Privacy Policy
I. General information, the data controller
1.1. Identity and Activities of the Data Controller
For the purpose of data management activities defined in this Notice (“Notice”), the data controller is the Dunai Orsolya Réka Egyéni Vállalkozó (site: 1012 Budapest, Lovas út 18.; e-mail: lyrabeachwear@gmail.com; VAT number: 8450380103; hereinafter “Data Controller”).
The Data Controller is a sole trader registered in Hungary, dealing with commerce activities.
1.2. Governing Laws
Data management performed by the Data Controller is primarily governed by the General Data Protection Regulation of the European Union (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016) on the protection of natural persons with regard to the management of personal data and on the free movement of such data, and repealing Directive 95/46/EC; hereinafter “GDPR”). In addition, data management is also governed by Hungarian laws regulating the legal relationship between the Data Controller and the affected data subject, in particular, Civil Code, and legislation on commerce, online commerce, in particular:
- Act CXII. of 2011 on the Right of Informational Self-Determination and on Freedom of Information;
- Act XLVIII. of 2008 on Essential Conditions of and Certain Limitations to Business Advertising (hereinafter: „Grtv.”);
- Act CLV of 1997 on Consumer Protection (hereinafter: „Fgytv”)
- Act C. of 2000 on Accounting (concerning the storage of bills).
1.3. Scope of the Notice, Data Subject
The scope of this Notice shall cover the data management activities of the Data Controller, in particular the data management of websites managed by the Data Controller (www.lyrabeachwear.com; hereinafter: “Website”). The scope of this Notice shall only cover data management activities subject to the provisions of the GDPR.
Based on the GDPR, personal data means any information relating to an identified or an identifiable natural person (“data subject”); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier, such as a name, and identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
For the purposes of data management performed within the scope of this Notice, data subject shall be any person who is in a legal relationship with the Data Controller, was in legal relationship, or will initiate the establishment of such legal relationship. In particular, data subjects are the users registering and shopping on the Websites.
On this basis, the scope of this Notice shall not cover data unrelated to natural persons (e.g. company data), or those data that cannot be linked to natural persons (e.g. statistical data, anonymized data).
The scope of this notice shall only cover data management performed by the Data Controller.
II. Data management principles, purpose and lawfulness of processing
2.1. Data Management Principles
The Data Controller shall manage data lawfully, fairly and transparently as far as the data subject is concerned. The Data Controller shall ensure that the data managed by the company should be accurate and up-to-date. The Data Controller ensures that the data subject can enforce his rights, and shall take the necessary actions to ensure that data management is performed lawfully at every relevant stage.
2.2. Purpose of Data Management
The primary purpose of data management is to establish and maintain a legal relationship between the data subject and the Data Controller. The purposes of data management shall include the following:
- Identifying, contacting and liaising with the data subject;
- Establishing and concluding a legal relationship;
- Registration on the Websites;
- Shopping;
- Transfer of goods;
- Accounting, payment;
- Exercising the rights and fulfilling the obligations arising from the legal relationship between the parties (e.g. accounting);
- Fulfilling the obligations required by law
2.3. Lawfulness of Data Management
Considering that the Data Controller manages personal data for several reasons, the legal basis for data management may vary. The key legal bases for data management are listed below.
Consent granted by the data subject (GDPR Article 6 (1) Point (a))
In certain cases, data management is based on a consent given by the data subject. The data subject grants his consent by contacting the Data Controller, and by initiating the establishment of the related legal relationships. Consent shall be given in each case on a voluntary basis, however, if consent is not granted it may result in the failure of creating any legal relationship between the data subject and the Data Controller. The Data Controller shall in each case inform the data subject about its data management activity. The consent is the legal basis if the data subject contacts the data controller, requires information, register, or hives consent for sending advertisements.
Contract entered upon by the Data Controller and the data subject (GDPR Article 6 (1) Point (b))
If the data subject enters into a contract with the Data Controller, or initiates to conclude such contract (shopping), he shall provide his data in the contract and in the related forms that are required for fulfilling the related contract. In the case specified in this section, processing is necessary for performing the contact and for taking the steps at the request of the data subject according to the relevant section of the GDPR.
If the data subject fails to grant his content to the processing of any data requested by the Data Controller or specified in the contract, the data subject shall have the right to refuse the supply of such data. If processing is mandatory by law, or in the absence of such data the contract cannot be performed, the contract shall not be concluded if the data subject fails to provide such data.
Fulfilment of legal obligation (GDPR Article 6 (1) Point (c))
In certain cases, processing is necessary for compliance with a legal obligation.
III. Data collection, scope of data processed
3.1. Data Collection
The Data Controller shall primarily collect data directly from the data subject, during the registration on the Websites. The Data Controller shall only collect data from other sources, if the data subject has granted his consent thereto, or authorisation for data collection is given by any relevant legislation.
