgy az Adatkezelő a szolgáltatás nyújtását (adatkezelést) megtagadja.

C.) Megállapodás megkötésével kapcsolatos adatkezelés

1. Adatkezelő az egyes szolgáltatásainak nyújtását és/vagy szolgáltatások beszerzését erre vonatkozó megállapodás előzetes megkötéséhez, mint feltételhez köti.

2. A megállapodás megkötése önkéntes hozzájáruláson alapul. A GDPR alkalmazásától kezdődően, megállapodás megkötése esetén az adatkezelés jogalapja a 6. cikk 1. b. pontja (az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges).

3. Az érintettek köre: Minden természetes személy, valamint szervezet nevében, képviseletében eljáró természetes személy, aki az Adatkezelővel – személyes adatok megadása mellett – megállapodást köt az Adatkezelővel.

4. A kezelt adatok köre és célja:

Név*	azonosítás
e-mail cím*	kapcsolattartás
telefonszám*	kapcsolattartás
szerződés tárgya*	szerződés megkötéséhez szükséges tartalmi elem
fizetési feltételek*	szerződés megkötéséhez szükséges tartalmi elem
jogok és kötelezettségek*	szerződés megkötéséhez szükséges tartalmi elem

5. Az adatkezelés célja a megállapodás megkötése.

6. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a. Az érintett az Adatkezelő egymással egyszeri vagy többszöri alkalommal egyeztetnek egymással a megállapodás részleteiről.

b. Érintett adatait a megállapodás létrehozásához az Adatkezelő számára megadja, önkéntesen és befolyásmentesen a megállapodást megköti az Adatkezelővel.

c. Az érintett és Adatkezelő együttesen, vagy valamelyik fél létrehozza a megállapodás tervezetét, amelyet közös akaratelhatározásból aláírnak.

d. Adatkezelő a megállapodást az erre rendszeresített elektronikus és/vagy papír alapú nyilvántartási rendszerben rögzíti.

e. Adatkezelő érintettet, vagy érintette az Adatkezelőt a teljesítése folyamatában értesítheti a teljesítés egyes lépéseiről.

f. Érintett, az adatkezelés céljával összhangban, önkéntesen hozzájárul ahhoz, hogy megadott elérhetőségén keresztül Adatkezelő vele kapcsolatba lépjen a teljesítés részleteinek egyeztetésével, és/vagy kapcsolódó kérdésekkel kapcsolatban.

7. Adatkezelés időtartama: azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan személyes adatok vonatkozásában, amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 év.

8. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

9. Adatok forrása: közvetlenül az érintettől.

10. Adatközlés: harmadik fél számára nem kerül közlésre.

11. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás
		számla befogadása, könyvelése	számlán szereplő személyes adatok

13. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

D.) Panaszkezelés

1. Adatkezelő biztosítja, hogy az érintett termékre és/vagy Adatkezelő szolgáltatására, és/vagy Adatkezelő magatartására, tevékenységére vagy mulasztására vonatkozó panaszát szóban (személyesen, telefonon) vagy írásban (személyesen vagy más által átadott irat útján, postai úton, elektronikus levélben) közölhesse.

2. A panaszkezelés folyamata önkéntes hozzájárulás alapján indul meg, de panasz esetén az adatkezelés kötelező.

3. Az érintettek köre: Minden természetes személy, aki panaszát szóban vagy írásban közölni kívánja (panaszos).

4. A kezelt adatok köre és célja:

panasz azonosítója	azonosítás
név	azonosítás
panasz beérkezésének időpontja	azonosítás
telefonszám	kapcsolattartás
a hívás időpontja	azonosítás
a beszélgetés során megadott személyes adatok	azonosítás
számlázási/levelezési cím	kapcsolattartás
panaszolt szolgáltatás/magatartás	panasz kivizsgálása
csatolt dokumentumok	panasz kivizsgálása
panasz oka	panasz kivizsgálása

5. Az adatok kezelésének célja a panasz kezelése, ebből fakadóan az érintett és panasz azonosítása, valamint a törvényből származó kötelezően rögzítendő adatok felvétele, kezelése és a kapcsolattartás.