3.2. Scope of Data Processed
The Data Controller shall process the following data related to data subjects:
- Full name, gender, e-mail address, password: the data managed during registration, it is a condition of registration.
- Facebook profile: the data subject may register with Facebook profile, in this case the Facebook login data shall be give, other data will be transferred from Facebook by the Data Controller.
- Phone number: the data subject may give a phone number, helping the contact, it is not obligatory.
- Delivery and billing address: in case of shopping, the delivery and billing address shall be entered.
- Data related to ordered goods and the order process: in case of ordering (shopping) the Data Controller processes the related data.
IV. Specific data management
4.1. Data processing related to shopping
The description of the data processing: If the data subject orders from the Data Controller, a contract is concluded. In this case the Data Controller manages the data detailed in Section 3.2. above.
Scope of the processed data: The data specified in Section 3.2 above.
The purpose of the data processing:
- Identifying, contacting and liaising with the data subject;
- Establishing and concluding a legal relationship;
- Registration on the Websites;
- Shopping;
- Transfer of goods;
- Accounting, payment;
- Exercising the rights and fulfilling the obligations arising from the legal relationship between the parties (e.g. accounting);
- Fulfilling the obligations required by law.
The legal basis of the data processing: The legal basis for data processing is the preparation, conclusion and performance of the contract.
The duration of the data processing: The Data Controller may process the data for five years after the data are entered. This is justified by the fact that this is the period during which any rights may be enforced.
4.2. Registration
The description of the data processing: The Websites may be visited without registration, but certain services are available only for registered users.
Scope of the processed data: Data specified in Section 3.2.a. or b.
The purpose of the data processing:
- Identifying, contacting and liaising with the data subject;
- Registration on the Websites.
The legal basis of the data processing: The legal basis for data processing is the consent of the data subject.
The duration of the data processing: The Data Controller shall delete the data upon request or when the data subject objects to the data processing.
4.3. Data processing for the purposes of advertising
The description of the data processing: If the data subject consents, the Data Controller may use the contact information provided by the data subject (e-mail address, postal address, telephone number) for the purposes of advertising. In the course of the above, the Data Controller may send advertisements to the data subject using direct marketing methods. The data subject may withdraw his/her consent at any time. The data and the consent may also be provided on the website of the Data Controller.
Scope of the processed data: Data provided for the purposes of making contact for advertising purposes (e-mail address, telephone number, postal address).
The purpose of the data processing:
The legal basis of the data processing: The legal basis for data processing is the consent of the data subject.
The duration of the data processing: The Data Controller shall delete the data upon request or when the data subject objects to the data processing.
4.4. Data processing related to payment
The description of the data processing: If the data subject orders, the Data Controller manages the data related to the payment.
Scope of the processed data: From the data specified in Section 3.2 above, the data related to the payment of fees.
The purpose of the data processing:
- invoicing, payment.
The legal basis of the data processing: Performance of the contract, provision of law (Accounting Act, Section 169).
The duration of the data processing: The duration of the data processing shall be eight years after the issuance of the invoice.
4.5. Inquiries by courts, bailiffs and other authorities
The description of the data processing: If the Data Controller receives any inquiry from a court, bailiff or other authority pertaining to any of its employees, and the inquiry satisfies the requirements of the relevant provisions of law, the Data Controller shall file and comply with the inquiry, and also record what measures were taken on the basis of the inquiry.
Scope of the processed data: The data specified in Section 3.2 above that are related to the given inquiry.
The purpose of the data processing:
- the performance of the obligations pursuant to provisions of law.
The legal basis of the data processing: In all cases, the legal basis of data processing is the statutory authorisation on which the inquiry is based.
The duration of the data processing: The Data Controller shall delete the data after five years.
V. Other information related to data management
5.1. Data Transfer
The Data Controller shall only transfer personal data to any third party, if the data subject has expressly given his consent thereto, being aware of the type of data transferred and of the identity of the recipient, the contract between the Data Controller and the data subject provides legal basis, or if the data transfer is authorised by law.
5.2. Data Processing
The Data Controller shall have the right to employ a data processor for performing its activities. Data processors shall not make independent decisions, and they shall perform their data processing activities on behalf of the Data Controller according to the written contract signed with the Data Controller and as specified in the contract, and by following the instructions given by the Data Controller. The Data Controller shall supervise the work performed by the data processors. Data processors may only employ further data processors with the consent of the Data Controller. The Data Controller shall provide information about the data processors engaged.
5.3. Data Security, Access to Data
The Data Controller shall ensure the protection of data security, and shall take the technical and organisational measures, and shall work out those procedural rules that are necessary to ensure compliance with data security requirements. The Data Controller shall keep records of the data managed by it according to the applicable legislations, ensuring that access to such data shall only be given to those employees and other persons acting for and on behalf of the Data Controller, who need to know such data based on their position, or for performing their work. Access to the personal data of data subjects shall only be given to those persons working within the organisation of the Data Controller, who need to know those for performing their work. All employees are required to treat such data confidentially.
In particular, the Data Controller shall ensure the following within the scope of its responsibilities related to IT protection:
- It shall take measures to provide protection against unauthorized access, including protection for software and hardware devices, or physical protection (access protection, network protection);
- It shall take measures to ensure the possibility of data recovery, including the performance of regular backup services, and the separate and safe storage of backup files (mirroring, data backup);
- It shall provide antivirus protection for data files (antivirus protection);
- It shall ensure the physical protection of data files and data carriers, including protection against fire, water ingress, lightening and other natural disasters, and shall ensure that such devices can be recovered after the occurrence of the above incidents (archiving, fire protection).
The Data Controller shall take the necessary measures to provide protection for hard copy records, in particular, for ensuring the physical safety of and fire protection for such records.
Employees, agents and other persons acting for and on behalf of the Data Controller shall be obliged to ensure the safe keeping and appropriate protection for data carriers containing personal data used by or entrusted to them, regardless of the method by which such personal data have been recorded.
5.4. Term of Data Management
The Data Controller shall ensure by developing and complying with data deletion rules that the duration of data management should not exceed the required and lawful retention period. Data shall be deleted in the following cases:
- It is confirmed that data management is unlawful. If management of any data is unlawful, the Data Controller shall in each case delete such data, as soon as the unlawfulness of data management is confirmed.
- Deletion of data is requested by the data subject. If deletion of data is requested by the data subject, the Data Controller shall in each case check whether data management is mandatory by law. If so, the Data Controller shall reject the request for deletion of data. If management of data is not mandatory, but the Data Controller has a lawful reason for data management, and data management is necessary for the submission, enforcement or protection of any legal claim, the Data Controller shall assess whether the affected data can be deleted. In the event that management of the affected data is not required by law, the Data Controller has no lawful reason for data management other than the related consent granted, or if despite any lawful reason for data management the related management activity is not justified, the Data Controller shall delete such data at the request of the data subject. If the Data Controller rejects the request for deletion of data, it shall in each case inform the data subject, and at the same time shall in each case specify the legal grounds for rejecting such request as well as the applicable legal remedies.
- The purpose for data management is not relevant any more, or the data retention period as specified in advance, by law or in the related consent has expired. If the purpose for data management is not relevant any more, and management of the affected data is not required by law, the Data Controller shall delete such data. If a data retention period is specified by law, the Data Controller shall delete the related data after the expiry of the statutory data retention period.
- Deletion of data has been ordered by a court or an authority. If deletion has been ordered by a court or an authority, and the order is binding, the Data Controller shall delete the relevant data.
When deletion of data is performed, the Data Controller shall make such data unidentifiable. If the law requires so, the Data Controller shall arrange for the destruction of the data carrier containing personal data.
5.5. Addressing Data Protection Incidents
Data protection incident means that a security infringement has occurred resulting in the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or unauthorized access to transferred, stored or otherwise managed personal data. The Data Controller shall promptly report any data protection incident to the competent authority, unless, the data protection incident is unlikely to pose any risk to the rights and freedoms of the affected data subjects. The Data Controller shall keep records of the data protection incidents, along with the measures taken in response to any given incident. In case of a serious incident (i.e. it is likely to pose high risk to the rights and freedoms of the data subject), the Data Controller shall inform the data subject about the data protection incident without undue delay.
VI. Data subjects’ rights and their enforcement
6.1. Data Subjects’ Rights
Information (access). The data subject shall have the right to receive information about the management of his data. The Data Controller shall inform the data subject about data management at the time of recording such data, and this Notice shall be available to him at any time. The data subject may request full information about the management of his data during the data management process. The data subject may request The Data Controller to give him a copy of the affected data.
Correction. The data subject shall have the right to request The Data Controller to correct inappropriate data related to him, and to supplement incomplete data.
Deletion, withdrawal of consent. The data subject shall have the right to withdraw at any time his consent given to data management, and may request the deletion of his data. The Data Controller shall only reject such request, if data management is based on legal requirement, or if data management is necessary for the submission, enforcement or protection of any legal claim.
Restriction. The data subject shall have the right to restrict the management of data in the following cases:
- the data subject challenges the accuracy of personal data, in this case restriction shall apply to the period, during which the data controller checks the accuracy of personal data;
- data management is unlawful, and the data subject objects to the deletion of data, and instead he requests the restriction of their use;
- the data controller will not need the personal data any longer for data management purposes, but the data subject needs those for submission, enforcement or for the protection of any legal claim;
- the data subject objected to data management; in this case, restriction shall apply to the time period, until it is established whether the data controller’s legitimate interests override the data subject’s legitimate interests.