6. Az adatkezeléssel érintett tevékenység a következő:

a.) Érintett panaszát szóban (személyesen, telefonon) vagy írásban (személyesen vagy más által átadott irat útján, postai úton, elektronikus levélben) közli az Adatkezelővel.

b.) Amennyiben érintett panaszát szóban teszi meg, úgy arról az Adatkezelő panaszbejelentő nyomtatványt, vagy annak tartalmával megegyező jegyzőkönyvet vesz fel.

c.) Amennyiben érintett panaszát írásban kívánja megtenni, arra is lehetősége van.

d.) Adatkezelő a panaszt feldolgozza, és a lehető legrövidebb időn belül megválaszolja.

e.) Adatkezelő törekszik az esetlegesen felmerülő panaszok mielőbbi, közös érdekek szerinti rendezésére.

7. Adatkezelés időtartama: Adatkezelő a panaszról felvett jegyzőkönyvet és a válasz másolati példányát a felvételüktől számított 5 évig kezeli a vonatkozó és hatályos 1997. évi CLV. törvény 17/A § 7. bek. alapján, kötelezően.

8. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

9. Adatok forrása: közvetlenül az érintettől.

10. Adatközlés: harmadik fél számára

11. Szervezési és technikai intézkedések a kezelt adatok védelme érdekében: társaságunk minden szükséges technikai és szervezési intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése, eltűnése, illetéktelen számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a szükséges intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezetünk, (adatvédelmi incidens nyilvántartás) amely tartalmazza az érintett személyes adatainak körét, az adatvédelmi incidenssel érintettek körét és számát, az incidenssel érintett személyes adatok körét, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb feladatokat.

12. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

13. A *-gal jelölt adatokkal kapcsolatban az Adatkezelő felhívja a figyelmet arra, hogy amennyiben az érintett azokat az Adatkezelő számára nem szolgáltatja, úgy az Adatkezelő a szolgáltatás nyújtását (adatkezelést) megtagadja.

E.) Honlapon történő regisztráció

1. Adatkezelő biztosítja, hogy az érintett vele a weboldalon megadott elérhetőségek valamelyikén a kapcsolatot felvegye.

2. Az adatkezelés jogalapja az érintett önkéntes hozzájárulása.

5. A kezelt adatok köre és célja:

Név*	azonosítás
e-mail cím*	kapcsolattartás
telefonszám	kapcsolattartás
kérdés, egyéb érintett által megadott adat	válaszadás

6. Az adatok kezelésének célja az érintettel történő kapcsolattartás, felmerülő kérdések, kérések és egyebek megválaszolása, megoldása.

7. Az adatkezeléssel érintett tevékenység és folyamat a következő:

b.) A kapcsolatfelvétel tartalma és jogszabályok, belső szabályzatok alapján az Adatkezelő megteszi a szükséges lépéseket, példálózó felsorolással élve tájékoztatja az érintettet.

9. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

10. Adatok forrása: közvetlenül az érintettől.

11. Adatközlés: harmadik fél számára nem kerül közlésre

12. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás

14. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

E.) Online fizetéssel kapcsolatos adatkezelés (szoba foglalás esetén, vagy bor vásárlása esetén) + számlázás

1. Az érintett pénzügyi teljesítést tehet az Adatkezelő felé, Az Adatkezelő adatokkal, azon belül személyes adatokkal kerül(het) kapcsolatba. A pénzügyi teljesítés online bankkártyás fizetés útján történik, az OTP Bank Zrt. – OTP Simple fizetési felületén, így a bankkártyaadatok tekintetében adatkezelés nem történik. Tekintettel viszont arra, hogy a foglalóról, illetve a vásárlásról számla kerül kiállításra, adatkezelés történik a 4. pontban részletezett körben.