If data management is restricted, with the exception of data storage, the affected personal data may only be managed with the data subject’s consent, or may only be used for the purposes of submitting, enforcing or providing protection for any legal claim, or for the protection of the rights of any natural person or legal entity, or for pursuing the important public interests of the European Union or of any member state.
Objection. If data management is necessary for pursuing the legitimate interest of The Data Controller or any third party, the data subject shall have the right to object to the management of his personal data at any time for reasons related to his own circumstances. In this case, the data controller shall not continue the management of data, unless, the data controller provides evidence that data management is justified by such compelling legitimate reasons, which are given priority over the data subject’s interests, rights and freedoms, or are related to the submission, enforcement or protection of any legal claim. If data management is performed for the purpose of gaining direct business opportunities, the data subject shall have the right to object to the management of his personal data at any time.
Data portability. The data subject shall have the right to receive his personal data in a segmented, widely used machine readable format, and shall be also entitled to transfer such data to another data controller, provided that data management process is performed automatically. If technically feasible, the data subject shall have the right to request the direct transfer of his personal data to another data controller.
6.2. Ensuring the Rights of and Managing the Requests of the Data Subject
The Data Controller shall inform the data subject about its data management activities when the initial contact is made. The information on data management shall be available in the forms used for collecting data from the data subject, and this detailed Notice shall be made available to the data subject, and The Data Controller shall also notify the data subject about the existence and availability thereof.
The data subject may submit its request for exercising his rights in any form to The Data Controller (whether orally, or in writing). The Data Controller shall promptly assess such request, make a decision on the fulfilment thereof, and shall take the necessary measures. The Data Controller shall inform the data subject about the measures taken within one month. The information given shall in each case include the action taken by The Data Controller, or the information requested by the data subject. If The Data Controller rejects such request (fails to take the necessary actions required for the fulfilment of the request), the information supplied shall include the ground for rejection, the related reasons and the available legal remedies.
The Data Controller shall not make the fulfilment of the request conditional on the payment of any fee or the reimbursement of any cost.
If it is uncertain whether the request has been made by the data subject due to the given circumstances, or the method of submission, The Data Controller may request the data subject to verify his eligibility, or to submit the request by such method so that the eligibility can be clearly established.
The Data Controller shall inform all recipients about such correction, deletion or restriction imposed on data management, to whom the affected personal data was transferred, unless this is deemed impractical, or would involve disproportionate effort. At the data subject’s request, it shall inform the data subject about such recipients.
6.3. Legal Remedy
In the event that the data subject’s rights have been infringed, he may request The Data Controller to terminate such unlawful data management, and to assess the data management process, and consider the rejection of the data subject’s request. The Data Controller shall in each case examine all such complaints lodged by the data subject, and shall inform the data subject about the related outcome.
The data subject may also file his complaint directly to the National Data Protection and Freedom of Information Authority (address: Hungary, 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; phone: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; web: www.naih.hu
The data subject shall have to right to file his case in court, if his rights have been infringed. At the data subject’s request, The Data Controller shall provide detailed information to the data subject about the competent court having appropriate jurisdiction, and about the method to bring legal proceedings.
I. Általános információk, az Adatkezelő
1.1. Az Adatkezelő személye és tevékenysége
A jelen Tájékoztatóban („Tájékoztató”) meghatározott adatkezelések tekintetében az adatkezelő a Dunai Orsolya Réka Egyéni Vállalkozó (székhely: 1012 Budapest, Lovas út 18.; adószám: 8450380103; e-mail: lyrabeachwear@gmail.com; továbbiakban: „Adatkezelő”).
Az Adatkezelő kereskedelemmel foglalkozó, Magyarországon bejegyzett egyéni vállalkozó.
1.2. Irányadó jogszabályok
Az Adatkezelő adatkezelésére elsősorban az Európai Unió általános adatvédelmi rendelete vonatkozik (Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről; továbbiakban: „GDPR”). Az adatkezelésre emellett irányadók azon magyar jogszabályok, amelyek az adatkezelő és az érintett közötti jogviszonyt szabályozzák, így különösen a Polgári Törvénykönyv, valamint a kereskedelemre, internetes kereskedelemre vonatkozó jogszabályok, így különösen:
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: „Infotv.”);
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (továbbiakban: „Grtv.”);
- a fogyasztóvédelemről szóló 1997. évi CLV. törvény (továbbiakban: „Fgytv”)
- a számvitelről szóló 2000. évi C. törvény 169. § (a bizonylatok megőrzését illetően).