2. Adatkezelés jogalapja: az érintettek adatainak kezelése jogszabály és/vagy szerződés alapján kötelező. Abban az esetben, ha az érintett utalást eszközöl az Adatkezelő felé, úgy kapcsolódó adatait önkéntes hozzájárulás alapján adta meg.

3. Érintettek köre: Minden természetes személy, illetve jogi személy képviseletében eljáró természetes személy (kapcsolattartó személy) aki bankon keresztül történő átutalással kíván fizetni az Adatkezelő számára.

4. A kezelt adatok köre és célja

Családi név, keresztnév *	azonosítás
lakóhely, szállítási cím	azonosítás, szolgáltatás teljesítése (kiszállítás)
adószám*	szolgáltatás teljesítéséhez (számla kiállításához)
rendelésszám*	szolgáltatás teljesítéséhez (a rendelés, és megrendelő beazonosításához)
utalt összeg*	szolgáltatás teljesítéséhez (megrendelés beazonosításához, számla kiállításához)

5. Az adatkezelés célja a pénzügyi teljesítés elősegítése, ellenőrzése, számla kiállítása

6. A bank- és üzleti titok megőrzése érdekében Adatkezelő minden tőle telhetőt megtesz annak érdekében, hogy fenti adatok kizárólag annak a Munkatársnak jusson tudomására, akinek azok a feladatai elvégzése érdekében elengedhetetlenül szükségesek, és ehhez megfelelő jogosultsággal rendelkezik a kapcsolódó munkaszerződése és munkaköri leírása alapján.

7. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a.) Érintett előzetesen megadja a 4. táblázatban szereplő adatait majd a rendszer egy online felületre navigálja, ahol az OTP Simple Pay-en keresztül teljesítheti a pénzügyi tranzakciót. Sikeres banki utalást követően az Adatkezelő bankszámlájára megérkezik az utalt összeg és az érintett beazonosítására szolgáló adatok. (megrendelés szám, neve stb.)

b.) A banki átutalás adatait Adatkezelő adatfeldolgozója felé/vagy ha a könyvelést a társaság munkavállalója végzi, akkor számára, mint Adatkezelőnek átadhatja.

8. Adatkezelés időtartama: azonosítási és kapcsolattartási adatok vonatkozásában azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan adatok vonatkozásában,

amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 év.

9. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

10. Adatok forrása: közvetlenül az érintettől.

11. Adatközlés: harmadik fél számára kerül közlésre, így például bank felé, e személyek az I. sz. mellékletben kerültek megnevezésre.

12. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás	lásd. 4. pontban részletezettek
		tárhely szolgáltatás	lásd. 4. pontban részletezettek
		számla befogadása, könyvelése	számlán szereplő személyes adatok
OTP Bank Zrt.			bankkártya adatok + utalt összeg

13. Szervezési és technikai intézkedések a kezelt adatok védelme érdekében: társaságunk minden szükséges technikai és szervezési intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése, eltűnése, illetéktelen számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a szükséges intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezetünk, (adatvédelmi incidens nyilvántartás) amely tartalmazza az érintett személyes adatainak körét, az adatvédelmi incidenssel érintettek körét és számát, az incidenssel érintett személyes adatok körét, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb feladatokat.

14. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

F.) Az oldalon történő regisztráció

Az oldalon törénő webshop vásárláshoz szükséges az érintettek regisztrációja, valamint az ÁSZF, Jelen Szabályzat, és azon nyilatkozat elfogadása melyben a felhasználó kijelenti, hogy elmúlt 18 éves. Az adatkezelő a regisztráció során fiókot hoz létre a webshopban vásárolni kívánó személy vagy jogi személy részére, mely során személyes adatokkal kerül kapcsolatba az Adatkezelő.

2. Az adatkezelés jogalapja az érintett önkéntes hozzájárulása.

3. Abban az esetben, ha a regisztrációt követően az érintett és az Adatkezelő a távollévők között kötött szerződést kötnek egymással (azaz az érintett a webshopban vásárol) az adatkezelés ezt követően ehhez kapcsolódó lesz és jogszerűsége a szerződéskötésen alapul.

4. Az érintettek köre: Minden természetes személy, ideértve szervezet nevében, képviseletében eljáró természetes személyt is.

5. A kezelt adatok köre és célja:

Név/Cégnév (kapcsolattartó természetes személy neve)*	azonosítás, szolgáltatás teljesítése (megvásárolt termékről számla kiállítása, adott esetben kiszállítása)
Cím/Székhely*	azonosítás, szolgáltatás teljesítése (megvásárolt termékről számla kiállítása, adott esetben kiszállítása)
telefonszám	kapcsolattartás
adószám*	szolgáltatás teljesítéséhez (számla kiállítása)
e-mail cím*	kapcsolattartás
kérdés, egyéb érintett által megadott adatt	válaszadás

6. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a.) Az érintett az Adatkezelő által biztosított felületen megadja a 4. táblázatban szereplő adatait, az Adatkezelő pedig regisztrálja a fenti adatokkal az érintetett (felhasználói fiókot hoz létre számára.)

8. Adatkezelés időtartama: cél megvalósulásáig, azaz a regisztráció törlését követő 3 napig, kivéve a számlázáshoz szükséges adatokat (név, lakcím, adószám) tekintettel arra, hogy ezen adatokat a számla tartalmazza, melynek Adatkezelő általi megőrzési kötelezettsége – a számviteli törvény szerinti – 8 év.

9. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

10. Adatok forrása: közvetlenül az érintettől.

11. Adatközlés: harmadik fél számára nem kerül közlésre

12. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás
		számla befogadása, könyvelése	számlán szereplő személyes adatok
GLS General Logistics Systems Hungary Csomag-Logisztikai Korlátolt Felelősségű Társaság	2351 Alsónémedi, GLS Európa utca 2.	szállítás	megrendelő neve, szállítási címe, termék összege, esetlegesen termék megnevezése

14. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

G. Ajándékutalvány vásárlása

1. Társaságunk lehetőséget biztosít arra, hogy weboldalán az általa üzemeltetett szolgáltatásaira online Ajándékutalványt lehessen vásárolni.

2. Adatkezelés jogalapja: az ajándékozó személy előzetes hozzájárulása, illetve a szerződés megkötéséhez szükséges adatok szolgáltatása tekintetében a későbbiekben már a szerződés teljesítése.

3. Érintettek köre: Az ajándékozó természetes személy, vagy jogi személy nevében a kapcsolattartó személy.

4. A kezelt adatok köre és célja

név/cégnév (kapcsolattartó személy neve)*	kapcsolattartás, számlázáshoz, szerződés megkötéséhez szükséges
cím/székhely*	számlázáshoz, szerződés megkötéséhez szükséges
adószám*	számlázáshoz szükséges
megajándékozott neve*	beazonosításhoz szükséges
e-mail	kapcsolattartás
telefonszám, mobilszám	kapcsolattartás

5. Az adatkezelés célja: lásd. 4. pont

6. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a.) Érintett előzetesen megadja az Adatkezelő által megjelölt módon (e-mail, telefonon) az ajándékkártya kiállításához szükséges fenti 4. pontban részletezett adatokat.

Fizetéskor az érintettet a rendszer egy online felületre navigálja, ahol az OTP Simple Pay-en keresztül teljesítheti a pénzügyi tranzakciót. Sikeres banki utalást követően az Adatkezelő bankszámlájára megérkezik az utalt összeg és az érintett beazonosítására szolgáló adatok. (megrendelés szám, neve stb.) Az adatkezelő kiállítja az online ajándékkártyát, melyet e-mailen keresztük megküldi az érintett számára.

A banki átutalás adatait Adatkezelő adatfeldolgozója felé/vagy ha a könyvelést a társaság munkavállalója végzi, akkor számára, mint Adatkezelőnek átadhatja.