1.3. A Tájékoztató hatálya, az érintett
Jelen Tájékoztató hatálya kitejed az Adatkezelő adatkezeléseire, így különösen az Adatkezelő által fenntartott weboldal (www.lyrabeachwear.com; továbbiakban: „Weboldal”) adatkezelésére. Jelen Tájékoztató hatálya kizárólag a GDPR hatálya alá tartozó adatkezelésekre terjed ki.
A GDPR alapján személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A jelen Tájékoztató hatálya alá tartozó adatkezelések esetében érintett az a személy, aki az Adatkezelővel jogviszonyban áll, állt, vagy ilyen jogviszony létrehozását kezdeményezi. Így különösen érintettek a Weboldalon regisztráló, vásárló személyek.
Mindezek alapján jelen Tájékoztató hatálya nem terjed ki azon adatokra, amelyek nem természetes személyekre vonatkoznak (pl. cégadatok), vagy amelyek nem hozhatók kapcsolatba természetes személyekkel (pl. statisztikai adatok, azon adatok, amelyek anonimizáltak).
Jelen Tájékoztató hatálya kizárólag az Adatkezelő adatkezelésére terjed ki.
- Az adatkezelés elvei, célja, jogalapja
2.1. Az adatkezelés elvei
Az Adatkezelő az adatokat jogszerűen, tisztességesen, és az érintett számára átlátható módon kezeli. Az Adatkezelő törekedik arra, hogy az általa kezelt adatok pontosak és naprakészek legyenek. Az Adatkezelő biztosítja az érintett jogainak érvényesülését, és megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelés annak minden szakaszában jogszerű legyen.
2.2. Az adatkezelés célja
Az adatkezelés elsődleges célja az érintett és az Adatkezelő közötti jogviszony létrehozása, fenntartása. Ezen belül az adatkezelés céljai:
- Az érintett személyének azonosítása, az érintettel való kapcsolatfelvétel és kapcsolattartás;
- Jogviszony létesítése, előkészítése;
- Regisztráció a Weboldalon;
- Vásárlás;
- Termékek szállítása;
- Számlázás, fizetés
- A felek közötti jogviszonyból származó jogok gyakorlása, kötelezettségek teljesítése;
- Jogszabályban elrendelt kötelezettségek teljesítése
- Reklámozás.
2.3. Az adatkezelés jogalapja
Figyelemmel arra, hogy az Adatkezelő több célból is kezel személyes adatot, az adatkezelés jogalapja is többféle lehet. A főbb jogalapok az alábbiak.
Az érintett hozzájárulása (GDPR 6. cikk (1) bek. a) pont)
Az adatkezelés jogalapja egyes esetekben az érintett hozzájárulása. Az érintett a hozzájárulását azzal adja meg, hogy az Adatkezelővel kapcsolatba lép, és kezdeményezi a jogviszony létrehozását. A hozzájárulás minden esetben önkéntes, azonban a hozzájárulás elmaradása eredményezheti azt, hogy az érintett és az Adatkezelő között a jogviszony nem jön létre. Az Adatkezelő az érintettet minden esetben tájékoztatja az adatkezelésről. Az érintett hozzájárulása a jogalap akkor, ha az érintett az adatkezelővel kapcsolatba lép, információt kér, regisztrál, vagy hozzájárul reklámok küldéséhez.
Az Adatkezelő és az érintett között létrejött szerződés (GDPR 6. cikk (1) bek. b) pont)
Amennyiben az érintett az Adatkezelővel szerződést köt, vagy azt kezdeményezi (vásárol), megadja azon adatait, amelyek szükségesek a szerződés teljesítéséhez. A jelen pont szerinti esetben az adatkezelés a szerződés teljesítése és az érintett által kezdeményezett lépések megtétele érdekében történik, a GDPR hivatkozott pontja alapján.
Amennyiben az érintett valamely, az Adatkezelő által kért, vagy szerződésben megjelölt adat kezeléséhez nem járul hozzá, jogában áll az adat megadását megtagadni. Amennyiben az adat kezelése jogszabály alapján kötelező, vagy az adat hiányában a szerződés nem teljesíthető, az adat megadásának hiányában a szerződés nem jön létre.
Jogszabályban foglalt kötelezettség teljesítése (GDPR 6. cikk (1) bek. c) pont)
Az adatkezelés jogalapja bizonyos esetekben jogszabály rendelkezése.
III. Az adatok felvétele, a kezelt adatok köre
3.1. Az adatok felvétele
Az Adatkezelő az adatokat elsősorban az érintettől veszi fel, a Weboldalon történő regisztráció során. Más forrásból az Adatkezelő csak akkor vesz fel adatot, ha ehhez az érintett hozzájárult, vagy jogszabály az adat felvételére kifejezetten felhatalmazást ad.
3.2. A kezelt adatok köre
Az Adatkezelő az érintettek alábbi adatait kezeli:
- Teljes név, nem, e-mail cím, jelszó: az adatok kezelésére a regisztráció során kerül sor, az adatkezelés a regisztráció feltétele.
- Facebook fiók: az érintett regisztrálhat a Facebook fiókjával is, ez esetben a Facebook belépési adatokat kell megadnia, a többi adatot az Adatkezelő veszi át a Facebookról.
- Telefonszám: az érintett megadhatja telefonszámát, amely a kapcsolatfelvételt segíti, ez nem kötelező.
- Szállítási és számlázási cím: vásárlás esetén kötelező megadni a szállítási és számlázási címet.
- Megrendelt termékekre, a megrendelésre vonatkozó adatok: megrendelés (vásárlás) esetén az Adatkezelő kezeli a termékkel, a megrendeléssel kapcsolatos adatokat.
- Az egyes adatkezelések
4.1. Vásárlással kapcsolódó adatkezelés
Az adatkezelés leírása: Amennyiben az érintett az Adatkezelőtől vásárol, szerződés jön létre. Ebben az esetben az Adatkezelő kezeli az érintett fenti 3.2. pont szerinti adatait.
Kezelt adatok köre: A fenti 3.2. pontban szereplő adatok.
Az adatkezelés célja:
- Az érintett személyének azonosítása, az érintettel való kapcsolatfelvétel és kapcsolattartás;
- Jogviszony létesítése, előkészítése;
- Regisztráció a Weboldalon;
- Vásárlás;
- Termékek szállítása;
- Számlázás, fizetés
- A felek közötti jogviszonyból származó jogok gyakorlása, kötelezettségek teljesítése;
- Jogszabályban elrendelt kötelezettségek teljesítése.
Az adatkezelés jogalapja: Az adatkezelés jogalapja a szerződés előkészítése, megkötése, teljesítése.
Az adatkezelés időtartama: Az adatokat az Adatkezelő azok megadásától számított öt évig kezeli. Az időtartamot az indokolja, hogy ezen időtartam alatt kerülhet sor jogérvényesítésre.
4.2. Regisztráció
Az adatkezelés leírása: A Weboldal látogatható regisztráció nélkül, bizonyos szolgáltatások azonban csak regisztrált felhasználók számára érhetők el.
Kezelt adatok köre: A 3.2.a. vagy b. pont szerinti adatok.
Az adatkezelés célja:
- Az érintett személyének azonosítása, az érintettel való kapcsolatfelvétel és kapcsolattartás;
- Regisztráció a Weboldalon.
Az adatkezelés jogalapja: Az adatkezelés jogalapja az érintett hozzájárulása.
Az adatkezelés időtartama: Az adatokat az Adatkezelő törli, ha az érintett azt kéri, vagy tiltakozik az adatok kezelése ellen.
4.3. Reklámozási célú adatkezelés
Az adatkezelés leírása: Amennyiben az érintett ahhoz hozzájárul, az Adatkezelő jogosult arra, hogy az érintett megadott elérhetőségeit (e-mail címét, postai címét, telefonszámát) felhasználja reklámozási célra. Ennek során az Adatkezelő jogosult arra, hogy az érintettnek a közvetlen megkeresés módszerével reklámot küldjön. Az érintett a hozzájárulását bármikor visszavonhatja. Az adatok és a hozzájárulás megadása történhet az Adatkezelő weboldalán is.
Kezelt adatok köre: A reklámozási célból történő kapcsolatfelvételre átadott adatok (e-mail cím, telefonszám, postacím).
Az adatkezelés célja:
- reklámozás.
Az adatkezelés jogalapja: Az adatkezelés jogalapja az érintett hozzájárulása.
Az adatkezelés időtartama: Az adatokat az Adatkezelő törli, ha az érintett azt kéri, vagy tiltakozik az adatok kezelése ellen.
4.4. Fizetéssel kapcsolatos adatkezelés
Az adatkezelés leírása: Amennyiben az érintett vásárol, az Adatkezelő nyilvántartja a fizetéssel kapcsolatos adatokat.
Kezelt adatok köre: A fenti 3.2. pont szerinti adatok közül a fizetéssel kapcsolatos adatokat.
Az adatkezelés célja:
- Számlázás, fizetés.
Az adatkezelés jogalapja: A szerződés teljesítése, jogszabály rendelkezése (Számviteli törvény 169. §).
Az adatkezelés időtartama: Az adatkezelés időtartama a bizonylat kiállítását követő nyolc év.
4.5. Hatósági, végrehajtói, bírósági megkeresések
Az adatkezelés leírása: Amennyiben az Adatkezelő megkeresést kap hatóságtól, végrehajtótól, bíróságtól valamely munkavállalóra vonatkozóan, és a megkeresés a vonatkozó jogszabályoknak megfelel, az Adatkezelő a megkeresést iktatja, és azt teljesíti, egyúttal rögzíti azt is, hogy a megkeresés alapján milyen intézkedések történtek.