7. Adatkezelés időtartama: azonosítási és kapcsolattartási adatok vonatkozásában azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli, olyan adatok vonatkozásában,

amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 év.

9. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

10. Adatok forrása: közvetlenül az érintettől.

11. Adatközlés: harmadik fél számára nem kerül közlésre.

12. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás
		számla befogadása, könyvelése	számlán szereplő személyes adatok

12. Szervezési és technikai intézkedések a kezelt adatok védelme érdekében: a kezelt adatok védelme érdekében: társaságunk minden szükséges technikai és szervezési intézkedést megtesz egy esetleges adatvédelmi incidens (pl. személyes adatokat tartalmazó fájlok sérülése, eltűnése, illetéktelen számára hozzáférhetővé válása) elkerülésére. Egy mégis bekövetkező incidens esetén a szükséges intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezetünk, (adatvédelmi incidens nyilvántartás) amely tartalmazza az érintett személyes adatainak körét, az adatvédelmi incidenssel érintettek körét és számát, az incidenssel érintett személyes adatok körét, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb feladatokat.

13. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

H.) Szállítással kapcsolatos adatkezelés

1. Társaságunk lehetőséget biztosít arra, hogy weboldalán az általa üzemeltetett webshopon keresztül rendelt termékeket kiszállítja a vele szerződéses kapcsolatban álló csomagküldő szolgáltatást nyújtó cégen keresztül az érintett által előzetesen megadott címre.

2. Adatkezelés jogalapja:

az érintett személy előzetes hozzájárulása, illetve

a szerződés megkötéséhez szükséges adatok szolgáltatása tekintetében: a szerződés teljesítése

3. Érintettek köre: Az ajándékozó természetes személy, vagy jogi személy nevében a kapcsolattartó személy.

4. A kezelt adatok köre és célja

név/cégnév (kapcsolattartó személy neve)*	szállítás teljesítéséhez szükséges
cím/székhely*	szállítás teljesítéséhez szükséges
telefonszám, mobilszám*	kapcsolattartás
rendelés összege*	amennyiben utánvéttel egyenlíti ki a vételárat, a szerződés teljesítéséhez szükséges (a vevő oldaláról)

5. Az adatkezelés célja: lásd. 4. pont

6. Az adatkezeléssel érintett tevékenység és folyamat a következő:

a.) Érintett előzetesen megadja az Adatkezelő által megjelölt felületen a 4. pontban felsorolt adatokat. Az megrendelő (érintett személy) beállítja a vásárláskor a fizetési feltételeknél, hogy utánvéttel vagy online kívánja kifizetni a termékeket. Amennyiben átutalással teljesíti a pénzügyi tranzakciót a megrendelő, a sikeres banki utalást követően, az Adatkezelő az érintett által megadott címre a csomagszállító cégen keresztül leszállítja az árut a lehető legrövidebb időn belül. Amennyiben a megrendelő az utánvéttel történő fizetési opciót választja, ez esetben a termék árát a csomagszállítással megbízott cégnek adja át megrendelő a termék kiszállításkor.

A szállítással kapcsolatos 4. pontban felsorolt – érintett által átadott – adatokat Adatkezelő átadja a csomagszállítással megbízott cégének mint adatfeldolgozónak.

A banki átutalás adatait Adatkezelő adatfeldolgozója felé/vagy ha a könyvelést a társaság munkavállalója végzi, akkor számára, mint Adatkezelőnek átadhatja.

amelyek bizonylatokra kerülnek, és a bizonylat a könyvviteli elszámolást támasztja alá, az adatkezelés időtartama a 2000. évi C. törvény 169. § (2) bekezdése alapján legalább 8 év.