Kezelt adatok köre: A fenti 3.2. pontban meghatározott azon adatok, amelyek az adott megkereséssel összefüggenek.
Az adatkezelés célja:
- Jogszabályban elrendelt kötelezettségek teljesítése.
Az adatkezelés jogalapja: Az adatkezelés jogalapja minden esetben az a jogszabályi felhatalmazás, amelyen a megkeresés alapul.
Az adatkezelés időtartama: Az adatok az Adatkezelő öt év elteltével törli.
- Egyéb, az adatkezeléssel kapcsolatos információk
5.1. Adattovábbítás
Az Adatkezelő személyes adatot csak akkor továbbít harmadik személy részére, ha ahhoz az érintett egyértelműen – a továbbított adatkör és az adattovábbítás címzettje ismeretében – hozzájárult, az adattovábbításra az adatkezelő és az érintett között létrejött szerződés arra megfelelő jogalapot nyújt, vagy az adattovábbításra jogszabály felhatalmazást ad.
5.2. Adatfeldolgozás
Az Adatkezelő a tevékenysége ellátásához jogosult adatfeldolgozót igénybe venni. Az adatfeldolgozók önálló döntést nem hoznak, az adatkezelés során az Adatkezelővel kötött írásbeli szerződés alapján, a szerződésben meghatározottak és az Adatkezelő utasítása szerint, az Adatkezelő nevében járnak el. Az Adatkezelő ellenőrzi az adatfeldolgozók munkáját. Az adatfeldolgozók további adatfeldolgozó igénybe vételére csak az Adatkezelő hozzájárulásával jogosultak. Az Adatkezelő az adatfeldolgozókról tájékoztatást ad.
5.3. Adatbiztonság, hozzáférés az adatokhoz
Az Adatkezelő gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az adatbiztonság követelményének érvényesülését biztosítják. Az Adatkezelő az általa kezelt adatokat az irányadó jogszabályoknak megfelelően tartja nyilván, biztosítva, hogy az adatokat csak azok a munkavállalók, és egyéb az Adatkezelő érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van. Az érintettek személyes adatait az Adatkezelő szervezetén belül csak azon alábbi személyek jogosultak megismerni, akiknek arra a feladatuk ellátásához szükségük van. Az adatok bizalmas kezelése valamennyi munkatárs kötelezettsége.
Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:
- A jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
- Az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés);
- Az adatállományok vírusok elleni védelméről (vírusvédelem);
- Az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).
Az Adatkezelő a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
A munkavállalók, megbízottak, és egyéb, az Adatkezelő érdekében eljáró személyek az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni és védeni.
5.4. Az adatkezelés időtartama
Az Adatkezelő a törlésre vonatkozó szabályok kialakításával és betartásával biztosítják, hogy a személyes adatok kezelésének időtartama ne haladja meg a szükséges és jogszerű mértéket. Az adatok törlésére az alábbi esetekben kerül sor:
- Bizonyossá válik, hogy az adatok kezelése jogellenes. Amennyiben az adat kezelése jogellenes, azt az Adatkezelő minden esetben törli, mihelyt a jogellenes adatkezelés ténye nyilvánvalóvá válik.
- Az adatok törlését az érintett kéri. Amennyiben az adatok törlését az érintett kéri, az Adatkezelő minden esetben megvizsgálja, hogy jogszabály alapján kötelező-e az adatkezelés. Ha igen, a törlési kérelmet az Adatkezelő megtagadja. Ha az adat kezelése nem kötelező, de arra az Adatkezelőnek van jogalapja, és az adatkezelés szükséges jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez, az Adatkezelő megvizsgálja, hogy az adat törölhető-e. Amennyiben az adat kezelését jogszabály nem írja elő, az adat kezelésére a hozzájáruláson kívül az Adatkezelőnek nincs jogalapja, vagy a jogalap ellenére nem indokolt az adat kezelése, az érintett kérelmére az Adatkezelő törli az adatokat. Amennyiben a törlési kérelmet az Adatkezelő megtagadja, erről az érintettet minden esetben tájékoztatja, egyúttal pontosan megjelöli a törlési kérelem megtagadásának jogalapját és a jogorvoslati lehetőségeket is.
- Az adatkezelés célja megszűnt, vagy az adatok tárolásának előre, jogszabályban vagy a hozzájárulásban meghatározott határideje lejárt. Amennyiben az adatkezelés célja megszűnt, és az adat kezelését jogszabály nem teszi kötelezővé, az adatot az Adatkezelő törli. Amennyiben az adatkezelés időtartamát jogszabály írja elő, az Adatkezelő az adatokat a jogszabályban meghatározott időtartam elteltével törlik.