8. Az adatkezelés módja: elektronikusan és/vagy papír alapon, manuálisan történik.

9. Adatok forrása: közvetlenül az érintettől.

10. Adatközlés: harmadik fél számára nem kerül közlésre.

11. Adatfeldolgozó igénybevétele:

Adatfeldolgozó neve	Székhelye/Címe	Adatfeldolgozói feladat leírása	Kezelt adatok köre
		webtárhely és domain szolgáltatás
		tárhely szolgáltatás
		számla befogadása, könyvelése	számlán szereplő személyes adatok
GLS General Logistics Systems Hungary Csomag-Logisztikai Korlátolt Felelősségű Társaság	2351 Alsónémedi, GLS Európa utca 2.	szállítás, megrendelt termék árának átvétele	megrendelő neve, szállítási címe, termék összege, esetlegesen termék megnevezése

13. Automatizált döntéshozatal, profilalkotás: az adatkezelés kapcsán ilyen nem történik.

I.) Weboldal látogatási adatok

I. Hivatkozások és linkek

1. Adatkezelő weboldala olyan linkeket is tartalmazhat, amelyek olyan oldalakra mutatnak, amelyeket nem az Adatkezelő üzemeltet, csupán a látogatók tájékoztatását szolgálják.

Az Adatkezelőnek nincs semmi befolyása a Partnerek által üzemeltetett weboldalak tartalmára és biztonságára, így nem is tartozik felelősséggel azokért.

2. Adatkezelő ezért arra kéri az érintetteket, hogy tekintsék át az általuk meglátogatott oldalak adatvédelmi tájékoztatóját mielőtt az adott, nem az Adatkezelőhöz tartozó oldalon az adatait bármilyen formában megadná.

II. Cookie-k

3. Adatkezelő tekintettel a 2003. évi C. törvény 155.§ 4. bekezdésében foglaltaknak, miszerint „Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni” a következő tájékoztatást adja az általa használt analitikai eszközökkel, azaz cookie-kkal (magyarul: süti) kapcsolatban.

A sütik és kezelésük

A sütik (cookie-k) olyan kisméretű adatfájlok (továbbiakban: sütik), amelyek a weboldalon keresztül a weboldal használatával kerülnek a felhasználó számítógépére úgy, hogy azokat a falhasználó internetes böngészője menti le és tárolja el. A leggyakrabban használt internetes böngészők (Chrome, Firefox, stb.) többsége alapbeállításként elfogadja és engedélyezi a sütik letöltését és használatát, az viszont már a felhasználótól függ, hogy a böngésző beállításainak módosításával ezeket visszautasítja vagy letiltja, illetve a felhasználó a már a számítógépen lévő eltárolt sütiket is tudja törölni. A sütik használatáról az egyes böngészők „súgó” menüpontja nyújt bővebb tájékoztatást.

Vannak olyan sütik, amelyek nem igénylik felhasználó előzetes hozzájárulását. Ezekről weblapunk a felhasználó első látogatásának megkezdésekor ad rövid tájékoztatást, ilyenek például a hitelesítési, multimédia-lejátszó, terheléskiegyenlítő, a felhasználói felület testreszabását segítő munkamenet-sütik, valamint a felhasználó-központú biztonsági sütik.

A hozzájárulást igénylő sütikről – amennyiben az adatkezelés már az oldal felkeresésével megkezdődik – a Szolgáltató az első látogatás megkezdésekor tájékoztatja a felhasználót és kéri a hozzájárulását. A hozzájárulás megadása önkéntes.

A Szolgáltató nem alkalmaz és nem is engedélyez olyan sütiket, amelyek segítségével harmadik személyek a felhasználó hozzájárulása nélkül adatot gyűjthetnek.

A sütik elfogadása nem kötelező, a Szolgáltató azonban nem vállal azért felelősséget, ha sütik engedélyezése hiányában a weblap esetleg nem az elvárt módon működik.

Alkalmazott sütik

Típus	Név	Hozzájárulás	Leírás	Cél	Érvényesség
rendszer, technikai sütik		nem igényel	a webes alkalmazás tűzfalának session sütije, amely a kereszthivatkozások elleni visszaélés megelőzésére szolgál	honlap működésének biztosítása	böngésző session vége
nyomkövető, marketing süti		igényel	személyre szabáshoz	Ön beállításainak megjegyezése szolgáltatásunk hatékonyságának növelése	30 nap
nyomkövető süti (harmadik féltől származó)		nem igényel	új session-ök és látogatók azonosítására, a Google Analytics webes nyomkövető szolgáltatás ment le	a weboldal látogatása során harmadik személyek (pl. Google) szolgáltatásaihoz kapcsolódik	…. perc
statisztikai sütik		igényel		vásárlási szokásokról statisztikai adatokat gyűjt	…. perc

Mindezek alapján, az Adatkezelő az analitikai rendszereket nem használja személyes adatok gyűjtésére.

Adatkezelő felhívja a felhasználók figyelmét, hogy a legtöbb internetes böngésző automatikusan elfogadja a cookie-kat, a látogatóknak azonban lehetőségük van ezeket kitörölni, vagy automatikusan visszautasítani.

Mivel minden böngésző eltérő, a felhasználó egyénileg, a böngésző eszköztár segítségével állíthatja be a cookie-kal kapcsolatos preferenciáit.

Adatkezelő felhívja a felhasználók figyelmét, hogy elképzelhető, hogy bizonyos tulajdonságokat nem tudnak használni a weboldalon, amennyiben úgy döntenek, hogy nem fogadják el a cookie-kat.

XII. ADATBIZTONSÁGI RENDSZABÁLYOK

1. Adatbiztonsági Intézkedések

Az adatkezelő és az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető – így különösen az érintettek különleges adatainak kezelésével járó – kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz, melyeket a jelen Szabályzat, tartalmaz.

Az adatkezelő és tevékenységi körében az adatfeldolgozó a fenti intézkedésekkel biztosítja

a) az adatkezeléshez használt eszközök (a továbbiakban: adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását,

b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását,

c) az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását,

d) az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását,

e) azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,

f) azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére,

g) azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe,

h) a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását,

i) azt, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen, valamint

j) azt, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével se lehessen megváltoztatni.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az adatkezelő, illetve tevékenységi körében az adatfeldolgozó megfelelő műszaki megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

2. A hardverekhez, a szoftverekhez és az elektronikus adathordozókhoz kapcsolódó előírások

A berendezéseket, az adathordozókat védeni kell a káros környezeti hatások ellen (pl.: azok ne kerüljenek fűtőtest közelébe, ne érje őket közvetlen napsugárzás).

A számítástechnikai eszközök karbantartását, javítását dokumentálni kell, és gondoskodni kell arról, hogy külső személy a kezelt adatokat ne ismerhesse meg, erre az időszakra tilos az adathordozókat a számítógép környezetében hagyni.

A számítógépeket az adatkezelés idejére úgy kell elhelyezni, hogy csak az adatkezelésre jogosultak láthassák a képernyőt.

Olyan külső személyek számára, akiket az adatok megismerésére nem hatalmaz fel törvényi előírás, a számítástechnikai eszközökhöz való hozzáférés csak abban az esetben engedélyezhető, ha a kezelt adatok megismerése kizárható vagy titoktartási nyilatkozatot tesznek.

XIII. EGYÉB RENDELKEZÉSEK

Jelen szabályzat szerzői jogi műnek minősül, tilos a Szabályzat egészének vagy részének, részletének másolása, többszörözése, újra nyilvánossághoz történő közvetítése, a mű mindenfajta egészben vagy részben történő használata, felhasználása, feldolgozása, értékesítése a szerző írásos hozzájárulása nélkül. Szabályzat szerzője az Adatkezelő.

Jelen Szabályzattal az Adatkezelő minden korábbi adatkezelési szabályzatát hatályon kívül helyezte.

Kelt: 20………………..

DREKO – GASZTRO Kft.

képv.:

Dr. Papp Zsolt ügyvezető