- Az adatok törlését bíróság vagy a hatóság elrendelte. Ha a törlést bíróság vagy hatóság rendelte el, és a rendelkezés jogerős, az Adatkezelő az adatokat törli.
A törlés esetén az Adatkezelő az adatokat személyazonosításra alkalmatlanná teszi. Amennyiben jogszabály azt előírja, az Adatkezelő a személyes adatot tartalmazó adathordozót megsemmisíti.
5.5. Adatvédelmi incidensek kezelése
Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az Adatkezelő az adatvédelmi incidenst haladéktalanul bejelenti az illetékes hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. Az Adatkezelő az adatvédelmi incidenseket nyilvántartja, együtt az adott incidenshez kapcsolódó intézkedésekkel. Ha az incidens súlyos (azaz vélhetően magas kockázattal jár az érintett jogaira és szabadságaira nézve), az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
- Az érintettek jogai és érvényesítésük
6.1. Az érintettek jogai
Tájékoztatás (hozzáférés). Az érintettnek joga van ahhoz, hogy az adatainak kezeléséről tájékoztatást kapjon. Az Adatkezelő az érintettet az adatok felvételekor tájékoztatja az adatkezelésről, emellett a jelen Tájékoztató bármikor elérhető az érintett számára. Az érintett az adatkezelés folyamán bármikor teljes körű tájékoztatást kérhet az adatai kezeléséről. Az érintett kérheti, hogy az Adatkezelő az adatok másolatát bocsássa a rendelkezésére.
Helyesbítés. Az érintett kérheti, hogy az Adatkezelő a rá vonatkozó pontatlan adatokat helyesbítse, a hiányos adatot kiegészítse.
Törlés, hozzájárulás visszavonása. Az érintett bármikor visszavonhatja az adatai kezeléséhez adott hozzájárulását, kérheti az adatai törlését. Az Adatkezelő a törlést csak akkor tagadja meg, amennyiben az adatkezelés jogszabályon alapul, vagy az adatkezelés szükséges jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Korlátozás. Az érintettnek jogában áll az adatkezelés korlátozását kérni, az alábbi esetekben:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Tiltakozás. Amennyiben az adatkezelés az Adatkezelő, vagy harmadik fél jogos érdekének érvényesítésén alapul, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.
Adathordozhatóság. Az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, feltéve, hogy az adatkezelés automatizált módon történik. Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok más adatkezelőhöz történő közvetlen továbbítását.
6.2. Az érintett jogainak biztosítása, az érintett kérelmeinek kezelése
Az Adatkezelő az érintettet a kapcsolatfelvétellel egyidejűleg tájékoztatja az adatok kezeléséről. Az érintett a jogai gyakorlására irányuló kérelmet bármilyen módon (szóban, írásban) eljuttathatja az Adatkezelőhöz. Az Adatkezelő a kérelmet haladéktalanul megvizsgálja, döntést hoz a kérelem teljesítéséről, és megteszi a szükséges intézkedéseket. Az Adatkezelő a megtett intézkedésekről egy hónapon belül tájékoztatja az érintettet. A tájékoztatás minden esetben tartalmazza az Adatkezelő által megtett intézkedést, vagy az érintett által kért tájékoztatást. Amennyiben az Adatkezelő a kérelem teljesítését elutasítják (nem teszik meg a kérelem teljesítéséhez szükséges intézkedéseket), a tájékoztatás tartalmazza a megtagadás jogalapját, indokait és az érintett jogorvoslati lehetőségeit.
Az Adatkezelő a kérelem teljesítését nem köti díj fizetéséhez, a költségek megtérítéséhez.
Amennyiben a kérelem benyújtásának körülményei, módja miatt nem bizonyos, hogy a kérelem az érintettől származik, az Adatkezelő kérheti, hogy a kérelmező igazolja jogosultságát, vagy a kérelmet olyan módon terjessze elő, hogy a jogosultság egyértelműen megállapítható legyen.
Az Adatkezelő minden olyan címzettet tájékoztatnak a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
6.3. Jogorvoslat
Az érintett a jogainak sérelme esetén kérheti, hogy az Adatkezelő a jogellenes adatkezelést szüntesse meg, az adatkezelést, az érintett kérelmének elutasítását vizsgálja meg. Az Adatkezelő az érintett ilyen irányú panaszát minden esetben kivizsgálja, és annak eredményéről az érintettet tájékoztatja.
Az érintett panaszával fordulhat közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) is.
Az érintett jogosult jogainak megsértése esetén bírósághoz fordulni. Az Adatkezelő az érintettet kérelemre részletesen tájékoztatja a per elbírálására hatáskörrel és illetékességgel rendelkező bíróságról, a perindítás lehetőségéről.